Pomanjkljivost je opazil Maikel Zweerink in spisal orodje, ki služi kot demonstracija koncepta. Za uporabo potrebujete le napravo z mobilno številko, ki ni registrirana v WhatsApp, in že lahko za poljubnega uporabnika, čigar telefonsko številko poznate, spremljate aktivnost. To pomeni, da lahko vidite, kdaj je bil dosegljiv prek WhatsAppa in kdaj ne, kdaj je spremenil profilno sliko, kdaj je menjal statusno sporočilo ter kdaj je spreminjal katerekoli nastavitve zasebnosti.

Prav v slednjih tiči zajec. WhatsApp omogoča nastavitev, kdo ima dostop do funkcije Last Seen, ki pokaže zadnjo uporabnikovo prijavo v storitev. Četudi izberete Only Me, torej efektivno izključite to možnost, bodo vaši kontakti še vedno lahko videli, da ste se vpisali v WhatsApp, če bodo tisti hip tudi sami prijavljeni. To ni nobena luknja, tak je dizajn storitve. Od tod Zweerinku ni bilo težko napisati aplikacije, ki te podatke zbira in lično predstavi v grafični obliki. Pogoj je, da je aplikacija pognana, torej podatkov ne moremo pridobivati za nazaj.

S tem sicer ne moremo dobiti podatkov o vsebini komunikacije niti prometnih podatkov, je pa vseeno zaskrbljujoče dejstvo, da lahko popolni neznanci spremljajo vaše navade, kdaj uporabljate aplikacijo. Zweerink je spisal podrobna navodila, kako lahko tudi sami preizkusite ranljivost. Potrebujete mobilni telefon, nenehno dosegljiv strežnik (sam priporoča Raspberry Pi), Nginx ali Apache, PHP in PostgresSQL.

SloTech