Compania Facebook susține că nimeni nu poate să intercepteze mesajele de pe WhatsApp, nici măcar ea însăși sau angajații ei, asigurând astfel confidențialitatea celor peste 1 miliard de utilizatori ai acestui serviciu de mesagerie instantanee. Un studiu recent a demonstrat însă faptul că, în realitate, firma americană poate să citească acele mesaje datorită felului în care WhatsApp a implementat protocolul său de criptare totală a datelor.

Apărătorii dreptului la intimitate spun că această vulnerabilitate reprezintă ”o amenințare uriașă la adresa libertății cuvântului” și a avertizat că breșa ar putea fi folosită de agenții guvernamentale pentru a spiona utilizatorii WhatsApp, care trăiesc cu iluzia că mesajele lor sunt ”securizate 100%”.

Aplicația WhatsApp a făcut din confidențialitatea utilizatorilor și securizarea completă a mesajelor acestora principalul ei atuu de comercializare. În ultimii ani, acest serviciu a devenit mediul preferat de comunicare online folosit de activiști, disidenți și diplomați.

Criptarea totală a mesajelor publicate pe WhatsApp se bazează pe generarea unor coduri de securitate unice, folosind mult lăudatul protocol Signal, dezvoltat de Open Whisper Systems, care sunt schimbate și verificate între utilizatori, pentru a garanta faptul că discuțiile sunt securizate și că nu pot fi interceptate de către terți.

Totuși, WhatsApp dispune de abilitatea de a ”forța” generarea unor noi coduri de criptare pentru utilizatorii offline, necunoscuți de expeditorii și destinatarii mesajelor, și de a-l face pe expeditor să recripteze mesajele cu noi coduri, pentru a le trimite apoi din nou - această breșă e valabilă în cazul acelor mesaje care nu au fost marcate ca fiind expediate.

Destinatarul nu este conștient de această schimbare a criptării, în timp ce expeditorul este doar notificat - dacă a bifat opțiunea de avertizare în cazul unei recriptări - și doar după ce mesajul a fost reexpediat. Această recriptare și această retransmitere permit în mod efectiv serviciului WhatsApp să intercepteze și să citească mesajele utilizatorilor.

Breșa de securitate a fost descoperită de Tobias Boelter, un expert în criptare și securitate cibernetică din cadrul Universității California, Berkeley.

”Dacă reprezentanții WhatsApp sunt somați de agențiile guvernamentale să dezvăluie înregistrările cu mesajele utilizatorilor, acest serviciu poate într-adevăr să ofere acces, din cauza schimbării codurilor de securitate”, a spus el.

Breșa de securitate nu este însă inerentă protocolului Signal. Aplicația de mesagerie instantanee dezvoltată de Open Whisper Systems, Signal, folosită și recomandată de Edward Snowden, nu este afectată de această vulnerabilitate. Dacă un destinatar își schimbă codurile de securitate în timp ce este offline, de exemplu, un mesaj ce i-a fost trimis de un alt utilizator nu va putea să îi parvină, iar expeditorul va fi notificat în legătură cu schimbarea codurilor de criptare, fără ca acel mesaj să fie reexpediat în mod automat.

Modul în care este construită aplicația WhatsApp determină reexpedierea automată a unui mesaj rămas nelivrat, folosind o nouă cheie de criptare, fără avertizarea în prealabil a utilizatorului și fără a-i oferi acestuia posibilitatea de a preveni o astfel de situație.

Îngrijorările generate de confidențialitatea utilizatorilor WhatsApp au fost subliniate de mai multe ori după ce Facebook a achiziționat acest serviciu în anul 2014 contra sumei de 22 de miliarde de dolari. În august 2015, Facebook a anunțat o modificare a politicii sale de confidențialitate aplicabilă serviciului WhatsApp, pentru a permite rețelei de socializare să comaseze datele utilizatorilor de WhatsApp cu cele ale utilizatorilor de Facebook, inclusiv numerele de telefon și tiparele de folosire a aplicației, în scopuri publicitare și de dezvoltare.

Facebook a oprit însă folosirea datelor partajate în scopuri publicitare în noiembrie, în urma presiunilor făcute de Article 29 Working Party, o agenție paneuropeană ce militează pentru protejarea datelor confidențiale ale internauților. Comisia Europeană a depus apoi o plângere împotriva Facebook, pentru a preveni furnizarea de informații ”înșelătoare” în urma achiziționării de către rețeaua de socializare a serviciului de mesagerie instantanee WhatsApp, după comasarea datelor utilizatorilor.