Kæmpe sikkerhedshul i WhatsApp: Facebook kan snage i dine beskeder

Guardian afslører digital bagdør til WhatsApp, der ellers er kendt for at være et af verdens sikreste beskedtjenester

Facebook kontrollerer i dag WhatsApp. Firmaet har flere gange garanteret, at beskedtjenesten ikke kan overvåges, men den påstand skydes nu ned i avisen Guardian.
Facebook kontrollerer i dag WhatsApp. Firmaet har flere gange garanteret, at beskedtjenesten ikke kan overvåges, men den påstand skydes nu ned i avisen Guardian.

SENESTE: Organisationen bag softwaren i WhatsApp bakker firmaet op

SENESTE: The Guardian trækker delvist denne historie tilbage

Krypteret og sikker.

Sådan er beskedtjenesten WhatsApp i årevis blevet markedsført. Også efter Facebook i 2014 købte tjenesten, er det flere gange blevet understreget, at ingen ansatte eller andre uvedkommende kan få adgang til beskeder, der sendes via systemet.

Kan nulstille kryptering
Fredag kan engelske Guardian afsløre, at det er en særdeles tvivlsom påstand.

Den måde, som WhatsApp teknisk er bygget op på, gør det nemlig muligt for Facebook at nulstille krypteringen på en udvalgt konto og herefter læse med i beskederne.

Modtageren af beskederne får angiveligt ikke besked om ændringen i krypteringen. Og afsenderen alene, hvis vedkommende har slået en funktion til, der advarer om ændringer i det certificat, der følger med krypteringen.

Danmark hører til blandt et af verdens mest overvågede lande. Men ny dom fra EU kan klippe vingerne af regeringens planer om at overvåge millioner af uskyldige danskere endnu tættere. Teknologi - 12. jan. 2017 - kl. 15:29 Domstol i klar dom: Dansk masseovervågning er ulovlig

Beskeden om, at krypteringen er nulstillet, får man også først, når ens beskeder er sendt.

En anden beskedtjeneste, Signal, skulle angiveligt ikke være ramt på samme måde.

Her vil en ændring af krypteringen nemlig omgående blokere afsendelse af beskeder og udløse en advarsel om, at sikkerhedsnøglerne er ændret.

Se også: Facebook får millionbøde for at nægte politiet data


Her demonstreres sikkerhedshullet som en del af et større seminar om IT-sikkerhed. Begynder 48 minutter inde i klippet.

Forsker opdagede sikkerhedshul
Hovedkilden i Guardians historien er kryptograf og sikkerhedsforsker Tobias Boelter fra Berkeley Universitet. Det er ham, der har opdaget den digitale bagdør:

- Hvis en regering beder WhatsApp - og dermed Facebook - om at afsløre beskederne, kan de gøre det.

Tobias Boelter advarede allerede sidste år WhatsApp og Facebook om sikkerhedshullet. Svaret tilbage var dengang: vi kender til sagen - og har ingen planer om at gøre noget.

Se også: Hun er Google og Facebooks skræk

Kan man stole på Facebook?
Sagen virker måske ikke specielt alvorlig i Danmark, hvor mange ikke føler behov for at beskytte deres kommunikation.

Men WhatsApp er udbredt i en lang række af lande, hvor diktaturer hersker, og befolkningen har brug for at kunne kommunikere, uden myndighederne følger med.

Samtidig er afsløringen et hårdt slag for tilliden til, at Facebook faktisk taler sandt, når man lover brugerne, at beskederne ikke kan overvåges.

Guardian har lavet en opfølgende artikel, hvor man råder brugere, som er afhængige af sikker chat, til omgående at droppe WhatsApp og i stedet vælge Signal.

Se også: Brasilien prøver igen at tvinge Facebook til en umulig lydighed

Denne indstilling skal være slået til i WhatsApp, hvis du vil advares, når der pilles ved krypteringen. Men selv om du får en advarsel, kan din kommunikation godt være overvåget inden, advarer Guardian i dag om.
Denne indstilling skal være slået til i WhatsApp, hvis du vil advares, når der pilles ved krypteringen. Men selv om du får en advarsel, kan din kommunikation godt være overvåget inden, advarer Guardian i dag om.

WhatsApp: Sikrer bedre brugervenlighed
En anonym talsperson for WhatsApp siger til Guardian, at funktionen - der reelt er et sikkerhedshul - findes, fordi det gør tjenesten mere brugervenlig. Firmaet mener heller ikke, at sikkerhedshullet er et problem:

- De fleste gange nulstilles og ændres krypteringen, fordi folk skifter telefon.

- I de situationer vil vi gerne være sikre på, at beskederne leveres og bare ikke forsvinder undervejs, forklarer talsmanden.

WhatsApp anbefaler, at man indstiller programmet, så man får en advarsel om ændringer i krypteringsnøglerne.

Det gør man under Indstillinger > Konto > Sikkerhed.

Se også: Facebook-chef anholdt: Vil ikke dele brugernes data med politiet

SENESTE: Organisationen bag softwaren i WhatsApp bakker firmaet op

SENESTE: The Guardian trækker delvist denne historie tilbage

9 kommentarer
Vis kommentarer
Mest læste i Forbrug
Seneste i Forbrug
Hent flere
Forsiden lige nu
Plus anbefaler
Hent flere