<div dir="ltr"><a href="https://www.theguardian.com/technology/2017/jan/13/whatsapp-backdoor-allows-snooping-on-encrypted-messages">This might be old news for some of you, but it was news to me.</a><div><br></div><div>TL;DR: If you use Signal, you&#39;re good.  If you use WhatsApp, you should set the setting where it tells you if the recipient&#39;s key was changed while they were offline, and also be aware that messages sent to people who are offline may be re-encrypted under a different (!) key and sent without your intervention.  Or switch to Signal.<br><div><br></div><div>Basically if you send a message in WhatsApp to someone who is offline, WhatsApp can replace the public key of the person to whom you&#39;re sending with a new one, and the messages you sent will be automatically re-encrypted and sent under the new key.  Only after they are successfully transmitted are you told that this key change happened, and even then only if you check a little (non-default) box that says so.  It was explained a little more sanely and with more pictures by the finder, Tobias Boelter from Berkeley: <a href="https://tobi.rocks/2016/04/whats-app-retransmission-vulnerability/">https://tobi.rocks/2016/04/whats-app-retransmission-vulnerability/</a></div></div><div><br></div><div>Apparently Facebook knows about this and isn&#39;t planning on changing anything.  The finder of this vulnerability <a href="https://tobi.rocks/2017/01/what-is-facebook-going-to-do-a-suggestion/">says</a> he&#39;s pretty sure it was a bug, but also that they should claim that it wasn&#39;t and that they just made a poor design choice, and change it.</div><div><br></div><div>Cheers!</div><div>Sarah</div></div>