Sécurité de WhatsApp

Le 16 novembre 2022, une annonce est apparue sur un célèbre forum de piratage, annonçant la vente de 487 millions de numéros de téléphone appartenant à des utilisateurs de WhatsApp. Ces utilisateurs seraient originaires de 84 pays différents, dont la majorité d'Égypte (45 millions), d'Italie (35 millions), des États-Unis (32 millions), d'Arabie saoudite (29 millions), de France (20 millions) et de Turquie (20 millions). En Espagne, le nombre d'utilisateurs concernés est estimé à environ 10 millions. Des sources fiables ont vérifié les données par rapport à un échantillon fourni par les vendeurs et ont pu confirmer qu'il s'agissait de numéros de téléphone de véritables utilisateurs de WhatsApp. On soupçonne que les données ont pu être obtenues par scraping, une procédure qui va à l'encontre des conditions d'utilisation de WhatsApp, bien que la personne responsable du hack n'ait pas souhaité confirmer la méthode utilisée.

La vulnérabilité CVE-2022-36934 a été détectée le 22 septembre 2022, classée comme bug critique et corrigée le 23 septembre. Elle affectait les versions Android de WhatsApp antérieures à 2.22.16.2 et les versions iPhone antérieures à 2.22.16.12. Elle affectait également les applications mobiles WhatsApp Business antérieures aux versions 2.22.16.12 sur les deux systèmes d'exploitation. Grâce à cette faille de sécurité, un attaquant malveillant pourrait manipuler une entrée de la fonction « Video Call Handler », provoquant ainsi un dépassement de la mémoire tampon autorisant l'exécution de code à distance pendant l'appel vidéo concerné.

La vulnérabilité CVE-2022-27492 a été détectée le 22 septembre 2022, classée comme hautement dangereuse, et corrigée à peine un jour après, affectant les versions d'Android antérieures à 2.22.16.2 et les versions d'iPhone antérieures à 2.22.15.9. Grâce à l'utilisation de cette faille de sécurité, un attaquant malveillant pouvait manipuler une entrée de la fonction « Video File Handler » d'une vidéo, qui était ensuite envoyée via WhatsApp, lui permettant d'obtenir l'exécution de code à distance sur l'appareil mobile du destinataire.

RTCP est l'abréviation de Real Time Control Protocol (protocole de contrôle en temps réel), un protocole de communication couramment utilisé pour passer des appels vocaux et vidéo entre utilisateurs d'applications de communication telles que WhatsApp. Début février 2022, un bogue a été détecté dans un contrôle de liaison dans le code d'analyse du flag RTCP, qui est chargé de signaler la qualité du flux RTP, celui qui transporte effectivement les données. En pratique, cela signifie qu'un utilisateur pouvait envoyer un paquet RTCP mal formaté pendant un appel en cours et provoquer une lecture du stockage dynamique en dehors des limites autorisées.

Call Handler est le nom d'un composant logiciel utilisé par WhatsApp pour passer des appels entre utilisateurs. En manipulant une entrée il aurait pu, en théorie, provoquer un dépassement de mémoire tampon et permettre une écriture en dehors des limites prévues.

WhatsApp, par le biais de ses avis de sécurité, a rendu publique en décembre 2021 la vulnérabilité CVE-2021-24041 enregistrée pour la première fois en juillet de la même année. La faille de sécurité concernait la fonction du flou de l'image, largement utilisée dans l'application dans bien des scénarios. Des attaquants potentiels, exploitant un défaut de code dans la vérification des limites associée à cette fonctionnalité, pourraient provoquer une écriture hors limites et un dépassement de mémoire tampon en envoyant une image malveillante. La faille a affecté les versions Android de l'application antérieures à la version 2.21.22.7 publiée en octobre 2021, y compris la version Business.

Un bogue dans le processus de validation des noms de fichiers de WhatsApp Messenger pourrait permettre à un cyber-agresseur de compromettre l'intégrité et la confidentialité des données de la victime. Connu sous le nom de Vulnérabilité de classe croisée, le problème survient lors de la décompression de fichiers. L'absence de validation des noms de fichiers au cours du processus pourrait permettre l'écrasement de fichiers par des attaques dites « de traversement de répertoires », donnant accès à des répertoires qui devraient être interdits. Il s'agit d'une attaque simple qui pourrait être exécutée à distance et qui est facile à exploiter car aucune authentification n'est requise, bien qu'une interaction avec la victime soit nécessaire.

Une faille de sécurité permet de collecter des informations cryptographiques à partir du stockage externe d'un utilisateur. Pour cela, un fichier HTML est envoyé à la victime ; une fois celui-ci ouvert avec Chrome, en profitant de son support pour les fournisseurs de contenu, il exécute du code. À ce moment-là, il lui est possible d'accéder au matériel cryptographique TLS (dans les sessions TLS 1.2 et 1.3) stocké dans le cache, car WhatsApp enregistre les détails de la clé de session TLS dans une zone non protégée du stockage externe, ce qui permet de compromettre les communications et votre compte, d'exécuter du code à distance et d'extraire les clés de protocole Noise couramment utilisées dans le chiffrement de bout en bout des communications.

Un agresseur distant pourrait lancer un appel vocal via WhatsApp, spécifiquement conçu pour provoquer un dépassement de mémoire pendant le traitement, en exploitant une faille dans le système de vérification des limites. Ce qui provoquerait une écriture hors limites et ferait planter l'application. Aucun détail technique spécifique sur la vulnérabilité n'a été fourni.

Un utilisateur peut installer un client WhatsApp et lancer le processus de connexion en utilisant le numéro de téléphone d'un tiers. Après plusieurs tentatives infructueuses de saisie de codes erronés ou de demande répétée de nouveaux codes (car le code de vérification réel à 6 chiffres parvient toujours à la victime qui peut ne pas s’en rendre compt), WhatsApp bloque l'envoi de nouveaux codes pendant 12 heures. C'est à ce moment-là que la deuxième vulnérabilité entre en jeu, car l'attaquant pourrait contacter le service des comptes perdus ou volés de WhatsApp et simplement montrer le numéro de téléphone de la victime, se faire passer pour elle afin de la bloquer en profitant du fait qu'il s'agit d'une plate-forme de communication automatisée. S'il répète également l'opération pendant plusieurs cycles de 12 heures et que la victime ne parvient pas à reprendre le contrôle du compte entretemps, il pourrait bloquer définitivement le compte et obliger la victime à contacter directement WhatsApp pour le récupérer.

La société de sécurité Check Point Research a notifié à WhatsApp, le 10 novembre 2020, une faille de sécurité dans la fonction de filtrage des images qui pourrait permettre à un cyber-attaquant d'accéder aux informations stockées dans la mémoire de WhatsApp en écrivant hors limites. L'attaque, qui nécessite en tout état de cause une interaction avec l'utilisateur, est assurément complexe à exécuter et n'est pas connue pour avoir été mise en œuvre, elle utilise une image GIF pré-conçue qui est envoyée à la victime. Lorsque la victime édite l'image en appliquant certains filtres tels que le flou, les pixels de l'image originale sont modifiés, un processus complexe où les données sont lues, manipulées et écrasées. L'erreur se produit lorsque le résultat est transmis à l'expéditeur. Ce bogue, dont les détails techniques ont été révélés le 2 septembre 2021, a en théorie été corrigé, à partir de la version 2.21.1.13 de l'application publiée en février 2021, par l'introduction de deux nouveaux processus de vérification sur la source de l'image et le filtre de l'image liés au bogue.

Une concaténation de différents événements pourrait entraîner une corruption de la mémoire dans l'application, des plantages et l'exécution de codes malveillants. Le bogue était lié à un problème dans une bibliothèque de registres utilisée dans les versions antérieures à la version 2.20.111 de WhatsApp Messenger et de WhatsApp Business pour iOS. Pour provoquer cette défaillance, différents scénarios devaient se dérouler dans un certain ordre, parmi lesquels la réception d'un autocollant animé conjointement à la mise en attente d’un appel vidéo.

Un problème d'autorisation incorrecte de la fonction de verrouillage d'écran dans les versions iOS de WhatsApp Messenger et WhatsApp Messenger Business antérieures à la version 2.20.100 permettait d'utiliser Siri pour gérer l'application même après le verrouillage du téléphone.

En analysant le contenu des en-têtes des extensions RTP, il était possible d'exécuter du code arbitraire et de provoquer un débordement dans la pile de WhatsApp.

En traitant une vidéo locale mal formée avec des flux audio E-AC-3, il était possible d'activer l'écriture hors des limites et de provoquer un débordement de la mémoire tampon.

Une erreur dans les URI (uniform resource identifier) de Media ContentProvider utilisés pour ouvrir les pièces jointes dans les applications tierces entraînait leur génération séquentielle, ce qui signifie qu'une application tierce malveillante pouvait ouvrir le fichier et deviner les URI des pièces jointes précédemment ouvertes.

Une erreur dans la validation du chemin d'accès lors de l'envoi de fichiers DOCX, XLX et PPTX conçus comme des pièces jointes à des messages permettait l'écrasement des fichiers interrépertoires.

Lors de la décompression d'un document DOCX, PPTX ou XLSX ordinaire de la suite Office, il était possible de provoquer un déni de service en raison d'une perte de mémoire, ce qui nécessitait que le numéro de téléphone envoyant le fichier ne figure pas dans la liste des contacts.

Un plantage lors de la recherche rapide d'un message largement transféré pouvait orienter l'utilisateur vers le service de recherche de Google à l'aide d'un simple HTTP.

En envoyant un message volumineux contenant une URL, il était possible de bloquer le client iOS en provoquant le blocage de l'application lors du traitement du message.

Un agresseur aurait pu utiliser la fonction « push to talk », consistant à envoyer des messages pour exécuter un code malveillant arbitraire.

Par le biais des appels vidéo, un utilisateur pouvait activer l'écriture hors des limites sur des appareils 32 bits.

Un problème de validation d'URL permettait d'envoyer des autocollants avec des liens URL qui s'ouvraient automatiquement sans l'autorisation de l'utilisateur.

Un problème de contournement des fonctions de sécurité dans les versions de WhatsApp Desktop antérieures à la version 0.3.4932 aurait pu permettre à la zone de test de s'échapper dans Electron et la remontée des privilèges si elle était combinée à une vulnérabilité d'exécution de code à distance dans le processus de rendu de la zone de test.

Cela permettait une écriture hors des limites par le biais de transmissions vidéo conçues pour agir lors de la réponse.

Par le biais des messages de localisation en direct, un agresseur aurait pu permettre la création de scripts intersites par le biais d'un lien.

Une vulnérabilité qui combine WhatsApp Desktop et WhatsApp for iPhone permet, par un clic de la victime sur un aperçu d'un lien conçu à cet effet, de créer des scripts entre les sites et de lire des fichiers locaux.

En utilisant WhatsApp Web, Google Chrome et un serveur distant en Python, les agresseurs peuvent modifier le nom d'un participant à un groupe et provoquer des plantages en entrant dans une boucle infinie. La seule solution consistait à réinstaller l'application, avec la perte des données de groupe en résultant.

Par l'envoi à un contact puis par le téléchargement en découlant d'un fichier MP4 associé à ses métadonnées, la mémoire était corrompue et une attaque DoS ou RCE était générée. Les agresseurs pouvaient espionner les données et voler des fichiers à distance.

Une erreur de débordement de la mémoire tampon de la pile est localisée dans une bibliothèque Android, spécifiquement appelée libpl_droidsonroids_gif avant sa version 1.2.19, ce qui pourrait permettre à un agresseur distant d'exécuter un code arbitraire et de provoquer un déni de service. L'erreur pourrait affecter les versions de WhatsApp Messenger sous Android antérieures à la version 2.19.291.

Une faille dans une bibliothèque Android liée aux GIF contenait une double vulnérabilité dans la fonction DDGifSlurp. Grâce à cette brèche, des agresseurs distants pouvaient exécuter du code et provoquer un déni de service en analysant des GIF spécifiquement conçus à cet effet.

Un agresseur pouvait utiliser les balises EXIF des images de type WEBP pour écrire hors des limites et déborder les bibliothèques d'analyse des médias.

Bien que WhatsApp ait signalé une correction de cette vulnérabilité, initialement signalée en août 2018, les mêmes chercheurs constatent que le problème n'a pas été résolu et qu'il est toujours possible de manipuler les messages et de les faire passer pour authentiques.

Un problème dans le processus d'enregistrement permettait d'envoyer des fichiers malveillants aux utilisateurs, ceux-ci s’affichant avec une mauvaise extension.

Une erreur a été détectée par laquelle les fichiers multimédias de WhatsApp et Telegram étaient visibles l'un pour l'autre via le stockage sur carte SD. Il devenait alors possible de modifier un fichier ou un document avant son envoi.

Une faille de sécurité a permis de l'espionnage par le biais d'appels téléphoniques. On suppose que NSO, la société de cybersécurité, a profité de cette défaillance pour proposer un outil d'espionnage sur une base commerciale. Lorsqu'un appel était reçu et sans qu'il soit nécessaire d'y répondre, un logiciel d'espionnage était installé. Les appels pouvaient ne laisser aucune trace. Des journalistes, des dissidents politiques, des diplomates et des membres de différents gouvernements ont été victimes du logiciel appelé Pegasus, dont WhatsApp confirmera plus tard qu'il aurait touché environ 1 400 personnes.

Une erreur dans la logique de développement permettait à quelqu'un ayant accès au compte de récupérer les messages précédemment envoyés. Dans tous les cas, il était nécessaire de connaître les métadonnées de ces messages, qui en théorie ne sont pas accessibles au public.

Erreur d'écriture en dehors de l'espace alloué à la pile lors de la réception des appels, la quantité de données transmises n'était pas prise en compte de manière adéquate dans l'allocation de la pile.

Dans WhatsApp pour iOS, une faille dans le processus de détermination de la taille lors de l'analyse des paquets chez l'expéditeur lors de la réception d'un appel pourrait entraîner un débordement de la pile.

Des problèmes de mise en œuvre du RTP, permettent de prendre le contrôle d'un client par le biais d'un appel vidéo conçu à cet effet. Cela concerne Android et iOS, et non WhatsApp Web car il utilise WebRTC pour cette fonctionnalité.

Une faille de sécurité détectée par une société externe a permis à des personnes mal intentionnées d'intercepter et de manipuler des messages envoyés. Cette faille permettait de modifier la réponse d'un participant, de citer des messages de personnes qui n'avaient pas écrit ces textes ou d'envoyer des messages à des membres d'un groupes qui semblaient apparemment diffusés à l'ensemble du groupe, mais n'étaient en fait visibles que par cet utilisateur.

Les plugins Add Social Share Messenger Buttons WhatsApp et Viber 1.0.8 de MULTIDOTS pour WordPress présentent une faille par laquelle un agresseur, par hameçonnage ou ingénierie sociale, peut demander à un administrateur d’un site WordPress de modifier les paramètres du plugin en utilisant la fonction Cross-Site Request Forgery (CSRF) dans wp-admin/admin-post.php.

Les utilisateurs des réseaux sociaux avertissent qu'un utilisateur bloqué peut continuer à envoyer des messages. L'erreur semblait être liée à une mise à jour des clients mobiles WhatsApp pour Android et iPhone, et sera résolue peu après par une nouvelle mise à jour.

Une analyse incorrecte des en-têtes de l'extension RTP a rendu possible la lecture hors des limites.

Dans WhatsApp pour Android, une faille dans le processus de détermination de la taille lors de l'analyse des paquets chez l'expéditeur lors de la réception d'un appel pourrait entraîner un débordement de la pile.

Le chercheur Rob Heaten découvre une faille dans WhatsApp Web qui permet de surveiller l'activité des contacts. En utilisant une extension de Chrome, en enregistrant les temps de connexion, même s'ils sont masqués, et en comparant les informations avec celles d'autres contacts, il serait possible d'établir des schémas, des routines et même des conversations entre eux.

Des chercheurs allemands mettent en garde contre une faille permettant à une personne ayant accès aux serveurs de WhatsApp de s'inviter dans des discussions de groupe. Facebook en minimise l'importance, étant donné que, comme cela a été dit, il est préalablement nécessaire d'avoir accès aux serveurs, ce qui limite considérablement le nombre de possibilités, et les participants aux groupes peuvent également voir qu'une nouvelle personne non invitée les a rejoint. De plus, ces personnes n'ont également pas accès aux messages précédemment envoyés.

WhatsApp pour Android ne supprime pas les fichiers envoyés et reçus depuis la carte SD de l'appareil lorsqu'un tchat est supprimé ou que l'application est désinstallée. Les données de la carte SD sont stockées sans cryptage et sont accessibles à d'autres applications disposant d'une autorisation d'accès au stockage. Selon Facebook, il ne s'agissait pas d'une erreur, mais de la prestation attendue pour permettre aux utilisateurs d'exporter des données.

Une vulnérabilité permettait d'envoyer des vidéos ou des messages normaux dans l'aperçu mais contenant du code HTML, capable de charger des logiciels malveillants par le biais du navigateur. Il était ainsi possible de prendre le contrôle total du compte de l'utilisateur, de lire ses messages, de les envoyer ou de visualiser le contenu multimédia. La vulnérabilité a été signalée le 8 mars de cette même année, une semaine plus tôt. Quand elle a été rendue publique, elle avait déjà été réglée.

Le chercheur allemand Tobias Boelter découvre une erreur dans le cryptage de bout en bout de l'application. En générant les clés de sécurité à l'aide du protocole de signal Open Whysper Systems, on découvre que WhatsApp a la capacité de forcer la création de nouvelles clés pour les utilisateurs hors ligne. De nombreux experts en sécurité estiment que cette erreur n'en est pas une et, en fait, le journal The Guardian, qui a initialement publié l'erreur, s'est rétracté sur une grande partie de ses propos.

Après le déploiement du cryptage des messages, un chercheur a découvert une faille dans les bibliothèques SQL qui permettait de suivre les conversations supprimées avec vos contacts. Selon son analyse, il ne serait possible de supprimer complètement une conversation qu'en supprimant et en réinstallant l'application.

Une société russe de sécurité informatique découvre comment il est possible d'espionner les conversations en utilisant les failles de sécurité du protocole SS7. En se connectant au nœud du réseau qui dessert le terminal et en utilisant l'erreur, il serait possible de voler le SMS d'authentification et de se faire passer pour les participants. Cela pouvait se produire chaque fois que les paramètres de sécurité par défaut étaient utilisés à ce moment, lorsque l'option « Afficher les notifications de sécurité » dans les paramètres n'était pas activée, ce qui aurait pu avertir l'utilisateur d'un problème. Dans tous les cas, il s'agit davantage d'une erreur de protocole que d'une erreur WhatsApp.

En utilisant le client Web sur un PC, un agresseur pourrait envoyer une vCard contenant le code d'un logiciel malveillant et l'installer directement sur l'ordinateur.

Un étudiant en ingénierie informatique informe qu'en utilisant un iPhone et un ordinateur sous Linux, il peut extraire des fichiers et des contacts envoyés et reçus.

Une faille dans le processus d'identification de l'utilisateur permet à un agresseur d'accéder à votre compte. En installant WhatsApp sur un second appareil, en connaissant le numéro de téléphone de la victime et en ayant accès à son téléphone, il était possible de voler le compte. Pour cela, une nouvelle installation est lancée avec le numéro de la victime, le code de vérification est demandé par un appel sur son téléphone portable auquel on peut répondre sans déverrouiller le téléphone et on utilise ce code sur le deuxième client. Jusqu'à ce que la victime puisse à nouveau utiliser son compte, un nombre indéterminé de minutes est passé qui peut être utilisé pour espionner toutes les conversations.

Un agresseur distant pourrait utiliser CoreText pour déclencher une attaque par déni de service en utilisant un texte Unicode. En envoyant divers caractères qui ne sont pas correctement assimilés par la même notification, le message entraîne le redémarrage du téléphone.

Le processus de vérification de WhatsApp permet à une personne qui connaît votre numéro de téléphone de voler votre compte si votre boîte de réception est active. Il suffit d'installer WhatsApp et de commencer à enregistrer le numéro à un moment où la victime ne regarde peut-être pas son téléphone. Quand on ne répond pas à l'appel de vérification, WhatsApp laisse le message dans la boîte vocale si celle-ci est active, une boîte qui peut être appelée pour connaître le code de vérification et prendre le contrôle du compte.

Indrajeet Buyhan découvre deux failles dans la sécurité et la protection de la vie privée. D'une part, il montre comment les photos de profil des utilisateurs sont visibles même lorsque que le contact ne figure pas dans le carnet d'adresses. Tout le monde peut voir votre photo, même si vous spécifiez dans les paramètres qu'il ne doit pas en être ainsi. La seconde erreur concerne la synchronisation de WhatsApp Web et des clients mobiles : lorsque vous supprimez une photo dans une conversation, elle devient floue sur le mobile et inaccessible, mais reste disponible dans la version Web du client.

Deux adolescents découvrent un bug par lequel l'envoi d'un message texte avec un jeu spécial de très petits caractères (seulement 2 ko) a provoqué une erreur dans l'application, rendant impossible l'accès à cette conversation. Il ne s'agissait pas d'une faille de sécurité extrêmement grave, mais elle permettait de corrompre toute conversation en la forçant à être supprimée et à entamer une nouvelle conversation. Cela fut corrigé dans la mise à jour 2.11.468.

Un groupe de chercheurs de l'université de New Haven détectent une faille de sécurité par laquelle les messages indiquant l'emplacement d'un contact sont envoyés en clair, ce qui leur permet d'intercepter le contenu de ces messages et de connaître la position réelle d'un contact en utilisant une attaque de type « man-in-the-middle » avec des programmes tels que WireShark.

Un ingénieur informatique néerlandais prévient que la base de données WhatsApp est stockée sur la carte SD des terminaux, et que toute application ayant accès à cette carte SD pourrait obtenir le fichier. Lors d'un processus transparent, les malfaiteurs sont en mesure de copier la base de données et de la télécharger sur un serveur. Cette base de données a été cryptée à l'aide de SQLite3, mais il a été possible de la décrypter en utilisant un scrypt de Phyton et WhatsApp Xtract. Selon WhatsApp, dans une note publiée quelques jours plus tard, ces rapports ne donnaient pas une image fidèle de la situation et étaient exagérés : une utilisation responsable du logiciel et de l'appareil, comme dans toute autre circonstance, aurait suffi à éviter d'être victime d'une attaque.

Deux chercheurs présentent une preuve de concept à la RootedCon 2014 qui démontre qu'il est possible de contrefaire des messages WhatsApp sans laisser de trace.

L'introduction d'une nouvelle fonctionnalité de téléchargement d'images associée au partage de liens URL permettrait à une personne malveillante de connaître l'adresse IP d'une personne et donc sa localisation. Autres données utiles pour la mise en œuvre des attaques par déni de service.

Pablo San Emeterio et Jaime Sanchez publient une enquête dans laquelle ils expliquent en détail comment fonctionne le système de cryptage de messages de WhatsApp et comment, grâce à ces informations, il est possible d'intercepter les messages envoyés et de les manipuler à l’attention de leur destinataire final. En guise de solution, ils inventent l'application WhatsApp Privacy Guard. Le problème réside dans l'utilisation de la même clé pour crypter deux messages, une défaillance du protocole de cryptage RC4.

Le chercheur Thijs Alkemade détecte deux vulnérabilités dans le cryptage des messages de WhatsApp. D'une part, il découvre qu'une personne ayant accès aux messages pourrait être en mesure de déchiffrer leur contenu malgré le cryptage utilisé. D'autre part, l'utilisation de la même clé RC4 permet des attaques de type « man-in-the-middle » capables d'intercepter des paquets.

Alejandro Amo publie le service Web WhatsApp Voyeur comme preuve que n'importe qui peut obtenir des informations à partir des données des profils WhatsApp sans les avoir dans son agenda, comme des photos, des statuts ou des dates. Le service a cessé de fonctionner en raison de menaces de poursuites judiciaires. la réalité est que cela est parfaitement possible en ajoutant simplement un contact à votre agenda.

L'application WhatsApp Sniffer est lancée, vous permettant d'espionner les tchats. En août 2012, il est annoncé que WhatsApp commence à crypter les messages, sans spécifier le protocole. Les numéros de téléphone restaient toujours visibles.

Un service web appelé WhatsAppStatus est diffusé, qui tire parti des différentes vulnérabilités détectées le mois précédent pour vous permettre de modifier aléatoirement le statut de vos contacts. L'erreur sera corrigée le 6 janvier.

On découvre de nombreuses vulnérabilités liées aux statuts des utilisateurs dans l'application, au processus d'enregistrement et au protocole des texte bruts, ce qui permet de les intercepter très facilement.

Un groupe de chercheurs lance WhatsApp Xtract, un logiciel capable d'extraire et de décrypter la base de données que WhatsApp stocke localement sur les appareils. Selon les rapports, cette base de données cryptée, qui stocke tous les messages entrants et sortants, peut être consultée sur des appareils mobiles rootés ou jailbreakés et peut être facilement décodée car elle utilise toujours la même clé statique et cryptée.

Un chercheur découvre que WhatsApp envoie toutes les informations en clair sur le réseau, de sorte que tout utilisateur peut être victime d'un espionnage par le biais d'une attaque de type « man-in-the-middle » (l'homme au milieu), qui, grâce à un logiciel renifleur tel que WireShark, est capable de voir les données passant par le port 443. WhatsApp a implicitement reconnu qu'il n'y avait pas de couche de sécurité supplémentaire en répondant que les protocoles de sécurité appliqués étaient ceux des réseaux Wi-Fi et 3G.

Problèmes de sécurité dans le processus de vérification ou d'authentification du numéro de téléphone. Un développeur a découvert une faille permettant de détourner à distance le compte d'un utilisateur.