En internationell grupp har inlett en rättsprocess mot Meta i en federal domstol i San Francisco. Kärandena hävdar att WhatsApps end-to-end-kryptering inte fungerar som utlovat och att Meta faktiskt kan komma åt användarnas privata meddelanden.
Enligt affärsmediet Bloomberg lämnades stämningsansökan in den 24 januari och omfattar kärande från Australien, Brasilien, Indien, Mexiko och Sydafrika. Gruppen vill få status som grupptalan, vilket potentiellt skulle göra det möjligt för dem att företräda WhatsApps fler än två miljarder användare världen över.
Visselblåsare som källor
Enligt stämningsansökan kommer anklagelserna från anonyma visselblåsare på Meta. Kärandena hävdar att Meta- och WhatsApp-anställda kan begära tillgång till användarnas meddelanden från företagets tekniska team. När åtkomsten har godkänts kan anställda enligt uppgift läsa hela chattloggen för en specifik användare, inklusive meddelanden som går tillbaka till kontots skapande och meddelanden som användaren trodde hade raderats.
I stämningsansökan hävdas också att godkännandeprocessen är slapp och att det tekniska teamet ofta beviljar åtkomst utan ytterligare granskning.
Det har dock inte lämnats några tekniska detaljer om hur detta skulle vara möjligt. WhatsApp använder Signal-protokollet för sin end-to-end-kryptering, vilket i princip innebär att krypteringsnycklarna endast lagras på användarnas enheter – inte hos Meta.
Meta avvisar anklagelserna
Meta har kallat stämningen för ”oseriös” och ”en ogrundad fiktion”. I ett uttalande till teknikmediet Lifehacker säger företagets talesperson Andy Stone att alla påståenden om att WhatsApp-meddelanden inte är krypterade är ”kategoriskt falska och absurda”. Han betonar att WhatsApp har använt Signal-protokollet för end-to-end-kryptering i nästan ett decennium.
Meta har meddelat att man kommer att begära sanktioner mot kärandenas advokater.
Metadata är inte krypterade
Oavsett utgången av rättegången är det värt att notera att WhatsApps end-to-end-kryptering endast omfattar innehållet i meddelanden. Metadata – det vill säga information om vem du skickar meddelanden till, när och hur ofta – är inte krypterade och kan samlas in av Meta.
Enligt sin integritetspolicy delar WhatsApp viss information med sitt moderbolag Meta, inklusive telefonnummer, enhetsinformation, IP-adresser och användningsmönster.
Så skyddar du dig
Endast tiden kan utvisa om visselblåsarna har rätt och om kärandena vinner sin talan mot Meta i domstol, men om du är orolig för integriteten för dina chattmeddelanden – och vill vara på den säkra sidan – kan du överväga följande:
Överväg en annan meddelandetjänst
– Signal är den mest rekommenderade. Appen drivs av en ideell organisation, samlar endast in ditt telefonnummer och har öppen källkod så att säkerhetsexperter kan verifiera att krypteringen fungerar som utlovat. Signal skyddar också metadata med funktionen ”Sealed Sender”, så även information om vem du skriver till och när är dold. Gratis för iOS, Android och datorer.
– Threema är ett schweiziskt alternativ som inte kräver telefonnummer eller e-postadress när du registrerar dig – istället får du ett slumpmässigt genererat ID. Koden är öppen källkod och genomgår regelbundna säkerhetsgranskningar. Appen kostar en engångsavgift på cirka 50 kronor.
– Wire har utvecklats av tidigare Skype-anställda och erbjuder krypterade chattar, röst- och videosamtal samt fildelning. Koden är öppen källkod och baserad i Schweiz. Gratis för personligt bruk.
– Session är för dem som är särskilt medvetna om integritet. Appen kräver inte telefonnummer eller e-postadress, lagrar inga metadata och använder ett decentraliserat nätverk, så det finns ingen central server som kan komprometteras. Gratis.
Allmänna råd
– Tänk på vad du delar: Oavsett vilken app du använder bör du undvika att dela känslig information som personnummer, lösenord, betalningsuppgifter eller intima foton via chatt. Även krypterade meddelanden kan komprometteras om mottagarens enhet hackas eller om någon helt enkelt tar en skärmdump.
– Kontrollera appens datainsamling: I App Store och Google Play kan du se vilka data en app samlar in. Som nämnts samlar Signal endast in ditt telefonnummer. Enligt sin egen integritetspolicy samlar WhatsApp bland annat in kontakter, enhetsinformation, användardata och plats.
– Kom ihåg metadata: Även med end-to-end-kryptering kan metadata avslöja mycket om dig – vem du kommunicerar med, när och hur ofta. WhatsApp skyddar inte metadata, medan Signal och Threema gör det.