Opdatering: WhatsApp har givet følgende svar:
"The Guardian postede en historie sin morgen og hævdede, at en bevidst designbeslutning i WhatsApp, der forhindrer mennesker fra at miste millioner af beskeder er en "bagdør", der tillader regeringer at tvinge WhatsApp til at dekryptere beskeder vandløb. Denne påstand er falsk.
WhatsApp giver ikke regeringer en "bagdør" til deres systemer og vil bekæmpe enhver regeringsanmodning om at skabe en bagdør. Designbeslutningen, der refereres til i Guardian-historien, forhindrer millioner af beskeder i at gå tabt, og WhatsApp tilbyder folk sikkerhedsmeddelelser for at advare dem om potentielle sikkerhedsrisici. WhatsApp udgav en teknisk hvidbog om dets krypteringsdesign og har været gennemsigtig omkring de regeringsanmodninger, den modtager, og har offentliggjort data om disse anmodninger i Rapport om Facebook-regeringens anmodninger.“
Den originale historie fortsætter nedenfor.
–
WhatsApp har en bagdør, der kan give Facebook mulighed for at opsnappe og læse krypterede beskeder.
Det fremgår af en rapport i The Guardian, som hævder måden WhatsApp har implementeret sin end-to-end-krypteringsprotokol, gør det muligt for virksomheden at få adgang til private beskeder, i hvert fald i teorien.
Som rapporten forklarer, er WhatsApps kryptering "afhængig af generering af unikke sikkerhedsnøgler", der er oprettet ved hjælp af Open Whisper Systems Signalprotokol. Disse unikke nøgler handles og verificeres mellem brugere for at sikre, at kommunikationslinjerne er sikre fra mellemmænd.
Så langt så godt. Men det viser sig, at WhatsApp også har evnen til automatisk at sende ikke-leverede beskeder igen, hvilket tvinger generering af nye krypteringsnøgler uvidende af modtageren (afsenderen får først besked, efter at beskeden er blevet gensendt, hvis brugeren har tilmeldt sig krypteringsadvarsler i indstillinger). Afgørende er, at denne genkryptering kunne tillade WhatsApp eller en anden part at generere kendte nøgler, som ville give dem mulighed for at opsnappe og læse beskeden.
Denne opsætning er ikke hjemmehørende i signalprotokollen, som ikke vil levere en besked, hvis sikkerhedsnøglen er blevet ændret, mens den er offline. I stedet skyldes sårbarheden WhatsApps implementering af protokollen, som automatisk gensender en ikke-leveret besked med en ny nøgle.
Tobias Boelter, en sikkerhedsforsker fra University of California, Berkeley, opdagede sårbarheden og rapporterede den til WhatsApps ejere Facebook i 2016. Han fik senere at vide, at det var "forventet opførsel", og The Guardian har været i stand til at verificere, at bagdøren stadig eksisterer.
"Hvis WhatsApp bliver bedt af et regeringsagentur om at afsløre sine beskedregistreringer, kan det effektivt give adgang på grund af ændringen i nøgler," fortalte Boelter The Guardian.
Se relateret
Bagdøren blev også verificeret af Steffen Tor Jensen, chef for informationssikkerhed og digital modovervågning i European-Bahraini Organisation for Human Rights. "WhatsApp kan effektivt fortsætte med at vende sikkerhedsnøglerne, når enheder er offline og sende beskeden igen, uden at lade brugerne vide om ændringen, indtil efter den er blevet foretaget, hvilket giver en ekstremt usikker platform,” sagde han til avisen.
WhatsApps formodede opmærksomhed på informationssikkerhed har gjort det til en valgplatform for dissidenter, journalister og diplomater. Privatlivsforkæmpere har fordømt denne afsløring af en påstået bagdør, herunder professor Kirstie Ball, meddirektør og grundlægger af Center for Forskning i Information, Overvågning og Privatliv, som sagde, at sårbarheden var "en enorm trussel mod friheden tale".
"Hvis du bruger WhatsApp til at undgå regeringsovervågning, så stop nu," tweetede The Guardian’s Samuel Gibbs.
"At have en sikkerhedsbagdør, der tvinger genereringen af nye krypteringsnøgler, er dårligt nok. Men ikke at gøre modtageren opmærksom på denne ændring er yderst uetisk,” sagde Jacob Ginsberg, sseniordirektør hos krypteringssoftwarefirmaet Echoworx. "JEGt sætter spørgsmålstegn ved sikkerheden, privatlivets fred og troværdigheden af hele tjenesten og virksomheden. Det faktum, at Facebook har kendt til denne sårbarhed siden april, er dobbelt opdæmmer. Ikke alene kunne dette af mange ses som støtte til igangværende regeringsdataindsamlingsinterventioner, det betyder, at deres tale om kryptering og privatliv ikke har været andet end mundheld. Virksomheden skal aktivt forholde sig til sine sikkerhedsforanstaltninger."
