Sto analizzando il protocollo per documentarlo e rendere possibile la scrittura di client alternativi.
Le versioni desktop di Windows del client utilizzano HTTPS per comunicare con i loro server in modo che le comunicazioni dei server siano crittografate. Le versioni correnti verificano correttamente i certificati SSL (le versioni precedenti accettavano praticamente qualsiasi certificato) e alcune versioni sembrano utilizzare il blocco dei certificati. Alcuni blog indicano che altre versioni potrebbero utilizzare SPDY invece di HTTPS, ma anche questo è crittografato. Hanno clienti per circa sei piattaforme e non sembrano condividere alcun codice, quindi ci sono anche altre discrepanze.
L'autenticazione funziona tramite una semplice chiave di sessione che viene inviata con le intestazioni HTTP. La chiave è ottenuta da una procedura di accesso che prevede l'invio di una password RSA crittografata (non con hash per quanto ne so) al server, anche su HTTPS.
Non sembra esserci supporto integrato per qualsiasi crittografia end-to-end.
Questo è quello che ho ottenuto finora:
Leggi altre domande sui tag mobile instant-messaging