У квітні минулого року месенджер включив для всіх своїх користувачів end-to-end шифрування, завдяки чому доступ до повідомлень є тільки у учасників листування. Але Болтеру вдалося знайти лазівку в алгоритмі генерації ключів шифрування.
У WhatsApp кожному користувачеві видається унікальний ключ шифрування, прив'язаний до номера телефону. Через це одночасно листуватися під своїм акаунтом можна тільки з одного пристрою. Але Болтер виявив, що WhatsApp генерує нові ключі шифрування для користувачів, що знаходяться в офлайні. Через це пристрій відправника виконує повторне шифрування та надсилання повідомлень, не позначених як "Доставлено", але вже з використання нового ключа. У цьому випадку одержувач навіть не дізнається про зміну ключа шифрування, а відправник лише отримає повідомлення, якщо відповідна опція включена в настройках програми, але станеться це вже після того, як повідомлення було повторно надіслано з використанням нового ключа.
На думку Болтера, в момент зміни ключа шифрування творці WhatsApp можуть перехоплювати і читати повідомлення користувачів.
Варто відзначити, що розробники месенджера стверджують, що у них немає доступу до листування користувачів, а виявлена уразливість є особливістю їхньої системи шифрування, тому користувачам не про що турбуватися.
Раніше міжнародна правозахисна організація Amnesty International склала рейтинг месенджерів 11 компаній, грунтуючись на захищеності від несанкціонованого доступу до листування користувачів. Найбезпечнішими, на думку правозахисників, є Facebook Messenger і WhatsApp, які набрали по 73 бали. На другій сходинці розмістилися iMessage, FaceTime і Telegram, які набрали по 67 балів.