בסוף השבוע פורסמה ידיעה שצריכה מאוד להאדאיג אתכם ולפיה אפשר להאזין לשיחות הוואטסאפ שלכם. כלומר, למרות שהשיחות מוצפנות, אנשים שהם לא אתם והחברים שאיתם אתם משוחחים יכולים לקבל העתק של ההודעות שאתם שולחים אחד לשני ולקרוא באופן חופשי. אלא שמומחי אבטחה מסבירים שזה רחוק מלהיות מדויק.

על פי הגארדיאן, חוקר אבטחה גילה כי אם ירצו בכך, ממשלות יכולות ליירט שיחות בין אנשים פרטיים. הטענה של החוקר, שאם יש אינטרס ממשלתי לקרוא הודעות של משתמשים של וואטסאפ (נגיד בחקירה משטרתית, או חקירת טרור), יש לפייסבוק יכולת טכנית לייצר תוכנה אוטומטית שתיירט שיחות בזמן שהן מתקיימות.

איך זה נעשה? אם הנמען לא מחובר לרשת (כי הוא כיבה את הטלפון, או החליף מכשיר, או סתם איבד לרגע את הקליטה), אז ההודעה שנשלחת אליו מחכה בשרת. במצב הזה, לפי החוקר, אפשר לקרוא אותה.

"איש לא יכול לקרוא, אפילו לא אנחנו"

 וואטסאפ שלחה הודעה לכולנו בחודש אפריל האחרון, שלפיה ההודעות שאנחנו שולחים מוצפנות מ"קצה לקצה". כלומר מהרגע שאנחנו שולחים ועד הרגע שהצד השני מקבל אותן. אף אחד לא יכול לקרוא את ההודעה, הבטיחו בוואטאספ, "לא שלטונות מדכאים, לא האקרים, לא פושעים, אפילו לא אנחנו".

על פי וואטסאפ, אגב, ההודעות לא נשארות בשרת של החברה מהרגע שהתקבל במכשיר, כך שגם אילו הייתה רוצה, לא הייתה יכולה לשלוח העתקים של ההודעות שלכם מהעבר. כשאתם עושים גיבוי לשיחות הוא נעשה בכלל בגוגל, ולוואטסאפ אין גישה אליו, בלי הסיסמה שלכם.

ההודעות היחידות שנשמרות על השרת, לפי וואטסאפ, הן כאלה שנשלחות כאשר הצד השני לא מחובר. אך גם הן נמחקות כעבור זמן מסויים אם הנמען לא מתחבר ומושך אותן.

סבירות נמוכה

וואטסאפ הגיבה לתקשורת, הכחישה את הפירצה ואמרה שתילחם בכל נסיון ממשלתי ליצור פירצה שתאפשר לממשלות לקרוא הודעות. האפליקציה נחסמה מספר פעמים בברזיל, לאחר שבחברה סירבו למסור מידע על התקשרויות בין משתמשיה. בחברה מסבירים כי מה שמוגדר כפירצה, הוא דרך שלה לוודא שהודעות לא נעלמות, אם אחד הצדדים לא מחובר לרשת.

וואטסאפ משתמשת בפרוטוקול הצפנה בשם סיגנל של חברת וויספר, שהגיבה גם לפרשה. בוויספר אומרים שאין שום פירצה בפרוטוקול שלהם, ההצפנה עובדת כראוי וכי ככה זה אמור לעבוד. בחברה אומרים כי הטענות בכתבה של הגרדיאן הינן שגויות.

לא רק זאת, אלא שאילו וואטסאפ הייתה מנסה לצותת לשיחה, המשתתפים יקבלו התראות משונות וחוזרות על החלפת מפתח הצפנה. באופן רגיל לא אמורים לקבל הודעות כאלה, ואם הן מרובות, כנראה שמשהו לא בסדר קורה. במילים אחרות - אילו וואטסאפ הייתה מאזינה, היא הייתה נתפסת בקלות על ידי המשתמשים שלה בכלל, ועל ידי מומחים בפרט שהיו מבחינים בהתנהגות חשודה.

"על מנת לנצל פגיעות במנגנון כזה או אחר יש שני קריטריונים. אחד זה החומרה, והשני זה הסבירות", מסביר עידו נאור, חוקר בכיר בחברת קספרסקי, "למרות שעל פניו נראה שישנה חומרה מסויימת ברמת הפירצה, הסבירות לממש אותה הוא נמוך מאוד. ולכן לא סביר שמישהו מאזין לכם".