Алгоритм генерации пароля и отсутствие шифрования в WhatsApp неоднократно критиковались
В мае 2011 года было сообщено о дыре в безопасности, которая оставляла аккаунт пользователя WhatsApp открытым для перехвата сессии и пакетного анализа[25]. Передача данных в WhatsApp не шифруется и данные отправляются и принимаются в открытом тексте — это значит, что сообщения могут легко быть прочитаны, если был прослежен путь прохождения пакетов[26]. В сентябре 2011 года WhatsApp выпустили новую версию для iPhone, закрывшую дыру в безопасности, позволявшую отправлять поддельные сообщения и читать сообщения любого пользователя WhatsApp[27].
6 января 2012 года неизвестный хакер запустил сайт WhatsAppStatus.net, который позволял изменять статус произвольного пользователя WhatsApp, если известен его телефонный номер. Чтобы это работало, требовалось только перезапустить приложение. Согласно заявлению хакера, это всего лишь одна из многих проблем безопасности в WhatsApp. 9 января WhatsApp сообщила о решении проблемы, хотя единственной предпринятой мерой стала блокировка IP-адреса сайта WhatsAppStatus.net. В ответ стала доступной для скачивания программа для Windows с той же функциональностью. Эта проблема была решена путём проверки IP-адреса текущей залогинившейся сессии[28][29].
В мае 2012 года исследователи по безопасности отметили, что новая версия WhatsApp больше не отправляет сообщения открытым текстом[30][31][32], но впоследствии был описан взлом применённого метода шифрования[33][34]. 15 августа 2012 года персонал поддержки WhatsApp утверждал, что сообщения шифруются в последних версиях для iOS и Android (но не для BlackBerry, Windows Phone и Symbian), без указания применяемого метода шифрования[35].
До августа 2012 года сообщения отправлялись без шифрования, что допускало атаку session hijacking[en][36]. С 15 августа 2012 по заявлению техподдержки WhatsApp сообщения шифруются в приложениях iOS и Android, однако метод шифрования не уточнялся[37].
« Все записи между нашим пользователем и сервером зашифрованы. Мы не храним сообщений после отправки. Они хранятся только на телефоне пользователя. Честное миллиардерское![38].
Ян Кум »
14 сентября 2012 года немецкий технический сайт The H продемонстрировал, как использовать API WhatsApp (WhatsAPI) для кражи любого аккаунта[39]. Вскоре после этого утверждалась юридическая угроза для разработчиков WhatsAPI, характеризуемой The H как «очевидная реакция» на отчёт о безопасности, и исходный код WhatsAPI был недоступен в течение нескольких дней. Команда разработчиков WhatsApp затем вернулась к активной разработке[40][41].
Конфиденциальность
Крупные проблемы с конфиденциальностью и безопасностью стали предметом совместного канадско-голландского правительственного расследования. Наибольшее беспокойство заключалось в том, что после установки приложение WhatsApp копирует все номера мобильных телефонов из адресной книги пользователей на сервера WhatsApp, чтобы сообщить пользователю, кто из его контактов доступен через WhatsApp. При этом на сервер отсылаются контактные данные любых людей, даже тех, кто не использует WhatsApp. Перед отправкой телефонные номера преобразуются с помощью хеш-функции без использования «соли» (обратное преобразование данного хеша в телефонный номер занимает, по оценкам специалистов, не более 3 минут даже на бытовых компьютерах), имена из адресной книги не посылаются[42][43][44][45].
Сейчас, сейчас