WhatsApp encryptie is nog niet betrouwbaar
Beveiligingsonderzoekers concluderen dat WhatsApp niet helemaal veilig is nadat zij de encryptie onderzochten.
Voor de eind-tot-eind-versleuteling die WhatsApp vorig jaar introduceerde ging het bedrijf een samenwerking aan met Open Whisper Systems, dat ook de versleutelde sms-client TextSecure maakt. Het Duitse beveiligingsbedrijf Heise Security lukte het echter om een man-in-the-middle-aanval te doen. Daarbij luisterden zij het verkeer af via tools als Wireshark.
WhatsApp meldde tijdens de introductie al dat de versleuteling in de eerste plaats alleen voor Android-gebruikers beschikbaar zou zijn. Versleuteling voor de iPhone zou later komen, evenals versleuteling binnen groepsgesprekken. Als er geen encryptie beschikbaar is (op iOS) dan schakelt WhatsApp automatisch over naar RC4-encryptie. Die vorm van versleuteling is echter niet veilig.
De onderzoekers vallen er over dat de encryptie selectief kan worden in- of uitgeschakeld. Dat zou ook betekenen dat WhatsApp bij een verzoek van inlichtingendiensten alsnog inzage kan bieden in gesprekken. WhatsApp geeft tevens geen inzage in zijn beveiligingsprotocol aan onderzoekers. Daardoor is niet te controleren of de beveiliging sterk genoeg is.
Open Whisper Systems heeft op Reddit gereageerd op het rapport en zegt dat de uitrol volgens plan verloopt. Het bedrijf zegt verder dat het nog werkt aan encryptie op iOS.