Foto ter illustratie.
Volledig scherm
Foto ter illustratie. © EPA

WhatsApp kan via achterdeurtje versleutelde berichten lezen

Facebook, de eigenaar van chatapp WhatsApp, en anderen kunnen via een achterdeurtje in de software van de applicatie versleutelde berichten onderscheppen en lezen. Dit schrijft The Guardian

Volgens Facebook is het niet mogelijk dat de versleutelde berichten onderschept kunnen worden, niet eens door het bedrijf zelf of door de medewerkers. Op die manier moet de privacy van de ruim een miljard gebruikers gewaarborgd worden. Maar volgens nieuw onderzoek van Tobias Boelter, een cryptograaf en beveiligingsonderzoeker aan de University of California, kan dit dus wel. 

Sleutels

Quote

Als een overheids­in­stan­tie WhatsApp vraagt om haar data over berichten te overhandi­gen, dan kunnen ze toegang verlenen

Tobias Boelter

Om de versleutelde berichten mogelijk te maken, worden er per gebruiker unieke 'sleutels' gemaakt door WhatsApp. Die worden vervolgens uitgewisseld tussen de gebruikers. Na die uitwisseling worden alle berichten versleuteld en kunnen ze niet meer worden onderschept. Maar als een gebruiker offline is, kan WhatsApp er voor zorgen dat er nieuwe sleutels aangemaakt worden, zonder dat de gebruiker hier iets van af weet. Omdat er een nieuwe sleutel is aangemaakt, moeten alle berichten ook opnieuw worden versleuteld. Dit doet WhatsApp automatisch voor alle berichten die nog niet aangemerkt staan als ontvangen. Op dat moment kunnen medewerkers van WhatsApp de berichten onderscheppen en lezen. 

De ontvanger krijgt bovendien geen melding als berichten opnieuw versleuteld zijn. De zender kan daar wel een melding van krijgen, mits ze daar een optie voor hebben ingeschakeld en de berichten al opnieuw zijn verzonden.

,,Als een overheidsinstantie WhatsApp vraagt om haar data over berichten te overhandigen, dan kunnen ze toegang verlenen door de sleutels te wijzigen'', vertelt Boelter. Privacy-activisten noemen de kwetsbaarheid dan ook een ,,gigantische bedreiging voor de vrijheid van meningsuiting''. Zij waarschuwen dat het achterdeurtje door overheden gebruikt kan worden om in de berichten van gebruikers rond te neuzen, terwijl zij denken dat hun communicatie veilig is. 

WhatsApp zelf zegt privacy en beveiliging hoog in het vaandel te hebben staan. De applicatie is dan ook een standaard communicatiemiddel geworden voor activisten, dissidenten en diplomaten.

Bewust

Quote

Als bedrijven claimen end-to-end-encryptie te gebruiken, dan moeten ze het ook eerlijk vertellen als ze een kwetsbaar­heid vinden

Jim Killock

De achterdeur werd overigens bewust geïnstalleerd. Hiermee wordt er namelijk voor gezorgd dat gebruikers hun eerder verstuurde berichten kunnen ophalen en versleutelde berichten kunnen blijven vesturen als ze bijvoorbeeld van telefoon gewisseld hebben. Wordt WhatsApp namelijk opnieuw geïnstalleerd, dan moet er ook een nieuwe sleutel aangemaakt worden. De oude wordt niet meegenomen.

Boelter informeerde Facebook in april over de kwetsbaarheid. Hem werd toen verteld dat het bedrijf hiervan op de hoogte was, en dat er weinig mee gedaan wordt omdat het ,,verwacht gedrag is''. The Guardian heeft nu geverifieerd dat de achterdeur nog steeds bestaat. ,,Als bedrijven claimen end-to-end-encryptie te gebruiken, dan moeten ze het ook eerlijk vertellen als ze een kwetsbaarheid vinden - ongeacht of dat nu via bewust geïnstalleerde achterdeurtjes gedaan is of dat het door een fout in de beveiliging komt'', stelt Jim Killock, directeur van de Open Rights Group.