WhatsApp biedt sinds vorig jaar eind-tot-eind-versleuteling aan op zijn chatdienst. Daarvoor ging WhatsApp een samenwerking aan met Open Whisper Systems, een bedrijf dat ook de versleutelde sms-client TextSecure maakt.

Man in the middle

Het Duitse beveiligingsbedrijf Heise Security analyseerde de versleuteling die WhatsApp toepast. Dat deed het bedrijf door middel van een eigen man-in-the-middle-aanval. Daarbij luisterden zij het verkeer af via tools als Wireshark.

Alleen op Android

Daaruit blijkt dat veel berichten nog steeds niet versleuteld zijn. WhatsApp meldde tijdens de introductie al dat het in de eerste plaats alleen nog om Android-gebruikers zou gaan. Versleuteling voor iPhone-gebruikers liet nog op zich wachten, evenals versleuteling binnen groepsgesprekken.

Zwakkere encryptie

Als er geen encryptie beschikbaar is - zoals wanneer er een iPhone wordt gebruikt - dan schakelt WhatsApp automatisch over naar RC4-encryptie. Die vorm van versleuteling is echter niet helemaal veilig, omdat een aanvaller met een beetje moeite alsnog de beveiliging kan kraken.

Selectief

De onderzoekers hekelen vooral dat laatste punt. Volgens Heise betekent dat namelijk dat de encryptie selectief kan worden in- of uitgeschakeld. Dat zou ook betekenen dat WhatsApp bij een verzoek van inlichtingendiensten alsnog inzage kan bieden in gesprekken.

Meer dubieuze zaken

Er zijn meer dubieuze zaken in de encryptie van WhatsApp. Zo wijst Heise Security erop dat WhatsApp niet laat weten wanneer er gebruik wordt gemaakt van encryptie en wanneer niet. Ook geeft WhatsApp nooit inzage in zijn beveiligingsprotocol aan onderzoekers. Daardoor is niet te controleren of de beveiliging sterk genoeg is.

Reactie van makers

Open Whisper Systems heeft op Reddit gereageerd op het rapport. Het bedrijf zegt daarin dat het altijd heeft gezegd dat de encryptie niet direct voor alle platformen gold, maar dat het nog wel werkt aan encryptie op iOS.