Er zit een kleine kwetsbaarheid in de end-to-end-encryptie van WhatsApp. Door encryptie zouden chats alleen bij de legitieme ontvanger aan moeten komen, maar volgens beveiligings­onderzoeker Tobias Boelter is dat niet altijd het geval.

De encryptie werkt met een door de ontvanger en verzender vertrouwde sleutel. Wanneer de gebruiker offline is en er een nieuwe sleutel wordt gemaakt, worden oude berichten alsnog afgeleverd. Pas na aflevering volgt een waarschuwing over de gewijzigde sleutel.

Volgens de onderzoeker zouden berichten die met de oude sleutel verzonden zijn niet meer afgeleverd mogen worden en moet de berichtenstroom pas op gang komen nadat de ontvanger een waarschuwing over de gewijzigde sleutel heeft gezien. WhatsApp voorziet de berichten echter direct van nieuwe encryptie op basis de gewijzigde sleutel en levert deze af. Zo kan iemand (bijvoorbeeld een overheidsdienst met een drieletterige naam) een telefoonnummer kapen, een WhatsApp-account aanmaken en de laatste niet-afgeleverde berichten lezen.

Encryptie van WhatsApp schematisch weergegeven. Boelter heeft dit in april van 2016 bij WhatsApp gemeld, maar het is nog altijd niet opgelost. De chatdienst zegt op zijn beurt dat dit gewoon een feature is. WhatsApp wil er zeker van zijn dat berichten afgeleverd worden, ook bij switchen van telefoon of simkaart, waardoor een nieuwe sleutel wordt aangemaakt. Een woordvoerder zegt tegen The Guardian dat gebruikers in ontwikkelingslanden vaak van sim of telefoon wisselen.

WhatsApp gebruikt het Signal-protocol om berichten te versturen, dit protocol wordt door vele experts als erg veilig omschreven. Het probleem is de manier waarop WhatsApp het geïmplementeerd heeft. Signal heeft ook een eigen chat-app, die berichten niet automatisch met een nieuwe sleutel verstuurt. De onderzoeker raadt die app dan ook aan.