Beveiligingsonderzoeker Tobias Boelter publiceerde in april vorig jaar al over een door hem gevonden zwakte in de encryptie van WhatsApp. Een artikel van the Guardian maakt duidelijk dat de zwakte nog steeds aanwezig is. Berichten in WhatsApp worden via encryptie versleuteld via een unieke sleutel die tussen gebruikers wordt uitgewisseld. Wanneer een gebruiker echter offline is, kan WhatsApp nieuwe encryptiesleutels genereren. Nog niet afgeleverde berichten worden vervolgens met die nieuwe sleutel alsnog afgeleverd. De ontvanger ontvangt hiervan geen melding terwijl de verzender alleen een melding krijgt als de optie Toon beveiligingsmeldingen aanstaat.

Het is dus mogelijk om nieuwe sleutels af te dwingen voor berichten die al verzonden zijn, maar nog niet ontvangen zijn. Deze sleutels zouden kunnen afgedwongen worden door bijvoorbeeld een inlichtingendienst die het mobiele nummer van de ontvanger ‘spooft’ waarna de nog niet ontvangen berichten meegelezen kunnen worden. De tweestapsverificatie die momenteel in de betáversie voor Android zit, is een waarschijnlijk een oplossing voor het probleem. Het is dan immers niet meer mogelijk om WhatsApp opnieuw op hetzelfde telefoonnummer te activeren zonder dat de zelf ingestelde code wordt ingevoerd. Het spoofen van een nummer heeft dan dus geen zin meer. Tweestapsverificatie moet wel door de gebruiker zelf ingeschakeld worden en is nog niet in de normale versies van de app aanwezig.

WhatsApp heeft tegenover the Guardian verklaard dat de reden dat berichten opnieuw worden verstuurd met een nieuwe sleutel is omdat het bedrijf zeker wilt zijn dat berichten altijd aankomen. Volgens Whatsapp is het wisselen van telefoon of het opnieuw installeren van WhatsApp de meest voorkomende reden van een nieuwe encryptiesleutel. Volgens WhatsApp geeft het bedrijf geen backdoors aan overheidsdiensten om berichten in te zien.