Manu Pitkänen
11. tammikuuta, 2018 13:22
Ruhr-Universität Bochumin kryptografiatutkijat ovat löytäneet WhatsAppista haavoittuvuuden, jonka avulla on mahdollista seurata ryhmissä käytävää keskustelua ilman lupaa. Tutkijat esittelivät havaintonsa Real World Crypto -konferenssissa Sveitsissä.
Tutkijoiden tekemän havainnon mukaan WhatsAppin palvelimille pääsevä henkilö voi halutessaan lisätä ryhmiin uusia jäseniä ilman ryhmän ylläpitäjän hyväksyntää. Ryhmälle uuden ja tuntemattoman käyttäjän lisääminen näkyy kuitenkin niin, että hän olisi ylläpitäjän hyväksymä. Tämän jälkeen ryhmän jäsenet vaihtavat end-to-end-salauksessa käytettävän salausavaimen, jonka jälkeen uusi käyttäjä pääsee osaksi keskustelua.
Lisätty käyttäjä ei kuitenkaan näe ryhmän aikaisempia keskusteluja, vaan ainoastaan lisäyksen jälkeen lähetetyt viestit.
WhatsAppin palvelimille pääsy on kuitenkin hankalaa, minkä takia aukon hyödyntäminen on todennäköisesti erittäin haastavaa. WhatsAppin kehittäjillä on kuitenkin pääsy palvelimille ja periaatteessa valtioiden hallinnot voivat vaatia itselleen pääsyä palvelimille.
Tutkijat suosittelevat arkaluontoiseen viestittelyyn Signal-sovellusta.