Ο Thijs Alkemade, είναι ένας φοιτητής στη σχολή Επιστήμης των Υπολογιστών και Μαθηματικών στο Πανεπιστήμιο της Ουτρέχτης στην Ολλανδία. Καθώς ερευνούσε την εφαρμογή WhatsApp, ανακάλυψε ότι οι hackers θα μπορούσαν να αποκρυπτογραφήσουν τα μηνύματα που αποστέλλονται και λαμβάνονται από την εφαρμογή με την αξιοποίηση κενών ασφαλείας στο πρωτόκολλο κρυπτογράφησης.
Σύμφωνα με τον εμπειρογνώμονα, οι προγραμματιστές του WhatsApp έκαναν δύο λάθη: χρησιμοποιούν το ίδιο κλειδί κρυπτογράφησης και στις δύο κατευθύνσεις, και δεύτερον χρησιμοποιούν το ίδιο κλειδί HMAC επίσης και στις δύο κατευθύνσεις.
“Καθένας που μπορεί να παρακολουθήσει την εφαρμογή WhatsApp μπορεί να αποκρυπτογραφήσει τα μηνυμάτων σας, χωρίς ιδιαίτερη προσπάθεια. Θα πρέπει είστε πολύ προσεκτικοί με το WhatsApp. Βασικά δεν θα πρέπει να κάνετε τίποτα με το WhatsApp, έως ότου οι προγραμματιστές ενημερώσουν την εφαρμογή, ” ανέφερε ο Alkemade.
Ένα υποθετικό καταστροφικό σενάριο είναι να μολυνθεί το κινητό σας με κάποιο malware, και οι hackers να μπορούν να αποκρυπτογραφήσουν όλα τα δεδομένα της εφαρμογής.
Ο εμπειρογνώμονας προτείνει ότι το WhatsApp θα πρέπει να χρησιμοποιήσει λύσεις κρυπτογράφησης που έχουν ήδη αξιολόγηθεί σαν αξιόπιστες και σταθερές, όπως η TLS.
Για να αποδείξει αυτά που ισχυρίζεται, ο ερευνητής δημοσίευσε ένα POC γραμμένο σε Python. Πρόσθετες τεχνικές λεπτομέρειες και το POC υπάρχουν διαθέσιμες στο blog του Alkemade.