פרצת אבטחה במנגנון הצפנת ההודעות של וואטסאפ

פרצת אבטחה חמורה מאפשרת לפייסבוק ולגורמים נוספים ליירט ולקרוא הודעות מוצפנות בשירות ההודעות וואטסאפ, כך מגלה מחקר שפורסם בארצות-הברית. לפי המחקר, וואטסאפ יכולה לשלוח באופן אוטומטי הודעות שסומנו כ"לא נמסרו" עם מפתחות הצפנה חדשים. החלפת מפתחות ההצפנה עשויה להתבצע ללא ידיעת הצדדים להודעה, אולם במקרה ושולח ההודעה הצטרף לשירות קבלת עדכוני אבטחה, הוא בלבד יקבל עדכון לאחר משלוח ההודעה בדבר החלפת מפתחות ההצפנה בינו לבין נמען ההודעה.  

לטענת החוקר שגילה את הפרצה, וואטסאפ וחברת האם, פייסבוק, עשויות לנצל פרצה זו לצורך מסירת מידע לרשויות האכיפה. פעילים בתחום הגנת הפרטיות טוענים כי מדובר ב"מכרה זהב" עבור רשויות האכיפה והפרצה מהווה איום עצום על חופש הביטוי של משתמשי השירות, גם ביחס למשתמשים שלכאורה אין להם מה להסתיר. נוסף על כך, יש שחוששים כי הפרצה החדשה מאפשרת לוואטסאפ להתאים את שירות ההודעות להוראות חוק המעקב החדש בבריטניה, המאפשר לרשויות בממלכה לאסוף מידע אודות משתמשים של חברות פרטיות, בין היתר על-ידי היכולת לכפות על חברות להסיר את מנגנוני אבטחה.

מנגנון הצפנת ההודעות של וואטסאפ פועל באמצעות פרוטוקול הצפנה שפותח על-ידי חברת  Open Whisper Systems. הפרצה שהתגלתה אינה בפרוטוקול ההצפנה אלא בהטמעתו בשירות ההודעות של וואטסאפ, שכן הפרוטוקול מאפשר החלפת מפתחות הצפנה, אך זאת בכפוף להודעה מראש לשולח ההודעה וללא אפשרות לשלוח באופן אוטומטי את ההודעה עם מפתחות הצפנה חדשים. עם זאת, וואטסאפ מכחישה כי הפרצה מאפשרת לממשלות "דלת אחורית" לשירות ההודעות. מקור: the guardian (מאת מאנישה גאנגולי).