Backdoor in WhatsApp of gewoon meer gebruikersgemak?

Afgelopen weekend was er ophef over een veronderstelde backdoor in WhatsApp. Dit achterdeurtje in de software zou het mogelijk maken om de versleutelde berichten toch te laten inzien door anderen. Maar is het een backdoor of simpelweg een manier om zoveel mogelijk gebruikersgemak te behouden?

WhatsApp biedt sind vorig jaar end-to-end encryptie, dat wil zeggen dat berichten alleen door de zender en ontvanger kunnen worden ingezien. De appjes zijn vanaf het begin van het transport (van zender naar WhatsApp servers) tot het einde (van WhatsApp servers naar ontvanger) versleuteld met een sleutel die alleen de zender en ontvanger hebben. WhatsApp zelf of moederbedrijf Facebook of internet criminelen of veiligheidsdiensten kunnen de berichten niet inzien.

Achterdeurtje?
Nu blijkt er één uitzondering te zijn. The Guardian kwam afgelopen vrijdag met het verhaal dat er een backdoor (expres ingebouwd achterdeurtje) in WhatsApp zit waardoor veiligheidsdiensten toch mensen kunnen afluisteren. Het blijkt dat er in één specifiek geval in theorie mogelijk is berichten in te zien: als de ontvanger net een nieuwe telefoon heeft of WhatsApp verwijderd en opnieuw geïnstalleerd heeft.

In dat geval klopt de sleutel van de ontvanger niet meer (want die heeft een nieuwe telefoon). Het versleutelde bericht kan daardoor niet direct ontsleuteld worden. Bij de zeer veilige messenger Signal (waarvan WhatsApp het beveiligingsprotocol grotendeels gebruikt) wordt in zo'n geval het bericht niet verstuurd aan de ontvanger en krijgt de zender de melding dat hij opnieuw het bericht moet versturen als hij zeker weet dat de ontvanger echt de ontvanger is voor wie het bericht bedoeld was (want deze heeft immers een nieuwe telefoon).

Gebruikersgemak?
WhatsApp kiest niet voor deze weg en gaat ervan uit dat de ontvanger nog dezelfde is en gebruikt een nieuwe sleutel voor het versturen van het bericht. Het bericht komt dus gewoon aan en gebruiker en ontvanger hoeven zelf niks te doen en hebben geen last van missende berichten, onderbrekingen of andere ongemakken. Het bericht moet echter wel opnieuw versleuteld worden op de servers van WhatsApp (omdat de sleutels niet meer overeenkomen) en dit is het moment dat in theorie een derde partij het bericht zou kunnen inzien. Maar WhatsApp moet dan wel derden toegang geven tot deze berichten en het is maar de vraag of de chat-dienst dat doet. En zoals gezegd: het inzien van berichten is alleen mogelijk als de ontvanger een nieuwe telefoon heeft en de berichten opnieuw versleuteld moeten worden. In de meeste gevallen (99%?) is het niet eens mogelijk dus om berichten in te zien - ook al zou WhatsApp dat willen.

Het geschetste dilemma is er dus een van gebruikersgemak versus 100% beveiliging. Signal, dat de naam van zeer veilige, betrouwbare messenger heeft hoog te houden, kiest voor de 100% beveiliging ten koste van gebruikersgemak. WhatsApp kiest voor gebruikersgemak ten koste van beveiliging in een zeer specifiek geval (als de ontvanger een nieuwe telefoon heeft). In de meeste gevallen worden berichten gewoon volledig versleuteld verstuurd.

Waarschuwing voor veranderde sleutel
Als je wilt kun je trouwens gewaarschuwd worden als de ontvanger van WhatsApp-berichten een nieuwe telefoon heeft en als de berichten dus op nieuw versleuteld worden. Ga hiervoor in WhatsApp naar Instellingen | Account | Beveiliging en zet Toon beveiligingsmeldingen aan.

Is het een backdoor in WhatsApp? Wat ons betreft is de benaming nogal dik aangezet door The Guardian. De altijd zeer kritische Amerikaanse consumentorganisatie Electronic Frontier Foundation (EFF) en de makers van Signal, Open Whisper Systems, die ook het versleutelingsprotocol voor WhatsApp hebben geïmplementeerd, nemen het op voor WhatsApp en stellen dat WhatsApp een redelijke afweging tussen gebruikersgemak en privacy heeft gemaakt.

Bovendien maken veel andere chat apps helemaal niet gebruik van end-to-end encryptie of moet je dat eerst zelf aanzetten (wat de meeste gebruikers toch niet doen), zoals in Google Allo en Telegram bijvoorbeeld. Dus wat betreft privacy zit je niet zo slecht bij WhatsApp. Alleen over het delen van meta-data (wanneer iemand het laatst online was en naar wie berichten verzonden werden) met moederbedrijf Facebook is vorig jaar ophef ontstaan. Maar meta-data (wie, wanneer) is nog altijd wat anders dan de inhoud van berichten.

Wie de ultieme privacy wil kan Signal voor Android en iOS gratis downloaden als vervanger voor WhatsApp

Wat vinden jullie? Is de potentiële kwetsbaarheid door het opnieuw versleutelen van berichten als de ontvanger een nieuwe telefoon heeft een backdoor of is het een prima afweging tussen beveiliging en privacy en gebruikersgemak? Geef je mening in de reacties!

Reacties

Veel lawaai om niks, stemmingmakerij, ik geloof niet in een bewust geplaatste backdoor.
De veiligheidsdiensten zeuren niet voor niets dat ze niet kunnen meelezen.
De overheid vertrouwt zijn burgers niet meer, iedereen is in principe een potentiële crimineel.
Ik op mijn beurt vertrouw de motieven van de overheid ook niet meer.
Met WhatsApp ben je de beoogde politiestaat voorlopig te slim af.
En wat dan nog als ze alleen bij een nieuwe telefoon/sleutelwissel even kunnen meelezen, het zal mij een zorg zijn.

Zie je wel. Stemmingmakerij was het.
De Britse krant The Guardian heeft na felle kritiek van beveiligingsexperts een artikel over een vermeende backdoor in WhatsApp deels aangepast.

Beetje naïef om te denken dat er veilige chat-apps bestaan want alles blijkt te kraken. Als je leest dat een beveiligingsdienst berichten van een persoon via Telegram heeft onderschept (die was toch zo veilig?). Altijd dat dramatische gedoe over de privacy. Als je je daar dan zo druk over maakt, gebruik die apps dan niet. Helaas leven we in een tijd dat het noodzakelijk blijkt dat er wordt meegekeken, of je het daar nou mee eens bent of niet. Als je niks te verbergen hebt dan heb je ook niks te vrezen.

Hoe naïef kun je zijn. De vraag is niet of je iets te verbergen hebt, maar waarom anderen het van je willen weten. Waarom ze jouw gegevens willen hebben. Krijgen ze niet.

Hoe een dom antwoord kun je geven want het is niet zo dat standaard met iedereen wordt meegelezen, meestal heb je daartoe zelf aanleiding gegeven. Dat is dan meteen het antwoord waarom ze jou gegevens willen en meer van je willen weten.

Het is wel zo dat ze standaard met iedereen mee willen kunnen lezen.
Ook zonder dat daar aanleiding voor bestaat.
De enige die een dom antwoord geeft ben je zelf naïeveling.
Er bestaan wel veilige chat apps, WhatsApp is er één van.

Mail en chat is wel verschillend Frank!

Sorry, mijn fout.

Tja, je kunt toch ook gewoon ProtonMail gebruiken i.p.v. dat WhatsApp ding waar iedereen altijd over loopt te zeuren?
Beschikbaar voor Windows, iOS en Android.
Ben je altijd veilig, toch?

Ik zie het niet als een backdoor, maar als een slechte afweging van de belangen van de gebruiker; veiligheid vóór alles!

Als je meer privacy wilt, dan zou ik Signal van Open Whisper System gebruiken. https://whispersystems.org is voor Android en iPhone smartphones.

Reageer

Plain text

  • Toegelaten HTML-tags: <a> <em> <strong> <br> <br /> <i> <b> <p>
  • Regels en alinea's worden automatisch gesplitst.
  • Adressen van webpagina's en e-mailadressen worden automatisch naar links omgezet.
  • <img> elements are lazy-loaded.
Controlevraag tegen spam
fra_krijk