Fileperms memulai analisis dengan menyebutkan kalau hingga Agustus 2012, pesan yang dikirim melalui layanan WhatsApp tidak dienkripsi dengan cara apapun, semuanya dikirim dalam plaintext. Bila menggunakan WhatsApp dalam jaringan WiFi publik, siapa pun bisa mengendus pesan masuk dan keluar (termasuk transfer file). Perusahaan mengklaim bahwa versi terbaru aplikasi WhatsApp akan mengenkripsi pesan, tanpa memberikan rincian tentang apa metode kriptografi yang mereka gunakan. Namun ternyata, Fileperms menemukan bahwa enkripsi mereka rusak.
Otentikasi pada aplikasi WhatsApp disebut Fileperms sebagai mimpi buruk keamanan. Pada perangkat Android, kata kuncinya adalah campuran md5 dari nomor IMEI yang dibalik. Dan pada perangkat iOS, kata kunci bisa dihasilkan dari alamat WLAN MAC. Sedangkan ‘Username’ adalah nomor handphone pengguna yang mungkin sudah diketahui oleh calon penyerang.
Nomor IMEI hanya bisa diperoleh jika Anda memiliki akses fisik ke handphone atau jika Anda mengontrol sebuah aplikasi yang diinstal pada perangkat pengguna. Sedangkan alamat WLAN MAC bisa ditemukan dengan menggunakan sniffer jaringan.
Dan begitu saja, Anda sudah bisa mengambil alih suatu akun pengguna WhatsApp.
