Однако специалист по криптографии из Калифорнийского университета в Беркли Тобиас Болтер считает, что в логике работы WhatsApp имеется уязвимое место. Сервер WhatsApp может приказать клиенту, отключенному от сети, сгенерировать новый ключ шифрования, а отправителю — зашифровать недоставленные сообщения новым ключом и отправить их снова. Такая схема позволяет серверу, при желании, расшифровывать переписку. Приложение Signal, работающее по тому же протоколу, в случае изменения ключа не доставляет сообщения и уведомляет пользователя.
В Facebook заявляют, что эта особенность работы WhatsApp нужна для предотвращения потери сообщений в ходе доставки, не является «черным ходом» для спецслужб и не может быть использована злоумышленниками. Кроме того, в приложении можно настроить выдачу уведомлений об изменении ключей шифрования собеседников.