Facebook ha più volte affermato che nessuno può intercettare i messaggi inviati tramite WhatsApp, nemmeno la stessa azienda, quindi la privacy degli utenti viene sempre garantita. Tobias Boelter, ricercatore di sicurezza ed esperto di crittografia della University of California (Berkeley), ha invece scoperto la presenza di una backdoor nel servizio di messaggistica più utilizzato al mondo che può essere sfruttata per leggere le conversazioni cifrate.

Il problema è legato al modo in cui WhatsApp ha implementato la crittografia end-to-end, basata sul protocollo che Open Whisper Systems usa nella sua app Signal. Teoricamente, la chiave unica cifrata dovrebbe impedire l’intercettazione dei messaggi. Il ricercatore ha invece scoperto che WhatsApp può forzare la generazione di nuove chiavi per gli utenti offline, all’insaputa di mittente e destinatario. Il mittente utilizza le nuove chiavi per cifrare i messaggi e quindi le invia di nuovo per ogni messaggio che non è stato segnato come consegnato.

Il destinatario non si accorge dell’utilizzo delle nuove chiavi, mentre il mittente riceve una notifica solo se ha attivato l’avviso nelle impostazioni e comunque solo dopo l’invio dei messaggi. Queste ri-cifrature e ritrasmissioni consentono quindi a WhatsApp di intercettare e leggere le conversazioni degli utenti. Secondo Boelter, WhatsApp avrebbe la possibilità di consegnare la cronologia dei messaggi alle agenzie governative. Il ricercatore ha segnalato la vulnerabilità nel mese di aprile 2016, ma Facebook ha risposto che si tratta di un “funzionamento previsto”.

Alcune organizzazioni che difendono i diritti umani ritengono che la vulnerabilità rappresenti una miniera d’oro per le agenzie di sicurezza. Qualcuno sospetta che la backdoor sia stata installata intenzionalmente per semplificare l’accesso ai messaggi, in caso di richieste dei governi. Un portavoce di WhatsApp ha dichiarato che le conversazione avvengono in assoluta sicurezza. Quando l’utente cambia smartphone o numero di telefono e reinstalla l’applicazione riceverà una notifica, se il codice di sicurezza è cambiato.

La vulnerabilità non è presente in Signal, l’app di Open Whisper Systems utilizzata anche da Edward Snowden. Se la chiave cifrata viene modificata, il messaggio non viene consegnato e verrà visualizzata una notifica.