WhatsApp zegt dat de beveiliging van het berichtenverkeer zo goed versleuteld is, dat zelfs zijzelf als eigenaar van deze service geen berichten kunnen onderscheppen en decoderen.
Vorige week bleek echter dat berichten die via WhatsApp worden verstuurd wel degelijk zijn op te vangen en te ontsleutelen. Dat stelt Tobias Boelter, cryptograaf en security researcher aan de Berkely Universiteit in Californië. WhatsApp is sinds februari 2014 eigendom van Facebook.
Programmeerfout of backdoor?
Volgens Boelter zou het om een kwetsbaarheid kunnen gaan die is ontstaan door een programmeerfout: “Het is een soort fout die niet per definitie met kwade bedoelingen is toegevoegd, net als veel andere ernstige beveiligingslekken die dagelijks in belangrijke producten worden gevonden.”. Boelter informeerde Facebook vorig jaar al over deze kwetsbaarheid maar het bedrijf toonde geen interesse. Boelter stelt zichzelf de vraag: “Misschien was het eerst een bug, maar is die sinds de ontdekking als een backdoor gebruikt?”.
Open Whisper Systems
WhatsApp gebruikt end-to-end encryptie aan de hand van security keys van Open Whisper Systems. WhatsApp kan deze end-to-end service echter onderscheppen, terwijl de afzender van het onderschepte bericht de mededeling krijgt: ‘not delivered message’. De mededeling is aangevuld met het advies om het bericht nogmaals te sturen. Het tweede bericht komt vervolgens wel aan bij de ontvanger.