I veckan lämnade en internationell grupp in en stämningsansökan mot Meta. Gruppen hävdar att Meta ljuger om totalsträckskrypteringen i meddelandeappen Whatsapp. Enligt påstådda visselblåsare kan medarbetare hos Meta läsa alla meddelanden som skickas. De påstådda visselblåsarna hävdar till och med att Meta-medarbetare kan återställa raderade meddelanden.
Meta avfärdar alla dessa påståenden som helt grundlösa. I en kommentar till New York Post förklarar Whatsapps chef att stämningen drivs av samma advokatbyrå som försvarar NSO Group.
NSO Group är företaget bakom den ökända spiontrojanen Pegasus som har använts för att spionera på politiker, journalister och människorättsaktivister. Pegasus har bland annat utnyttjat Whatsapp för att få fotfäste på offrens mobiler, vilket har lett till en mångårig tvist mellan Meta och NSO Group. Whatsapps chef hävdar att den påstådda visselblåsarläckan är en ren distraktion från NSO Groups advokaters sida.
Elon Musk (X:s ägare) och Pavel Durov (Telegrams grundare) har snabbt dragit nytta av situationen. Musk hävdar att Whatsapp är osäkert och att även Signal är tveksamt. Han uppmanar sina följare att byta till X Chat. Pavel Durov går ett steg längre och säger att alla som tror att Whatsapp är säkert måste vara hjärndöda.
I veckans poddavsnitt pratar Peter och Nikka om pajkastningen mellan företagen bakom meddelandeapparna. Nikka poängterar att Metas historiska kontroverser ligger företaget till last. Eftersom Whatsapp saknar öppen källkod kan Meta inte bevisa att Whatsapp är fri från bakdörrar. Det blir upp till Whatsapp-användarna att välja om de litar på Metas ord. Faktumet att Whatsapp baseras på det öppna Signal-protokollet gör varken till eller från i det här fallet.
Nikka poängterar samtidigt att de som anklagar Meta saknar bevis och dras med egna trovärdighetsproblem. Musks X Chat har dessutom så allvarliga sårbarheter att X:s anlitade tredjepartsgranskare rekommenderar X att pausa funktionen. Durovs Telegram använder inte totalsträckskryptering som standard och kan därför inte ens jämföras med säkra meddelandeappar.
Podduons rekommendation blir den vanliga: välj Signal-appen. Signal använder inte bara det öppna Signal-protokollet. Hela appen har öppen källkod. Signal-användarna behöver inte lita på utfästelser om att appen är bakdörrsfri. Världens säkerhetsforskare kan kontrollera att den faktiskt är det.
Kapitel i avsnittet
- 00.00 Inledning
- 01.22 Oklara konsekvenser av 149 miljoner läckta lösenord
- 06.14 Microsoft lämnar ut krypteringsnycklar till FBI
- 11.17 Reklam: Två gratisföreläsningar i februari
- 13.16 1password och Bitwarden stärker nätfiskeskyddet
- 19.06 Whatsapp anklagas för att ljuga om totalsträckskryptering
Omtalat i avsnittet
- Jeremiah Fowlers blogginlägg om 149 miljoner läckta lösenord
- Forbes artikel om Microsofts utlämnande av Bitlocker-nycklar
- Navet för lösenordsläckor ”Have I Been Pwned?”
- Volymkrypteringsverktyget Veracrypt
- Cybersäkerhet för tillväxtbolag (gratisföreläsning, 10 februari, Linköping)
- Lösenordsfri inloggning (gratisföreläsning, 19 februari, Stockholm)
- Bli säker-poddinslaget om nätfiskeattacken mot Troy Hunt
- Bli säker-poddinslaget om nätfiskeattacken mot Peter Esse
- 1passwords blogginlägg om nätfiskeskydd
- Bitwardens blogginlägg om kommande nätfiskeskydd
- Bitwardens senaste tredjepartsgranskningar
- Stämningsansökan mot Meta (via Decrypt)
- New York Posts intervju med Whatsapps chef
- Sessions blogginlägg om ny protokollversion med stöd för PFS
- Whatsapps replik på X
- Elon Musks Whatsapp-kritiska inlägg på X
- Säkerhetssidan om X Chat
- Trail of Bits tredjepartsgranskning av X Chat-protokollet
- Pavel Durovs Whatsapp-kritiska inlägg på X
Kommentarer
Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.