A Facebook tulajdonában lévő WhatsApp pár éve alkalmaz végponttól végpontig terjedő (end-to-end) titkosítást, aminek lényege, hogy csak és kizárólag a küldő és a címzett tudja elolvasni az egymással váltott üzeneteket, még maga a cég sem képes hozzáférni azokhoz. Ezért az egyik legbiztonságosabb csevegőnek számít.
A Wired arról számolt be, hogy a Ruhr Egyetem szakértői azonban olyan biztonsági rést fedeztek fel a mobilos csevegőben, amit kihasználva rosszakarók más felhasználók privát, csoportos beszélgetéseihez adhatnak hozzá más felhasználókat, így akár bele is tudnak kukkolni mások beszélgetéseibe.
Ehhez nem kell az adminisztrátor jóváhagyása sem, pedig alapesetben csak a csoportbeszélgetés adminja képes új tagot felvenni.
Ha csoportok esetében is végponttól végpontig terjedő titkosítást használnak, akkor az új tagok hozzáadásának is védettnek kéne lennie. Amennyiben nem, a titkosítás nem sokat ér.” – írták a szakemberek.
Ugyan ez elsőre ijesztőnek hangzik, meg kell jegyezni, hogy csak abban az esetben kivitelezhető egy ilyen jellegű támadás, ha a hacker előbb a WhatsApp szerverei felett veszi át az irányítást, ami kemény dió.
A WhatsApp azóta megerősítette a hiba létezését, de hozzátették, hogy eddig nem volt példa arra, hogy valaki a többi résztvevő tudta nélkül kapcsolódott volna be egy beszélgetésbe.
„A résztvevők mindig értesítést kapnak arról, ha újabb ember csatlakozott a csoporthoz. A csoportüzeneteket nem kapják meg rejtőzködő felhasználók.”
A kutatók hozzátették, hogy értesítették a WhatsAppot a hibáról, de mivel a cég szerint a hiba csak elméleti szinten létezik, ezért nem kaptak érte pénzjutalmat a Facebook által indított hibakereső (bug bounty) programon belül.