Facebook: ‘WhatsApp bevat geen backdoor’

Facebook ontkent dat er een backdoor aanwezig is in de communicatiedienst WhatsApp. Hiermee reageert het bedrijf op een kwetsbaarheid die onlangs in het nieuws kwam en aanvallers in theorie de mogelijkheid geeft versleutelde berichten van gebruikers in te zien.

De kwetsbaarheid is ontdekt door Tobias Boelter, een computerwetenschapper en promovendus van de Universiteit van Californië. Het lek is door Boelter in april ontdekt en gemeld bij WhatsApp. De computerwetenschapper stelt echter dat het probleem tot de dag van vandaag niet is opgelost. Boelter deed daarom onlangs zijn verhaal tegenover The Guardian.

Encryptiesleutel wijzigen

Boelter stelt een kwetsbaarheid te hebben ontdekt die opspeelt zodra een verzonden bericht niet kan worden afgeleverd bij de ontvanger. Dit kan bijvoorbeeld doordat de smartphone van de ontvanger is uitgeschakeld of de servers van WhatsApp problemen geven. In dit geval wordt het niet verzonden bericht opnieuw door WhatsApp aangeboden bij de ontvanger zodra de verbinding is herstelt. Hierbij wordt echter een andere encryptiesleutel gebruikt dan de sleutel die oorspronkelijk is gebruikt om het bericht te versleutelen.

De computerwetenschapper stelt dat deze methode aanvallers in theorie de mogelijkheid geeft berichten van gebruikers te onderscheppen en in te zien. Dit is mogelijk door de telefoon van de ontvanger te spoofen, gebruik te maken van een eigen public key en het bericht te onderscheppen. The Guardian beschrijft het lek als een backdoor die mogelijk gebruikt kan worden door overheden om communicatie van verdachten te monitoren. Boelter zelf zegt in een geüpdatet blogpost niet zeker te zijn of het gaat om een software bug of een backdoor.

Backdoor of bug?

“In andere woorden: is dit lek bewust in WhatsApp Messenger gestopt om hen of de overheid in staat te stellen specifieke berichten te lezen?”, aldus Boelter. “Of is de fout geïntroduceerd door een programmeerfout? Of is dit zelfs een zinvolle feature?” In een reactie tegenover Dark Reading stelt Facebook dat het inderdaad gaan om een feature die bedoeld is om zeker te stellen dat berichten op de juiste wijze worden afgeleverd bij ontvangers die eerder offline bleken te zijn.

WhatsApp wijst daarnaast op een feature waarmee gebruikers een security notificatie ontvangen zodra de beveiligingscode of public encryptiesleutel van de ontvanger wordt veranderd. Jon Geater, Chief Technology Officer (CTO) van Thales e-Security, bevestigt tegenover Dark Reading dat het niet om een ernstig probleem gaat. “Gebruikers die bezorgd zijn over autoriteiten die hun berichten onderscheppen zetten hoogstwaarschijnlijk security notificaties aan, waarmee het probleem nagenoeg volledig is verholpen”, aldus Geater.

Transparantie

Chris Perry, Chief Operation Officer (COO) van Secured Communications, noemt het echter wel zorgwekkend dat Facebook geen openheid heeft gegeven over deze werkwijze. Perry stelt dat een bedrijf dat een dergelijke feature inbouwt in zijn systeem transparant zou moeten zijn tegenover klanten over het bestaan van de feature, de wijze waarop deze werkt en de reden dat deze is ingebouwd.