Säkerhetsforskare hittade en bakdörr i den populära meddelandeapplikationen WhatsApp nyligen som kunde låta WhatsApp fånga upp och läsa användarmeddelanden.
Facebook, ägaren av WhatsApp, hävdar att det är omöjligt att avlyssna meddelanden på WhatsApp tack vare servicens slutkryptering. Företaget uppger att ingen, inte ens sig själv, kan läsa vad som skickas när både avsändare och mottagare använder den senaste versionen av applikationen.
WhatsApps en-till-än-kryptering garanterar att bara du och personen du kommunicerar med kan läsa vad som skickas, och ingen däremellan, inte ens WhatsApp. Dina meddelanden är säkrade med ett lås, och endast mottagaren och du har den speciella nyckeln som behövs för att låsa upp och läsa ditt meddelande. För ytterligare skydd har varje meddelande du skickar ett unikt lås och nyckel. Allt detta sker automatiskt: inget behov av att aktivera inställningar eller ställa in speciella hemliga chattar för att säkra dina meddelanden.
Det visar sig dock att det finns ett sätt för WhatsApp att läsa användarmeddelanden, som säkerhetsforskaren Tobias Boelter (via The Guardian) fick reda på.
Uppdatering : I ett uttalande som skickades till Ghacks tillhandahöll en talesman för WhatsApp följande insikt om påståendet:
"The Guardian publicerade en berättelse i morse där han hävdade att ett avsiktligt designbeslut i WhatsApp som hindrar människor från att förlora miljoner meddelanden är en" bakdörr "som gör det möjligt för regeringar att tvinga WhatsApp att dekryptera meddelandeströmmar. ** Detta påstående är falskt. **
WhatsApp ger inte regeringar en "bakdörr" i sina system och skulle bekämpa alla regeringens begäran om att skapa en bakdörr. Designbeslutet som det hänvisas till i Guardian-berättelsen förhindrar att miljoner meddelanden går förlorade, och WhatsApp erbjuder människor säkerhet
aviseringar för att varna dem för potentiella säkerhetsrisker. WhatsApp publicerade en teknisk vitbok om sin krypteringsdesign och har varit transparent om regeringens begäranden som den får, och publicerat data om dessa förfrågningar i Facebook Government Requests Report. (//Govtrequests.facebook.com/)"
WhatsApp har makten att generera nya krypteringsnycklar för användare som inte är online. Både avsändaren och mottagaren av meddelanden görs inte medvetna om det, och avsändaren skickar alla meddelanden som ännu inte levererats igen med den nya krypteringsnyckeln för att skydda meddelanden från tredje parts åtkomst.
Mottagaren av meddelandet görs inte medvetet om det. Avsändaren, bara om Whatsapp är konfigurerad för att visa säkerhetsmeddelanden. Detta alternativ är dock inte aktiverat som standard.
Medan WhatsApp-användare inte kan blockera företaget - eller några statliga aktörer som begär data - från att utnyttja kryphålet, kan de åtminstone aktivera säkerhetsmeddelanden i applikationen.
Säkerhetsforskaren rapporterade sårbarheten för Facebook i april 2016 enligt The Guardian. Facebook svar var att det var "avsedd beteende" enligt tidningen.
Aktivera säkerhetsmeddelanden i WhatsApp
Gör följande för att aktivera säkerhetsmeddelanden i WhatsApp:
- Öppna WhatsApp på enheten du använder.
- Klicka på menyn och välj Inställningar.
- Välj Konto på sidan Inställningar.
- Välj Säkerhet på sidan som öppnas.
- Aktivera "visa säkerhetsmeddelanden" på säkerhetssidan.
Du får aviseringar när en kontakts säkerhetskod har ändrats. Även om detta inte förhindrar missbruk av bakdörren kommer det åtminstone att informera dig om dess potentiella användning.
