Uusi oikeusjuttu(uusi ikkuna) asettaa WhatsAppin turvallisuuden takaisin valokeilaan. Attaullah Baig, sovelluksen entinen turvallisuuspäällikkö, väittää, että Meta jätti huomiotta kriittisiä virheitä, jotka sallivat satojen työntekijöiden käyttää arkaluonteisia käyttäjätietoja, ja epäonnistui massiivisten tilihyökkäysten pysäyttämisessä. Meta kiistää väitteet, mutta WhatsAppin 3 miljardille käyttäjälle(uusi ikkuna) kysymys on sama: Onko WhatsApp todella turvallinen käyttää?

Onko WhatsApp turvallinen yksityisille keskusteluille?

Huolimatta oikeusjutun väitteistä, WhatsAppin päästä päähän -salaus (E2EE) pysyy ehjänä. Mikään ei viittaa siihen, että WhatsAppin salausprotokolla olisi murrettu tai että Meta voisi lukea keskustelujenne sisältöä. Tämä tarkoittaa, että tekstiviestinne, kuvanne ja äänipuhelunne ovat edelleen suojattuja ulkopuoliselta käytöltä, mukaan lukien Metalta itseltään.

WhatsApp voi kuitenkin lukea metatietojanne (kenelle puhutte, milloin jne.) ja asuinpaikastanne riippuen se jakaa näitä tietoja Metan kanssa. Sen turvallisuus riippuu siis siitä, kuinka paljon tietoa haluatte pitää yksityisenä.

Miksi Meta on haastettu oikeuteen WhatsAppin yksityisyyteen liittyvien huolien vuoksi?

Attaullah Baig, joka johti WhatsAppin turvallisuustiimiä vuosina 2021–2025, sanoo, että sovellus ei ole läheskään niin yksityinen kuin Meta väittää. Oikeusjutussaan hän väittää, että noin 1 500 työntekijää voi käyttää arkaluonteisia käyttäjätietoja, mukaan lukien sijaintia, profiilikuvia, ryhmäjäsenyyksiä ja yhteystietoluetteloita.

Jos nämä väitteet ovat totta, ne selventäisivät WhatsAppin kantaa päästä päähän -salaukseen(uusi ikkuna): Viestinne ovat yksityisiä, mutta sijaintinne, profiilikuvanne, ryhmäjäsenyytenne ja yhteystietoluettelonne ovat vapaata riistaa. Tällainen rajoittamaton käyttö avaa oven sisäpiiriuhkille ja tietovuodoille, joissa arkaluonteisia tietoja voidaan varastaa ja myydä pimeässä verkossa.

Entinen turvallisuuspäällikkö väittää, että tämä pääsyn taso saattaa myös rikkoa sitovaa Yhdysvaltain hallituksen määräystä, joka pakotti Metan (silloisen Facebookin) maksamaan ennätyksellisen 5 miljardin dollarin sakon vuonna 2020(uusi ikkuna) Cambridge Analytica -skandaalin jälkeen.

Hän väittää myös, että yhtiö jätti huomiotta yli 100 000 päivittäistä tilin kaappausta ja hylkäsi hänen ehdottamansa korjaukset. Oikeusjutun mukaan, kun Baig nosti nämä huolet esiin ylemmän johdon, mukaan lukien Mark Zuckerbergin, kanssa, Meta erotti hänet.

Meta on kiistänyt Baigin väitteet ja syyttänyt hänen irtisanomistaan heikosta suoriutumisesta. Syytökset ovat herättäneet myös poliittista huomiota, ja senaattorit vaativat Zuckerbergilta(uusi ikkuna) vastauksia WhatsAppin turvallisuuskäytännöistä.

Baigin oikeusjuttu tulee vain muutama päivä sen jälkeen, kun ryhmä kuutta nykyistä ja entistä Metan työntekijää(uusi ikkuna) väitti, että yhtiö peitteli todisteita lasten altistumisesta houkuttelulle, häirinnälle ja väkivallalle sen virtuaalitodellisuusalustoilla. Meta kiisti myös nämä väitteet.

Mitkä ovat WhatsAppin turvallisuus- ja yksityisyysriskit?

Koska WhatsAppin tapa käsitellä käyttäjädataa on valokeilassa, tässä ovat turvallisuus- ja yksityisyysriskit, joita saatatte kohdata käyttäessänne tätä sovellusta:

Haittaohjelmat ja vakoiluohjelmat

Haitalliset sovellukset tai linkit voivat asentaa vakoiluohjelmia puhelimeenne, jolloin hyökkääjät voivat siepata viestejä tai koodeja. Yksi esimerkki on PixPirate(uusi ikkuna), Android-haittaohjelma, joka havaittiin ensimmäisen kerran Brasiliassa, jossa se kohdistui maan pikamaksujärjestelmään, Pixiin. Sittemmin sitä on havaittu Intiassa, Meksikossa ja Italiassa. Sen tavoitteena on varastaa pankkitunnuksia, siepata kaksivaiheisen tunnistautumisen (2FA) koodeja, aloittaa luvattomia Pix-siirtoja uhrin tililtä ja estää yritykset poistaa sen asennus tai poistaa Google Play Protect käytöstä.

Hyökkääjät ovat käyttäneet WhatsAppia levittääkseen PixPiratea. Jos haittaohjelma ei havaitse WhatsAppia laitteessa(uusi ikkuna), se lataa sen lähettääkseen lisää haitallisia linkkejä yhteystiedoille.

Zero-click-haavoittuvuudet

Vuonna 2025 tutkijat löysivät zero-click-hyökkäyksen, jonka avulla hakkerit pystyivät murtautumaan iPhoneihin ja Maceihin WhatsAppin kautta(uusi ikkuna) ilman, että käyttäjät klikkasivat mitään. Hyökkäys yhdisti kaksi virhettä: toinen siinä, miten macOS ja iOS käsittelivät kuvia, ja toinen WhatsAppin laitteen linkitys -ominaisuudessa.

Kyberrikolliset saattoivat toimittaa vakoiluohjelmia Applen käyttäjille WhatsApp-viestien kautta ja varastaa tietoja heidän laitteiltaan, mukaan lukien viestejä. Meta kertoi, että alle 200 käyttäjää kärsi tästä, ja sekä Apple että WhatsApp ovat sittemmin korjanneet haavoittuvuudet.

Samana vuonna erillinen zero-click-haavoittuvuus vaikutti Samsung-laitteisiin (CVE-2025-21042(uusi ikkuna)). Hyökkääjät saattoivat altistaa Galaxy-puhelimet lähettämällä haitallisen kuvatiedoston, eikä vuorovaikutusta vaadittu. Tätä hyökkäystä käytettiin kohdennetuissa vakoiluohjelmakampanjoissa, kunnes Samsung korjasi ongelman huhtikuun 2025 turvallisuuspäivityksessään.

SIM-kaappaukset ja vahvistuskoodihuijaukset

Hyökkääjät saattavat huijata matkapuhelinoperaattorianne siirtämään puhelinnumeronne uudelle SIM-kortille, jota he hallitsevat. Sitten he voivat huijata teidät jakamaan kuusinumeroisen koodin, jonka WhatsApp lähettää tekstiviestillä uutta laitetta määritettäessä. Jos luovutatte sen, pahantahtoiset toimijat voivat kaapata tilinne, lukita teidät ulos, varastaa henkilöllisyytenne ja käyttää profiilianne huijatakseen yhteystietojanne. Lontoon Southwarkin poliisi raportoi näiden hyökkäysten lisääntyneen voimakkaasti vuonna 2021(uusi ikkuna) ja varoitti ihmisiä olemaan koskaan jakamatta WhatsApp-koodejaan.

Paljastuneet metatiedot

Keskustelut saattavat olla päästä päähän -salattuja, mutta WhatsApp (ja sen emoyhtiö Meta) kerää silti metatietoja – kuten kenen kanssa puhutte, kuinka usein, laitetietonne ja sijaintinne. Metatietoja ei voi käyttää suoraan tunnistamiseenne, mutta niitä voidaan verrata muihin tietoihin uudelleentunnistamiseksi(uusi ikkuna). Ja koska Meta sijaitsee Yhdysvalloissa, se saattaa jakaa kaiken teistä tietämänsä Yhdysvaltain hallituksen kanssa ilman ilmoitusta.

3,5 miljardin WhatsApp-puhelinnumeron massapaljastuminen

Vuonna 2025 ryhmä riippumattomia itävaltalaisia tutkijoita löysi(uusi ikkuna) WhatsAppista yksityisyysvirheen, joka salli heidän hakea 3,5 miljardia puhelinnumeroa – yhdessä profiilikuvien, laitetietojen, aikaleimojen, ”tietoja”-tekstien ja yritystietojen kanssa – käyttäen helposti toistettavaa puhelinnumeroiden luettelointimenetelmää. Sama haavoittuvuus raportoitiin ensimmäisen kerran vuonna 2017, mutta Meta ei korjannut sitä. Tärkeää on, että yhtäkään vahvistettua WhatsApp-tietomurtoa ei ole julkisesti raportoitu hyödyntäneen tätä nimenomaista menetelmää.

Vaikka puhelinnumeronne ja metatietonne eivät suoraan tunnista teitä, ne voidaan yhdistää muihin tietoihin henkilöllisyytenne paljastamiseksi. Ehkä käytätte samaa profiilikuvaa eri sosiaalisen median alustoilla, tai olette olleet osallisena aiemmissa tietomurroissa, joissa sähköpostinne, käyttäjätunnuksenne tai sijaintinne paljastuivat – kaikki nämä voidaan linkittää takaisin WhatsApp-metatietoihinne.

Tutkijat saivat myös haltuunsa WhatsAppin päästä päähän -salauksessa käytetyt julkiset avaimet ja löysivät vakavia ongelmia, mukaan lukien salausavaimien uudelleenkäytön satoja kertoja eri tileillä sekä kertakäyttöisten esiavainten toistuvan esiintymisen, vaikka ne on suunniteltu luotavaksi uudelleen jokaista istuntoa varten.

Nämä turvallisuusongelmat viittaavat epävirallisten tai vilpillisten WhatsApp-asiakasohjelmien käyttöön, joissa on rikkinäinen salaus. Jos käytätte näitä muokattuja sovelluksia, viestinne saattavat olla alttiita sieppaukselle, salauksen purkamiselle tai tilin esiintymiselle toisena henkilönä.

Meta sanoi korjanneensa luettelointiongelman, vähätteli paljastuneiden tietojen arkaluonteisuutta eikä ottanut kantaa julkisen avaimen ongelmiin tai siihen tosiasiaan, että sitä oli varoitettu tästä suuresta virheestä melkein kymmenen vuotta aiemmin.

Kohdennetut mainokset kaikilla Meta-alustoilla

WhatsApp sanoo, ettei se käytä viestien sisältöä mainoksiin(uusi ikkuna), mutta se käyttää muita tietoja – kuten tilitietoja (maakoodi, ikä), laitetietoja (kieli, sijainti) ja toimintaa Tilassa ja Kanavilla (mitä katsotte, seuraatte tai klikkaatte). Koska WhatsApp on osa Metaa, nämä tiedot voidaan jakaa Facebookin ja Instagramin välillä, vaikka tämä tietojen jakaminen on rajoitettua Euroopassa GDPR:n ansiosta.

Siitä lähtien, kun WhatsApp muutti tietosuojakäytäntöään vuonna 2021, se on jakanut myös maksu- ja tapahtumatietoja, joita teillä on saattanut olla yritysten kanssa, Metalle (silloiselle Facebookille). Jos yhdistätte WhatsAppin Metan Tilikeskukseen, mainosasetuksenne yhdistetään, mikä tarkoittaa, että toimet WhatsAppissa voivat vaikuttaa muualla näkemiinne mainoksiin. Ja Meta AI:n tarjoamien uusien ominaisuuksien myötä tietojen jakaminen alustojen välillä herättää entistä enemmän huolta.

Meta AI -koulutus

Meta AI on upotettu WhatsAppiin, Facebookiin ja Instagramiin, mikä herättää huolta siitä, miten tietoja käsitellään, käytetään tekoälyn kouluttamiseen ja jaetaan näiden alustojen välillä.

WhatsAppissa Meta sanoo, ettei Meta AI käytä yksityisiä, päästä päähän -salattuja keskustelujanne. Kuitenkin kehotteet ja palaute, jonka jaatte Meta AI:n kanssa, saatetaan tallentaa ja niitä saatetaan käyttää sen mallien parantamiseen. WhatsApp tarjoaa myös keskusteluyhteenveto-ominaisuuden, joka luottaa ”yksityiseen prosessointiin”(uusi ikkuna), jonka Meta väittää estävän yhteenvetojen lukemisen yhtiön tai kenenkään muun toimesta.

Näistä vakuutteluista huolimatta huoli siitä, kuinka paljon hallintaa ihmisillä todella on tietoihinsa, säilyy. Esimerkiksi Facebookin käyttäjät ovat raportoineet, että Meta AI otti käyttöön asetuksia, jotka sallivat sen skannata julkaisemattomia kuvia heidän kamerarullastaan ilman heidän suostumustaan.

Kuinka pysyä turvassa WhatsAppissa

Tässä on, mitä voitte tehdä parantaaksenne yksityisyyttänne ja turvallisuuttanne käyttäessänne WhatsAppia:

  • Käyttäkää aina virallisia WhatsApp-sovelluksia App Storesta tai Google Playsta varmistaaksenne, että päästä päähän -salauksenne toimii oikein.
  • Ottakaa turvallisuusilmoitukset käyttöön puhelimessanne saadaksenne varoituksia, kun yhteystieto asentaa WhatsAppin uudelleen, vaihtaa puhelinta tai lisää tai poistaa linkitetyn laitteen.
  • Luokaa pääsyavain, jotta voitte kirjautua WhatsAppiin kasvoillanne, sormenjäljellänne tai näytön lukituksella. Tämä estää jotakuta muuta kirjautumasta sisään, vaikka he saisivat SMS-koodinne.
  • Lisätkää sähköpostiosoite tilin vahvistamiseksi tai palauttamiseksi, jos joudutte lukituksi ulos. Varmistakaa, että itse sähköposti on suojattu vahvalla salasanalla ja kaksivaiheisella tunnistautumisella.
  • Käyttäkää päästä päähän -salattuja varmuuskopioita suojataksenne keskustelunne iCloudissa tai Google Drivessa, jotta edes Apple, Google tai Meta eivät voi lukea niitä. WhatsApp ei anna teidän valita pilvitallennuspalveluntarjoajaa. Muussa tapauksessa teidän kannattaa poistaa keskustelujen varmuuskopiot kokonaan käytöstä.
  • Älkää koskaan jakako kuusinumeroista vahvistuskoodianne kenenkään kanssa. WhatsApp ja Meta eivät koskaan kysy sitä.
  • Pyytäkää matkapuhelinoperaattorianne lisäämään PIN-koodi tai salalause, ennen kuin numeronne voidaan siirtää toiselle SIM-kortille. Tämä tekee SIM-kaappauksesta paljon vaikeampaa.
  • Ladakaa WhatsApp vain Google Playsta tai App Storesta ja pitäkää se – sekä mobiili- ja työpöytäkäyttöjärjestelmänne – päivitettynä uusimpaan versioon.
  • Älkää koskaan klikatko linkkejä tai asentako sovelluksia tuntemattomilta tai epäilyttäviltä WhatsApp-yhteystiedoilta. Jos olette epävarma yhteystiedosta, ottakaa heihin yhteyttä toisella menetelmällä vahvistaaksenne heidän henkilöllisyytensä.
  • Kiristäkää (uusi ikkuna)WhatsAppin yksityisyysasetuksia(uusi ikkuna) rajoittamalla sitä, kuka voi lisätä teidät ryhmiin ja nähdä profiilikuvanne, viimeksi paikalla- ja online-tilan, tietoja-osion ja linkit profiilissanne.
  • Ette voi täysin poistaa Meta AI:ta käytöstä WhatsAppissa, mutta voitte ryhtyä toimiin estääksenne sitä oppimasta liikaa toiminnastanne – ja suojata viestinne päätymästä tekoälyn koulutusdataan.

Valitkaa yksityisempi pikaviestisovellus

Vaikka voitte ryhtyä toimiin parantaaksenne turvallisuuttanne ja rajoittaa sitä, mitä muut WhatsApp-käyttäjät voivat nähdä, tämä ei muuta sitä tosiasiaa, että Meta luottaa edelleen käyttäjätietojen, kuten metatietojen, keräämiseen tulonlähteenä. Jos viimeaikaisten ilmiantajien väitteet pitävät paikkansa, tuo pääsy voi olla vielä laajempaa kuin yhtiö myöntää. Ottaen huomioon Metan historian yksityisyysrikkomuksissa, tietty skeptisyys on perusteltua.

Jos olette huolissanne tästä hallinnan tasosta, harkitkaa yksityisempää vaihtoehtoa WhatsAppille, joka kerää paljon vähemmän tietoja eikä ole sidoksissa Big Tech -yhtiöön, jolle sääntelyviranomaiset ovat määränneet sakkoja sen maksa tai anna suostumus -mainosmallista.