Die MAC Adresse ist natürlich sehr viel einfacher zu ermitteln. Aber wenn man mal ganz ehrlich ist: Wie oft surft man wirklich in einem öffentlichen WLAN? Übers Handy Netz kommt man nicht an die MAC Adresse und im heimischen Netz sollte man ja im Normalfall nicht Opfer eines Angriffes werden Die einzige Zeit, die ich außerhalb von zu Hause im WLAN bin, ist bei mir an der UNI. Und dort sind derart viele Leute eingeloggt, dass es niemals möglich ist, irgendeine MAC Adresse einer bestimmten Person zuzuordnen. Es müsste also schon jemand ganz genau meine Handynummer wissen und dann mit etwas Glück und ausprobieren sämtlicher MAC Adressen, versuchen meinen Account zu übernehmen.

Dennoch ist es natürlich lächerlich von den WhatsApp Entwicklern, eine solch billige Authentifizierung zu verwenden. Ein Account aus E-Mail + Kennwort Kombination hätte ja neben dem Sicherheitsaspekt zudem noch den Vorteil, dass man auch bei einer neuen Nummer oder einem neuen Gerät noch das alte Benutzerkonto weiterverwenden könnte. Ein solcher Login im Zusammenhang mit RSA oder Konsorten könnte den Messenger um etliches sicherer machen. Dann bräuchte man die Nachrichten auch nicht mehr mit einem mehr oder weniger hardcoded key zu verschlüsseln