Koliko su sigurne poruke na WhatsAppu? Ispostavilo se – ne naročito

Prema pisanju ProPublice, nekih dvije milijarde korisnika WhatsAppa (WhatsApp je do 2014. bio nezavisan, a onda ga je kupio Facebook) uglavnom netočno smatra da je njihova komunikacija preko WhatsAppa posve sigurna, kako od hackerskog prisluškivanja, tako i od onoga koje provode razne državne sigurnosne službe, jer se servis diči „end-to-end“ enkripcijom poruka.

Tehnički gledano, ovo je posve točno, jer se za svaku poruku na ishodišnom kraju generira poseban ključ kojim se ona kodira, tako kodirana se šalje na drugi, odredišni kraj (ako je u ovom trenutku netko presretne nema gotovo nikakve šanse da s današnjim računalima probije ključ makar za samo tu jednu poruku, a kamoli za sve ključeve i poruke u nekom razgovoru), te se onda tim, trenutno važećim ključem, na odredištu dekodira. Točno onako kako WhatsApp i tvrdi da se događa.

Međutim, ono što je manje poznato, odnosno ono čim se u svojim white paperima ne hvale je da svaku poruku primatelj može označiti kao neprikladnu (prijetnja, uvrede, dijeljenje nedozvoljenog sadržaja… ) i u tom se slučaju posve dekodirana poruka s odredišnog uređaja, zajedno s još četiri prethodne dekodirane poruke s tog uređaja (potrebne radi konteksta) skupa s metapodacima, šalje na pregled moderatorima koje, tehnički također točno, WhatsApp nema, već „recenzentima“ (reviewers) prije kojih poruku pregleda automatizirani UI sistem tražeći sumnjive riječi i fraze.

Dakle, od „neprobojne end-to-end enkripcije“ i komuniciranja „bez moderatora“ do slanja posve dekodiranih poruka s odredišnog uređaja i pregledavanja tih poruka od strane automatiziranog sistema i pravih, živih, ljudskih „recenzenata“ vas dijeli samo jedna zastavica, odnosno nečija oznaka da je poruka navodno neprikladna.

Usput, Accenture, tvrtka koja zapošljava vanjske suradnike, a koja Facebooku iznajmljuje moderatore („recenzente“) za ovaj posao, naravno, nema izvorne (ili bilo kakve) govornike svih jezika koji se koriste na ovoj platformi (što je dobro), ali zato koristi alate za automatsko prevođenje (što nije dobro) koji su legendarno loši i koji onda za svoje moderatore/recenzente prevode i označavaju kao potencijalno neprikladne tekstove bez ikakvog lokalnog konteksta u kojem su nastali tako da ukoliko ste korisnik nekog od „malih“ jezika i iz zemalja sa svjetske periferije, možete biti sigurni da vaše poruke nitko živ stvarno neće shvatiti, ali možete automatizmom stradati zbog njihovog sadržaja.

Pored ovog reaktivnog moderiranja vaših poruka postoji i takozvano proaktivno gdje se nimalo enkriptirani podaci poput imena korisničkih grupa i profilnih slika, brojevi telefona, identifikacijski kodovi uređaja s kojih su poslani, povezani računi s Facebooka i Instagrama, automatski šalju na pregled Facebooku, a ove nekodirane podatke ovi na službeni zahtjev sudova ili policije, ovisno o lokalnim zakonima, mogu njima predati.

Prema pisanju ProPublice, od 2017. je zabilježeno da su ovakvi podaci dani na uvid policijskim službama više desetaka puta, a kako su zahtjevi za predajom ovakvih podataka većinom tajni, vjerojatno se radi o daleko većem stvarnom broju.

Dapače, poznat je slučaj bivše uposlenice Ministarstva financija, „zviždačice“ Natalie Edwards koja je 2018. dala povjerljive bankovne podatke novinaru BuzzFeeda koristeći „neprobojnu“ WhatsAppovu enkripciju, da bi na osnovu metapodataka dobivenih sudskim zahtjevom FBI bio u stanju precizno rekonstruirati njihovu međusobnu komunikaciju, odnosno ustanoviti da su Edwards i BuzzFeedov reporter razmijenili 70 poruka dan prije objave članka u vremenu „… od 12:33 do 12-54 ujutro“, što je bilo dovoljno za osuđujuću sudsku presudu i šest mjeseci zatvora za Edwardsovu, također sigurnu u „neprobojnost“ svoje komunikacije.

Treba imati na umu i da ne postoji nikakav razlog za vjerovanje da se krajnja poruka ne može označiti kao sumnjiva i bez intervencije samog primatelja poruke, bilo sigurnosnim probojem ili namjerno ugrađenim prekidačem u aplikaciji, tako da je vjerojatno mudro da o WhatsAppu ne razmišljate kao o „neprobojnom“ i „sigurnom“ sredstvu komunikacije bez moderatora, jer niti je neprobojna komunikacija koju pruža, niti je točno da se poruke ne pregledavaju od strane drugih ljudi.