Němečtí kryptologové objevili slabinu v protokolech služby WhatsApp, která sice už dva roky nabízí end-to-end šifrování, ale při výměně klíčů se chová velmi podivně. Před rokem bylo například zjištěno, že server dokáže klienty donutit k výměně klíčů. Nyní bylo zjištěno, že je možné vstoupit do skupiny uživatelů bez jejich vědomí a sledovat další provoz. Server totiž dokáže do skupiny přidat vlastního uživatele, aniž by potřeboval oprávnění správce skupiny. Všichni členové pak nově příchozímu pošlou šifrovací klíče a on je schopen číst další komunikaci (předchozí ne).
Zpráva byla poprvé zveřejněna na švýcarské konferenci Real World Crypto a existuje k ní třicetistránková studie [PDF]. Upozornil na ní server Wired. Na zveřejněné informace už reagoval Alex Stamos, šéf bezpečnosti Facebooku, který se na Twitteru snaží celou věc bagatelizovat a podle něj o nic zásadního nejde. Všichni členové skupiny totiž vidí oznámení o nově příchozím a pokud by měla být aplikace zásadně zabezpečena, nebyla už by tak pohodlná.
Read the Wired article today about WhatsApp – scary headline! But there is no a secret way into WhatsApp groups chats. The article makes a few key points. https://t.co/XCvlcolFiA
— Alex Stamos (@alexstamos) January 10, 2018
Úspěšný útok samozřejmě vyžaduje přístup k serverům provozovatele, ale chyba popírá základní princip end-to-end šifrování – totiž že nemusíme věřit serveru, přes který jsou zašifrovaná data přenášena. V případě WhatsApp ovšem zjevně existují způsoby, jak je možné kompromitací serverů uživatele ohrozit.
