De Amerikaanse burgerrechtenbeweging EFF wil dat WhatsApp opties gaat toevoegen die ook in de versleutelde chat-app Signal afkomstig zijn, om zo te voorkomen dat versleutelde berichten eventueel kunnen worden gelezen. Aanleiding voor de oproep van de EFF is een kwetsbaarheid in WhatsApp.
WhatsApp-gebruiker Alice stuurt bijvoorbeeld naar Bob een bericht dat met de K1-sleutel van Bob is versleuteld. Het bericht van Alice wordt op de server van WhatsApp opgeslagen totdat Bob het bericht kan downloaden. Bob laat zijn telefoon echter vallen en koopt een nieuw toestel. Daarop installeert hij WhatsApp. De app maakt vervolgens een nieuwe encryptiesleutel K2 aan.
Nu zijn er twee opties hoe versleutelde chatprogramma's met deze situatie kunnen omgaan. Bij de eerste optie vertelt de server tegen de telefoon van Alice dat Bob een nieuwe K2-sleutel heeft en vraagt om het eerder verstuurde bericht nu met de K2-sleutel te versleutelen. De telefoon van Alice doet dit en Bob ontvangt het bericht. Als Alice had ingeschakeld om te worden gewaarschuwd dat de sleutel van de ontvanger was veranderd, had ze een waarschuwing ontvangen dat Bob een nieuwe sleutel heeft. Dit is hoe WhatsApp werkt.
Bij de chat-app Signal wordt het bericht op de server verwijderd, aangezien het met de K1-sleutel was versleuteld die niet langer bestaat. Bob krijgt het bericht daarom nooit meer te zien. Als Alice bij Signal de optie instelt om te worden gewaarschuwd bij een nieuwe sleutel, krijgt ze het bericht dat Bob een nieuwe sleutel heeft en haar bericht niet is aangekomen. Ze krijgt vervolgens de optie om het bericht opnieuw te versturen met de nieuwe sleutel van Bob.
Volgens de EFF veroorzaakt de werking van WhatsApp een beveiligingsprobleem. Bob hoeft zijn telefoon namelijk niet te verliezen voor de server om te doen alsof die het toestel toch is verloren. De server kan ook doen dat de nieuwe sleutel van Bob een sleutel is waar de server de controle over heeft. Vervolgens vertelt de server aan Alice dat Bob een nieuwe sleutel heeft, maar geeft Alice geen kans om te voorkomen dat het eerder verstuurde bericht opnieuw wordt verstuurd. WhatsApp op haar telefoon zal het bericht automatisch opnieuw versturen, dat de server nu kan lezen. Alice wordt, als ze hiervoor kiest, wel gewaarschuwd, maar dan is het bericht al verstuurd.
Gebruikers van wie de veiligheid gevaar loopt als een enkel bericht wordt ontsleuteld moeten dan ook geen WhatsApp gebruiken, aldus de EFF. De organisatie adviseert sowieso al niet om via WhatsApp te communiceren. Toch begrijpt de burgerrechtenbeweging dat WhatsApp deze beslissing heeft gemaakt. Ook prijst de EFF het feit dat WhatsApp-berichten standaard end-to-end versleuteld zijn. De chat-app concurreert namelijk met andere apps die geen end-to-end-encryptie toepassen, zoals Google Allo. "Toch is dit een kwetsbaarheid in WhatsApp en ze moeten gebruikers de keuze geven om meer beperkende Signal-achtige standaarden in te stellen", stelt de EFF.
De burgerrechtenbeweging wil de kwetsbaarheid geen backdoor noemen. "Dit is een klassieke security-afweging. Elk communicatiesysteem moet dergelijke afwegingen maken. Perfecte beveiliging heeft weinig zin als de resulterende tool zo lastig is om te gebruiken dat die niet wordt gebruikt. PGP maakte aan het begin verschillende security-afwegingen en lijkt daardoor nu net als de dodo uit te sterven." Volgens de EFF horen gebruikers zoveel controle als mogelijk te hebben. "Maar WhatsApp moet een standaard instellen en hun keuze is te verdedigen."
Deze posting is gelocked. Reageren is niet meer mogelijk.