פייסבוק הבטיחה הצפנה מלאה באפליקציית ווטסאפ? היא עדיין תוכל לפענח הודעות

בניגוד להבטחותיה של פייסבוק להטמעת הצפנה מלאה מקצה לקצה באפליקציית ווטסאפ שאינה מאפשרת לאיש מלבד השולח והנמען לקרוא את ההודעות, קיימת במנגנוני האבטחה של השירות חולשה מובנית ומכוונת שתאפשר לחברה לפענח חלק ההודעות אם תרצה - כך טוען חוקר ההצפנה טוביאס בולטר מאוניברסיטת קליפורניה. טענותיו של בולטר נחשפו היום (ו') על ידי הגרדיאן.

מנגנון ההצפנה, שמופעל כחלק מובנה מהשירות מאז חודש אפריל האחרון, פותח על ידי חברת Open Whisper על בסיס פרוטוקול סיגנל שמשמש בשורה של מוצרי צ'אט ועובד על בסיס מפתחות הצפנה שהנמען והשולח מעבירים זה לזה ומצויים במכשיריהם בלבד. הדלת האחורית שגילה בולטר מבוססת על יכולתה של ווטסאפ להחליף את המפתחות הקיימים במפתחות חדשים כאשר משתמש מצוי במצב אוף-ליין - מפתחות שמצויים פוטנציאלית גם בידיה, במקרים מסוימים ללא ידיעת השולח והנמען. באמצעות המפתח החדש היא יכולה לפענח לאחר מכן את ההודעות המוצפנות שנשלחו לאחר החילופין, למשל במקרה של דרישה מצד רשויות החוק להעביר לידיהן תכתובות של משתמש מסוים.

תכונה זו איננה מאפיין מובנה של פרוטוקול ההצפנה ובאפליקציות צ'אט אחרות, כמו סיגנל של אופן וויספר עצמה. הפרוטוקול מיושם מבלי שמפעילת השירות תקבל גישה כלשהי לתוכן, כך שמדובר בכפי הנראה בהחלטה של ווטסאפ או חברת האם פייסבוק ליישם אותו באופן זה.

בולטר, לדבריו, דיווח לפייסבוק על הבעיה עוד באפריל האחרון, זמן קצר לאחר הוספת ההצפנה לאפליקציה, אבל נענה כי החברה מודעת לנושא וכי מדובר ב"התנהגות צפויה" של המערכת. על פי בדיקת הגרדיאן הדלת האחורית עדיין קיימת באפליקציה.

במידה שהמשתמש הפעיל תכונת אבטחה בשם "התרעות אבטחה", שאיננה מופעלת כברירת מחדל, הוא יקבל אזהרה במקרה שנשלחה הודעה שהוצפנה במפתח שהוחלף - אבל רק לאחר שההודעה כבר הועברה ליעד. הנמען לא ידע כלל שההודעה שהגיעה לידיו אינה מאובטחת.

בתגובה לטענות אמרה החברה כי "בשנה שעברה הענקנו לכל משתמשינו רמה גבוהה יותר של אבטחה בכך שהפכנו כל הודעה, תמונה, הודעה קולית, שיחה או וידאו למוצפנות מקצה לקצה כברירת מחדל. המיקוד שלנו, גם בהוספת יכולות אבטחה, הוא לשמור את המוצר פשוט לשימוש. המקרים העיקריים בהם מפתח ההצפנה מוחלף הינם כאשר המשתמש מחליף טלפון או התקין את האפליקציה מחדש, והעדיפות שלנו היא לוודא כי ההודעות שאנשים שולחים מגיעות ליעדן גם במקרה כזה". החברה סירבה לענות לשאלה האם חילצה מהמערכת הודעות והעבירה אותן לידי רשויות אכיפת חוק כלשהן.