"Als het bedrijf achter WhatsApp door veiligheidsdiensten wordt gevraagd berichten te overhandigen, kan het bedrijf dat makkelijk doen door sleutels te wijzigen," vertelt Boelter in aan The Guardian

Facebook heeft altijd volgehouden dat niemand de versleutelde WhatAapp-berichten kan onderscheppen, zelfs de medewerkers van het bedrijf niet. Dat blijkt dus niet waar te zijn. Boelter ontdekte de achterdeur al in 2016 en bracht Facebook daarvan op de hoogte. Facebook liet de onderzoeker weten dat het op de hoogte was van het probleem en dat er niets aan zal worden gedaan omdat dit "verwacht gedrag" is.

Sleutelprobleem

WhatsApp's end-to-end-encrytie maakt gebruik van unieke sleutels die door het bedrijf zelf worden gegenereerd. Deze worden uitgewisseld door gebruikers. Na de uitwisseling worden alle berichten versleuteld en kunnen deze niet worden onderschept. WhatsApp heeft echter de mogelijkheid nieuwe sleutels te genereren voor gebruikers die op dat moment offline zijn. De zenders merken daar niets van. Doordat de ontvanger een nieuwe sleutel heeft ontvangen van WhatsApp, moeten eerder verzonden berichten opnieuw worden versleuteld met de nieuwe sleutels. Dit geldt voor alle berichten die nog niet zijn gemerkt als ontvangen (en dus geen twee blauwe vinkjes hebben).

De ontvanger wordt daarvan niet op de hoogte gesteld terwijl de zender daar wel een melding van kan krijgen als de optie ingeschakeld is, maar dan alleen als de berichten al opnieuw zijn verzonden. Op het moment dat de berichten opnieuw versleuteld en verstuurd worden, kunnen WhatsApp-medewerkers de berichten onderscheppen en lezen.

Stoppen met WhatsApp

Kirstie Ball, Professor bij de Center for Research into Information Surveillance and Privacy, zegt dat deze achterdeur een gigantische bedreiging is voor de vrijheid van meningsuiting en een goudmijn voor geheime diensten. Inmiddels laten verschillende gebruikers via Twitter weten te stoppen met WhatsApp.

WhatsApp maakt voor een deel gebruik van dezelfde techniek als Signal, de beveiligde chat-app van Open Whisper Systems, deze app bevat deze backdoor echter niet.