I 2016 aktiverte endelig WhatsApp fullstendig end-to-end-kryptering for både chats og videosamtaler for å sikre at ingen andre enn den tiltenkte mottakeren kan tyde innholdet i kommunikasjonen. Dessverre har det kommet fram at WhatsApps system har blitt plaget av en stor sårbarhet som ble oppdaget av Tobias Boelter, en kryptografi- og sikkerhetsforsker ved University of California, Berkeley.
I et intervju med den britiske avisen The Guardian sa Boelter at bakdøren kunne la Facebook lese kryptert innhold fra ende til annen, noe som betyr at det sosiale nettverket kan etterleves rettspålegg om å gjøre dekrypterte meldinger tilgjengelige for rettshåndhevelse og andre offentlige etater
OPPDATER: Vi har mottatt et svar fra WhatsApp angående den påståtte bakdøren.
En talsperson for WhatsApp ga følgende uttalelse til iDownloadBlog, og forklarte hvorfor The Guardians påstand om potensielt kompromittert sikkerhet er usant.
The Guardian la ut en historie i morges og hevdet at en forsettlig designavgjørelse i WhatsApp som forhindrer folk i å miste millioner av meldinger er en "bakdør" som lar regjeringer tvinge WhatsApp til å dekryptere meldingsstrømmer. ** Denne påstanden er falsk. **
WhatsApp gir ikke regjeringer en "bakdør" i sine systemer og vil bekjempe enhver regjeringsanmodning om å opprette en bakdør. Designvedtaket som refereres til i Guardian-historien forhindrer at millioner av meldinger går tapt, og WhatsApp tilbyr mennesker sikkerhetsvarsler for å varsle dem om potensiell sikkerhetsrisiko.
WhatsApp publiserte en teknisk hvitbok om krypteringsdesignet, og har vært gjennomsiktig om regjeringens forespørsler den mottar, og publiserte data om disse forespørslene i Facebook Government Requests Report. (Https://govtrequests.facebook.com/)
Kryptering brukt av WhatsApp er basert på Open Whisper Systems sin signalprotokoll.
Det som er mistenkelig her, er at den samme sårbarheten ikke er til stede i Signal-appen. Boelter har bekreftet at sårbarheten i utgangspunktet lar WhatsApp endre krypteringsnøkler for offline brukere. Som et resultat vil eventuelle usendte eller fremtidige meldinger bli sendt med en ny krypteringsnøkkel uten at mottakeren skjønner det.
Avsenderen blir bare varslet hvis de har valgt å kryptere advarsler i WhatsApps innstillinger, men bare etter at meldingene er blitt sendt på nytt. Denne re-kryptering og rebroadcasting gjør det mulig for WhatsApp å avskjære og lese brukernes meldinger.
Kontrast dette med det nevnte Signalsystemet som varsler avsenderen om endringer i sikkerhetsnøklene uten automatisk å sende meldingen på nytt. Faktisk vil en melding ikke bli levert via Signal-appen hvis en endring i krypteringsnøklene skjer.
Boelter rapporterte saken til Facebook i april 2016 bare for å få beskjed om at dette var "forventet oppførsel", og vekket mistanke om at dette kan være en bevisst opprettet bakdør i stedet for å være et teknisk tilsyn eller en feil av noe slag.
Mer bekymringsfullt har The Guardian bekreftet at bakdøren fremdeles eksisterer i dag.
Personvernkampanjer har kritisert utviklingen som en "enorm trussel mot ytringsfriheten", og sier at den kan utnyttes av offentlige etater. Eksistensen av en bakdør i WhatsApps kryptering er "en gullgruve for sikkerhetsbyråer" og "et enormt svik mot brukertillit," sa Kristie Ball, meddirektør og grunnlegger av Center for Research in Information, Surveillance and Privacy.
I alle fall bør Facebook definitivt komme rent på om WhatsApps ende-til-ende-kryptering er blitt kompromittert eller ikke. Og i så fall oppstår det uunngåelige spørsmålet: har Facebook blitt tvunget av en tredjepart til å bygge en bakdør i WhatsApp?
Facebook avslo kommentar, men vi vil oppdatere artikkelen hvis og når de gjør det.
Kilde: The Guardian