(Artikeln är uppdaterad, se längst ner) Det är säkerhetsforskaren Tobias Boelter på Berkeleyuniversitetet i Kalifornien som upptäckt bristen i Whatsapp, skriver The Guardian. Det handlar om en tveksam implementation av kryptering, alltså ironiskt nog den funktionalitet som ska garantera kommunikation utan insyn.

Whatsapp krypterar all kommunikation med protokollet Signal. Det är så kallad ”end-to-end”-kryptering, vilket innebär att hela kommunikationsvägen ska vara skyddad. Problemen gäller inte Signal i sig, utan hur det används i Whatsapp.

Läs också: Slut på ideliga frågor om att acceptera cookies – EU föreslår nya regler

Som standardförfarande bygger användning av Signal på att de två parter som kommunicerar genererar och verifierar unika nycklar, utan att en tredje part kan komma åt kommunikationen i klartext. Problemet är att Whatsapp framtvingar generering av nya nycklar för användare som är offline, när meddelanden sedan ska skickas om. Mottagaren upplyses bara om förfarandet om denne valt en inställning om att få varningar om att något sådant har skett, och endast efter att meddelandet redan har skickats om.

Det är sådana här meddelanden som Whatsapp, och därmed även moderbolaget Facebook och i förlängningen även andra, kan komma åt. Det är tänkbart att meddelanden kan vidarebefordras till exempelvis säkerhetstjänster.

Och det gäller inte enbart enstaka meddelanden som skickas, enligt Tobias Boelter, utan hela konversationer som meddelanden ingår i.

Läs också: EU kritiserar Facebook efter köpet av Whatsapp - riskerar miljardböter

Whatsapps försvar för implementationen av Signal är att man vill förenkla för användare. Enligt Whatsapp är det vanligaste skälet till omgenerering av nycklar att användare byter telefoner eller installerar om Whatsapp.

– Det beror på att det i många delar av världen är vanligt att folk byter enheter och sim-kort ofta. I sådana fall vill vi säkerställa att folks meddelanden levereras och inte går förlorade, säger en talesperson för Whatsapp till The Guardian.

Representanter för Whatsapp och Facebook svarar inte på frågan om man har lagt händerna på några meddelanden, och om det i så fall varit efter förfrågan från tredje part.

Uppdatering: Signals skapar Moxie Marlinspike skjuter ner den här nyheten, på vad verkar vara goda grunder.