WhatsAppberichten veilig? Mooi niet
Wie dacht dat WhatsAppberichten sinds het begin van de end-to-end-encryptie veilig waren, komt wellicht bedrogen uit: Amerikaanse onderzoekers hebben een achterdeurmethode ontdekt waarmee de applicatie en Facebook jouw berichten alsnog kunnen lezen.
De end-to-end encryptie werd vorig jaar geïntroduceerd om te voorkomen dat derden mee konden lezen met de chats van gebruikers. Facebook beweert dat niemand WhatsAppberichten kan onderscheppen, zelfs niet de eigen medewerkers van het bedrijf die de privacy van miljarden gebruikers moeten garanderen. Onterecht dus, blijkt uit nieuw onderzoek.
Hercodering
Het beveiligingslek werd ontdekt door Tobias Boelter, een cryptografie- en veiligheidsonderzoeker aan de Universiteit van California. Boelter detecteerde dat de versleuteling van de chatapplicatie kan worden gewijzigd: berichten die niet zijn ontvangen, worden later automatisch opnieuw verzonden, maar middels een nieuwe encryptiesleutel. WhatsApp heeft op deze manier de mogelijkheid nieuwe sleutels te genereren voor gebruikers die op dat moment offline zijn.
De verzender en ontvanger van de berichten worden echter niet op de hoogte gebracht dat er een andere encryptiesleutel wordt gebruikt en kan deze hercodering ook niet tegenhouden. De nieuwe encryptiesleutels zorgt ervoor dat WhatsApp berichten van gebruikers kan lezen. „Als een overheidsinstantie WhatsApp vraagt om haar data over berichten te overhandigen, dan kunnen ze toegang verlenen door de sleutels te wijzigen”, aldus Boelter.
Nederland
Boelter ontdekte het veiligheidsgevaar al in april 2016. De wetenschapper stapte met zijn onderzoeksresultaten naar Facebook, de eigenaar van de berichtendienst. Het sociale netwerk liet weten op de hoogte te zijn van het lek, maar dat er weinig mee werd gedaan omdat het ‘verwacht gedrag’ zou zijn.
Critici noemen het lek een „enorme bedreiging voor de vrijheid van meningsuiting” en waarschuwen dat het kan worden misbruikt door overheidsinstanties. Kirstie Ball, co-directeur en oprichter van het Centre for Research into Information, Surveillance and Privacy, zegt dat de achterdeurmethode een „goudmijn is voor veiligheidsdiensten”.
„Het is een enorm verraad voor het vertrouwen van de gebruiker”, aldus Ball tegen de Britse krant The Guardian. „Gebruikers kunnen wel zeggen dat ze niets te verbergen hebben, maar we weten niet welke informatie er wordt gezocht en welke verbanden er worden gelegd.”
AIVD
In Nederland zijn tussen januari en juli 2016 in totaal berichtgegevens van 758 gebruikers opgevraagd door de Nederlandse overheid. Het Openbaar Ministerie en de AIVD hebben eerder aangegeven steeds meer last te ondervinden van versleuteling.
Een woordvoerder van WhatsApp zegt dat de veiligheid hoog in het vaandel staat bij het bedrijf. „Meer dan één miljard mensen gebruiken WhatsApp, omdat het eenvoudig, betrouwbaar en veilig is”, aldus een zegspersoon. De applicatie is dan ook een standaard communicatiemiddel geworden voor activisten, dissidenten en diplomaten. „WhatsApp geeft overheden geen achterdeur, en zal te allen tijde strijden tegen overheden die vragen om een achterdeurmethode.”