En ny stämningsansökan(nytt fönster) sätter återigen ljuset på WhatsApps säkerhet. Attaullah Baig, appens tidigare säkerhetschef, hävdar att Meta ignorerade kritiska brister som gör att hundratals anställda kan få åtkomst till känsliga användardata och misslyckades med att stoppa massintrång i konton. Meta nekar till anklagelserna, men för WhatsApp:s 3 miljarder användare(nytt fönster) är frågan densamma: Är WhatsApp verkligen säkert att använda?

Är WhatsApp säkert för privata chattar?

Trots påståendena i stämningsansökan förblir WhatsApp:s end-to-end-kryptering (E2EE) intakt. Inget tyder på att WhatsApp:s krypteringsprotokoll har knäckts eller att Meta kan läsa innehållet i dina konversationer. Det betyder att dina sms, foton och röstsamtal fortfarande är skyddade från åtkomst utifrån, inklusive från Meta själva.

Däremot kan WhatsApp läsa din metadata (vem du pratar med, när, osv.) och, beroende på var du bor, dela den informationen med Meta. Så dess säkerhet beror på hur mycket information du vill hålla privat.

Varför stäms Meta över integritetsproblem med WhatsApp?

Attaullah Baig, som ledde WhatsApp:s säkerhetsteam mellan 2021 och 2025, säger att appen inte är på långa vägar så privat som Meta hävdar. I sin stämningsansökan hävdar han att ungefär 1 500 anställda har tillgång till känslig användarinformation, inklusive plats, profilbilder, gruppmedlemskap och kontaktlistor.

Om dessa påståenden är sanna skulle de klargöra WhatsApp:s ståndpunkt om end-to-end-kryptering(nytt fönster): Dina meddelanden är privata, men din plats, profilbilder, gruppmedlemskap och kontaktlistor är fritt villebråd. Den typen av obegränsad åtkomst öppnar dörren för hot inifrån och dataläckor, där känslig information kan stjälas och säljas på darknet.

Den tidigare säkerhetschefen hävdar att denna nivå av åtkomst även kan bryta mot ett bindande beslut från USA:s regering som tvingade Meta (dåvarande Facebook) att betala rekordbeloppet 5 miljarder dollar i böter 2020(nytt fönster) efter Cambridge Analytica-skandalen.

Han hävdar också att företaget ignorerade mer än 100 000 kontokapningar dagligen och avvisade hans föreslagna åtgärder. Enligt stämningsansökan sparkade Meta Baig när han tog upp dessa farhågor med den högsta ledningen, inklusive Mark Zuckerberg.

Meta har nekat till Baigs påståenden och skyllt hans avsked på dålig prestation. Anklagelserna har också väckt politisk uppmärksamhet, där senatorer pressar Zuckerberg(nytt fönster) på svar om WhatsApp:s säkerhetsrutiner.

Baigs stämningsansökan kommer bara några dagar efter att en grupp av sex nuvarande och tidigare Meta-anställda(nytt fönster) hävdade att företaget mörklagt bevis för att barn utsatts för grooming, trakasserier och våld på dess plattformar för virtuell verklighet. Meta nekade även till dessa påståenden.

Vilka är WhatsApp:s säkerhets- och integritetsrisker?

Med WhatsApp:s hantering av användardata i rampljuset, här är de säkerhets- och integritetsrisker du kan ställas inför när du använder denna app:

Skadlig kod och spionprogram

Skadliga appar eller länkar kan installera spionprogram på din telefon och låta angripare fånga upp meddelanden eller koder. Ett exempel är PixPirate(nytt fönster), en Android-malware som först upptäcktes i Brasilien, där den riktade in sig på landets direktbetalningssystem, Pix. Den har sedan dess observerats i Indien, Mexiko och Italien. Målet är att stjäla bankinloggningsuppgifter, fånga upp koder för tvåfaktorsautentisering (2FA), initiera obehöriga Pix-överföringar från ett offers konto och blockera försök att avinstallera den eller inaktivera Google Play Protect.

Angripare har använt WhatsApp för att sprida PixPirate. Om den skadliga koden inte upptäcker WhatsApp på enheten(nytt fönster), laddar den ner det för att skicka fler skadliga länkar till kontakter.

Zero-click-exploits

År 2025 upptäckte forskare en zero-click-attack som lät hackare ta sig in i iPhones och Mac-datorer via WhatsApp(nytt fönster) utan att användarna klickade på något. Exploiten kombinerade två brister: en i hur macOS och iOS behandlade bilder, och en annan i WhatsApp:s funktion för att länka enheter.

Cyberbrottslingar kunde leverera spionprogram till Apple-användare genom WhatsApp-meddelanden och stjäla data från deras enheter, inklusive meddelanden. Meta sa att färre än 200 användare påverkades, och både Apple och WhatsApp har sedan dess åtgärdat sårbarheterna.

Samma år drabbade en separat zero-click-sårbarhet Samsung-enheter (CVE-2025-21042(nytt fönster)). Angripare kunde avslöja Galaxy-telefoner genom att skicka en skadlig bildfil, och ingen interaktion krävdes. Denna exploit användes i riktade spionprogramskampanjer tills Samsung åtgärdade problemet i sin säkerhetsuppdatering i april 2025.

SIM-swapping och bedrägerier med verifieringskoder

Angripare kan lura din mobiloperatör att överföra ditt telefonnummer till ett nytt SIM-kort som de kontrollerar. Sedan kan de lura dig att dela den sexsiffriga koden som WhatsApp skickar via SMS när du konfigurerar en ny enhet. Om du lämnar ut den kan illasinnade aktörer kapa ditt konto, låsa dig ute, stjäla din identitet och använda din profil för att lura dina kontakter. Polisen i Southwark, London, rapporterade en kraftig ökning av dessa attacker under 2021(nytt fönster), och varnade folk för att aldrig dela sina WhatsApp-koder.

Exponerad metadata

Chattar kan vara end-to-end-krypterade, men WhatsApp (och dess moderbolag Meta) samlar fortfarande in metadata – som vem du pratar med, hur ofta, dina enhetsdetaljer och plats. Metadata kan inte användas för att identifiera dig direkt, men den kan samköras med annan information för att återidentifiera dig(nytt fönster). Och eftersom Meta är baserat i USA kan de dela allt de vet om dig med den amerikanska regeringen utan förvarning.

Massexponering av 3,5 miljarder telefonnummer från WhatsApp

År 2025 upptäckte(nytt fönster) en grupp oberoende österrikiska forskare en integritetsbrist i WhatsApp som gjorde det möjligt för dem att hämta 3,5 miljarder telefonnummer – tillsammans med profilbilder, enhetsdetaljer, tidsstämplar, ”om”-texter och företagsinfo – genom att använda en lättreproducerad metod för telefonnummeruppräkning. Samma sårbarhet rapporterades först 2017, men Meta åtgärdade den inte. Det är viktigt att notera att inget bekräftat dataintrång hos WhatsApp offentligt har rapporterats ha utnyttjat denna specifika metod.

Även om ditt telefonnummer och metadata inte identifierar dig direkt, kan de matchas med andra data för att avslöja vem du är. Kanske återanvänder du samma profilbild över sociala plattformar, eller så har du varit del av tidigare dataintrång där dina e-postmeddelanden, användarnamn eller plats exponerades – allt detta kan länkas tillbaka till din WhatsApp-metadata.

Forskarna kom också över de offentliga nycklar som används för WhatsApp:s end-to-end-kryptering och fann allvarliga problem, inklusive att krypteringsnycklar återanvändes hundratals gånger över olika konton, och att engångsnycklar (pre-keys) dök upp upprepade gånger trots att de är utformade för att genereras på nytt för varje session.

Dessa säkerhetsproblem tyder på användning av inofficiella eller bedrägliga WhatsApp-klienter med bruten kryptering. Om du använder dessa modifierade appar kan dina meddelanden vara sårbara för avlyssning, dekryptering eller kontoimitation.

Meta sa att de hade fixat uppräkningsproblemet, tonade ner känsligheten hos de exponerade data och åtgärdade inte problemen med offentliga nycklar eller det faktum att de hade varnats för denna stora brist nästan ett decennium tidigare.

Riktade annonser på alla Metas plattformar

WhatsApp säger att de inte använder meddelandeinnehåll för annonser(nytt fönster), men de använder andra data – som kontoinfo (landskod, ålder), enhetsinfo (språk, plats) och aktivitet i Status och Kanaler (vad du tittar på, följer eller klickar på). Eftersom WhatsApp är en del av Meta kan dessa data delas över Facebook och Instagram, även om denna datadelning är begränsad i Europa tack vare GDPR.

Ända sedan WhatsApp ändrade sin integritetspolicy 2021 har de delat betalnings- och transaktionsdata som du kan ha haft med företag med Meta (dåvarande Facebook) också. Om du ansluter WhatsApp till Metas Accounts Center förenas dina annonspreferenser, vilket innebär att åtgärder i WhatsApp kan påverka annonser du ser någon annanstans. Och med nya funktioner som drivs av Meta AI väcker datadelning över plattformar ännu fler farhågor.

Träning av Meta AI

Meta AI är inbäddad i WhatsApp, Facebook och Instagram, vilket underblåser oron för hur data behandlas, används för AI-träning och delas över dessa plattformar.

På WhatsApp säger Meta att Meta AI inte får åtkomst till dina privata, end-to-end-krypterade chattar. Däremot kan de prompter och den feedback du delar med Meta AI lagras och användas för att förbättra dess modeller. WhatsApp erbjuder också en funktion för konversationssammanfattning som förlitar sig på ”privat behandling”(nytt fönster), vilket Meta hävdar förhindrar att sammanfattningar läses av företaget eller någon annan.

Även med dessa försäkringar kvarstår oron för hur mycket kontroll människor egentligen har över sina data. Till exempel har Facebook-användare rapporterat att Meta AI aktiverade inställningar som tillät den att skanna opublicerade foton från deras bildbibliotek utan deras samtycke.

Hur du håller dig säker på WhatsApp

Här är vad du kan göra för att förbättra din integritet och säkerhet när du använder WhatsApp:

  • Använd alltid de officiella WhatsApp-apparna från App Store eller Google Play för att säkerställa att din end-to-end-kryptering fungerar korrekt.
  • Slå på säkerhetsaviseringar på din telefon för att få larm när en kontakt ominstallerar WhatsApp, byter telefon eller lägger till eller tar bort en länkad enhet.
  • Skapa en passnyckel så att du kan logga in på WhatsApp med ditt ansikte, fingeravtryck eller skärmlås. Detta förhindrar att någon annan loggar in även om de får tag på din SMS-kod.
  • Lägg till en e-postadress för att verifiera eller återställa ditt konto om du blir utlåst. Se till att själva e-posten är säkrad med ett starkt lösenord och tvåfaktorsautentisering.
  • Aktivera end-to-end-krypterade säkerhetskopior för att skydda dina chattar i iCloud eller Google Drive så att inte ens Apple, Google eller Meta kan läsa dem. WhatsApp låter dig inte välja en leverantör av molnlagring. Annars bör du stänga av chattsäkerhetskopior helt.
  • Dela aldrig din sexsiffriga verifieringskod med någon. WhatsApp och Meta kommer aldrig att fråga efter den.
  • Be din mobiloperatör att lägga till en PIN-kod eller lösenfras innan ditt nummer kan flyttas till ett annat SIM-kort. Detta gör SIM-swapping mycket svårare.
  • Ladda bara ner WhatsApp från Google Play eller App Store och håll den – samt ditt mobila och stationära operativsystem – uppdaterad till den senaste versionen.
  • Klicka aldrig på länkar eller installera appar från okända eller misstänkta WhatsApp-kontakter. Om du är osäker på en kontakt, hör av dig till dem via en annan metod för att bekräfta deras identitet.
  • Säkra dina (nytt fönster)integritetsinställningar för WhatsApp(nytt fönster) genom att begränsa vem som kan lägga till dig i grupper och se din profilbild, senast sedd och onlinestatus, om-sektion och länkar på din profil.
  • Du kan inte helt stänga av Meta AI på WhatsApp, men du kan vidta åtgärder för att hindra den från att lära sig för mycket av din aktivitet – och skydda dina meddelanden från att hamna i AI-träningsdata.

Välj en mer privat meddelandeapp

Även om du kan vidta åtgärder för att förbättra din säkerhet och begränsa vad andra WhatsApp-användare kan se, ändrar detta inte det faktum att Meta fortfarande förlitar sig på att samla in användarinformation, såsom metadata, för intäkter. Om nyligen framkomna visselblåsarpåståenden är korrekta kan den åtkomsten vara ännu bredare än företaget medger. Med tanke på Metas historia av integritetskränkningar är viss skepticism befogad.

Om du är oroad över denna nivå av kontroll, överväg ett mer privat alternativ till WhatsApp som samlar in betydligt mindre data och inte är knutet till ett Big Tech-företag som bötfällts av tillsynsmyndigheter för sin betala-eller-samtyck-annonsmodell.