Manu Pitkänen
15. tammikuuta, 2017 12:25
Kalifornian yliopiston tietoturvatutkija Tobias Boelter kertoo löytäneensä WhatsAppista haavoittuvuuden, jonka avulla on mahdollista kiertää pikaviestisovelluksen käyttämän end-to-end-salauksen. WhatsAppin mukaan kyseessä ei ole viranomaisten käyttöön suunniteltu takaovi tai haavoittuvuus, vaan yhtiön suunnittelema ominaisuus.
WhatsAppissa käytävät keskustelut salataan keskusteluosapuolille luoduilla yksityisillä salausavaimilla, joiden avulla varmistutaan myös että viesti tavoittaa oikean henkilön. Boelter havaitsi kuitenkin, että WhatsAppin käyttämä salausjärjestelmä antaa offline-käytössä mahdollisuuden uuden salausavaimen luomiselle. Mikäli salausavain muuttuu, pitäisi siitä välittyä tieto keskustelun toiselle osapuolelle ja ennen muutosta lähetettyjen viestien vastaanotto estyä.
Salausavaimen muuttumisen jälkeen WhatsApp lähettää kuitenkin edellisen viestin eikä varoita asiasta keskustelun osapuolia (varoituksen saa kuitenkin otettua käyttöön erikseen: Asetukset > Tili > Turvallisuus > Näytä tietoturvailmoitukset). Periaatteessa haavoittuvuuden kautta on mahdollista päästä käsiksi vain yksittäisiin viesteihin, mutta Boelterin mukaan ominaisuus mahdollistaa myös kokonaisten keskusteluiden seuraamisen.
WhatsAppin mukaan monissa maissa ihmiset vaihtavat joko puhelinta tai SIM-korttia aktiivisesti. Salausavaimen uudelleengeneroinnin avulla lähetetyt viestit saadaan välitettyä näistä muutoksista huolimatta "oikeaan osoitteeseen". WhatsAppin mukaan ilman tätä ominaisuutta miljoonat viestit eivät koskaan päätyisi perille.