В апреле прошлого года мессенджер включил для всех своих пользователей end-to-end шифрование, благодаря чему доступ к сообщениям есть только у участников переписки. Но Болтеру удалось найти лазейку в алгоритме генерации ключей шифрования.
В WhatsApp каждому пользователю выдается уникальный ключ шифрования, привязанный к номеру телефона. Из-за этого одновременно переписываться под своим аккаунтом можно только с одного устройства. Но Болтер обнаружил, что WhatsApp генерирует новые ключи шифрования для пользователей, находящихся в оффлайне. Из-за этого устройство отправителя выполняет повторное шифрование и отправку сообщений, не помеченных как "Доставлено", но уже с использование нового ключа. В этом случае получатель даже не узнает о смене ключа шифрования, а отправитель лишь получит уведомление, если соответствующая опция включена в настройках приложения, но произойдет это уже после того, как сообщения были повторно отправлены с использованием нового ключа.
По мнению Болтера, в момент изменения ключа шифрования создатели WhatsApp могут перехватывать и читать сообщения пользователей.
Стоит отметить, что разработчики мессенджера утверждают, что у них нет доступа к переписке пользователей, а обнаруженная уязвимость является особенностью их системы шифрования, поэтому пользователям не о чем беспокоиться.
Ранее международная правозащитная организация Amnesty International составила рейтинг мессенджеров 11 компаний, основываясь на защищенности от несанкционированного доступа к переписке пользователей. Самыми безопасными, по мнению правозащитников, являются Facebook Messenger и WhatsApp, которые набрали по 73 балла. На второй строчке разместились iMessage, FaceTime и Telegram, набравшие по 67 баллов.