2016 möjliggjorde WhatsApp äntligen fullständig slutkryptering för både chattar och videosamtal för att säkerställa att ingen annan än den avsedda mottagaren kan dechiffrera innehållet i sin kommunikation. Tyvärr har det framkommit att WhatsApps system har plågas av en stor sårbarhet som upptäcktes av Tobias Boelter, en kryptografi- och säkerhetsforskare vid University of California, Berkeley.
I en intervju med den brittiska tidningen The Guardian sade Boelter att bakdörren kunde låta Facebook läsa krypterat innehåll i slutet, vilket innebär att det sociala nätverket kan följas med domstolsbeslut för att göra dekrypterade meddelanden tillgängliga för brottsbekämpande och andra myndigheter.
UPPDATERING: Vi har fått ett svar från WhatsApp angående den påstådda bakdörren.
En talesman för WhatsApp lämnade följande uttalande till iDownloadBlog och förklarade varför The Guardians påstående om potentiellt komprometterad säkerhet är falskt.
The Guardian publicerade en historia i morse där han hävdade att ett avsiktligt designbeslut i WhatsApp som hindrar människor från att förlora miljoner meddelanden är en "bakdörr" som gör att regeringar kan tvinga WhatsApp att dekryptera meddelandeströmmar. ** Detta påstående är falskt. **
WhatsApp ger inte regeringar en "bakdörr" i sina system och skulle bekämpa alla regeringens begäran om att skapa en bakdörr. Designbeslutet som det hänvisas till i Guardian-berättelsen förhindrar att miljoner meddelanden går förlorade, och WhatsApp erbjuder människor säkerhetsmeddelanden för att varna dem för potentiella säkerhetsrisker.
WhatsApp publicerade en teknisk vitbok om sin krypteringsdesign och har varit transparent om regeringens begäranden som den får, och publicerat data om dessa förfrågningar i Facebook Government Requests Report. (Https://govtrequests.facebook.com/)
Kryptering som används av WhatsApp är baserat på Open Whisper Systems signalprotokoll.
Det som är misstänksamt här är att samma sårbarhet inte finns i Signal-appen. Boelter har bekräftat att sårbarheten i princip tillåter WhatsApp att ändra krypteringsnycklar för offline-användare. Som ett resultat skickas alla osända eller framtida meddelanden med en ny krypteringsnyckel utan att mottagaren inser det.
Avsändaren meddelas endast om de har valt att krypteringsvarningar i WhatsApps inställningar, men först efter att meddelandena har skickats om. Denna omkryptering och omutsändning gör att WhatsApp effektivt kan fånga upp och läsa användarens meddelanden.
Kontrast detta mot nämnda Signalsystem som meddelar avsändaren om alla ändringar i säkerhetsnycklar utan att automatiskt skicka meddelandet igen. Faktum är att ett meddelande inte kommer att levereras via Signal-appen om en ändring av krypteringsnycklarna inträffar.
Boelter rapporterade frågan till Facebook i april 2016 bara för att få höra att detta var ”förväntat beteende”, vilket väckte misstankar om att detta kan vara en avsiktligt skapad bakdörr snarare än att vara en teknisk övervakning eller ett fel av något slag.
Mer oroande har The Guardian verifierat att bakdörren fortfarande finns idag.
Kampanjer för integritetsskydd har kritiserat utvecklingen som ett "stort hot mot yttrandefriheten" och säger att den kan utnyttjas av myndigheter. Förekomsten av en bakdörr inom WhatsApps kryptering är "en guldgruva för säkerhetsbyråer" och "ett enormt svik mot användarförtroende", säger Kristie Ball, meddirektör och grundare av Center for Research in Information, Surveillance and Privacy.
I alla fall bör Facebook definitivt komma rent om huruvida WhatsApps kryptering i slutändan har äventyrats eller inte. Och i så fall uppstår den oundvikliga frågan: har Facebook tvingats av en tredje part att bygga en bakdörr i WhatsApp?
Facebook avslog kommentaren, men vi kommer att uppdatera artikeln om och när de gör det.
Källa: The Guardian