Wanneer een app beweert zeer veilig te zijn, hebben we twee mogelijkheden: de ontwikkelaar op zijn woord vertrouwen of zelf op onderzoek gaan. Voor WhatsApp wijst dat onderzoek uit dat het populaire chatprogramma allesbehalve veilig is. Iedereen, mits die over de juiste middelen beschikt, kan meelezen met je berichten.
WhatsApp beweert op zijn site dat de communicatie tussen jouw telefoon en hun server wordt gecodeerd en er dus geen gegevens bewaard blijven. WhatsApp versleutelt je berichten met een technisch veilig systeem waarbij berichten worden gecodeerd voor ze verzonden worden en maar tijdelijk op de server opgeslagen worden. Hoe WhatsApp deze berichten versleutelt, blijkt echter niet zo veilig te zijn.
Er zijn al programma’s waarmee je WhatsApp-berichten decodeert
Thijs Alkemade, een Nederlandse student, ontdekte dat het mogelijk is om WhatsApp-berichten te ontcijferen, omdat het systeem gebruik maakt van dezelfde coderingssleutels voor beide richtingen. Deze storing beïnvloed de Android- en Symbian-versies van WhatsApp. Tot nu toe is er geen oplossing voor. De conclusie van de Nederlandse student: “beschouw alle gesprekken die je tot nu toe hebt gevoerd als onveilig.”
De CEO van WhatsApp, Jan Koum, reageerde als volgt:
WhatsApp neemt beveiliging serieus en is voortdurend bezig met de verbetering van het product. We waarderen de feedback, maar vinden dat het artikel meer theoretisch van aard is. Zeggen dat alle chats onveilig zijn, is onjuist. Het is sensationeel en overdreven.
Theoretisch van aard dus. Twee Spaanse onderzoekers, Jaime Sanchez en Pablo San Emetorio, onderwierpen Alkemades theorie aan een test. En wat blijkt? Met de door Sanchez en San Emetorio ontwikkelde app WhatsApp Message Decoder, gebaseerd op de bevindingen van Alkemade, is het wel heel makkelijk om WhatsApp-berichten te decoderen.
San Emeterio en Sanchez gingen nog een stapje verder en presenteerden een mogelijke oplossing, die bestaat uit het vervangen van de encryptie en het vermijden van de officiële servers. Hiermee willen ze, zoals ze uitleggen in een interview met het Spaanse dagblad El Mundo, voorkomen dat iedereen toegang tot je gesprekken kan krijgen.
Diagram van de verbetering van Sanchez en San Emeterio (bron)
WhatsApp belandt hierdoor weer in een precaire positie. In de geschiedenis van het bedrijf is immers al vaker sprake geweest van een beveiligingslek. In 2012 bleek je met WhatsApp Sniffer heel makkelijk berichten te kunnen onderscheppen. WhatsApp loste de bug op middels een update, maar het leed was al geleden.
Veiligere, maar weinig gebruikte alternatieven
De onveiligheid van WhatsApp heeft geleid tot de opkomt van een nieuwe generatie messaging apps die veiligheid hoog in het vaandel hebben staan. Anders dan de apps die zich richten op het versturen van beveiligde berichten, gaat het hierbij vooral om het sturen van sms’jes, zoals bij WhatsApp.
De eerste is Heml.is, van de makers van het controversiële Pirate Bay. Op het moment van schrijven is Heml.is nog niet beschikbaar, maar het lijkt een zeer interessant, gratis alternatief voor WhatsApp te worden, met een heldere en aantrekkelijke interface. Door een combinatie van technieken, waaronder een vervaldatum voor berichten, wordt alles wat je verstuurt goed versleuteld.
Een andere optie is het reeds verkrijgbare Telegram, een beveiligde messaging app van de makers van VK, het Russische Facebook. De app werd kort na het schandaal rond de NSA gelanceerd en is beschikbaar voor zowel Android als iPhone. Telegram versleutelt berichten en laat deze zichzelf vernietigen. De servers bevinden zich over de hele wereld. De geheime chats worden niet opgeslagen in de cloud.
Uit Spanje komt Woowos, dat niet alleen je berichten versleutelt. maar ook grappig icoontjes toont als je bericht is afgeleverd, gelezen, verwijderd voor het gelezen is of gewist na het gelezen is. Zo wordt de complexiteit van beveiligde communicatiesystemen wat eenvoudiger gemaakt.
Geen van deze apps heeft een grote gebruikersgroep. Waarom? Eén van de redenen kan zijn omdat ze lastig in gebruik zijn. Het succes van WhatsApp komt mede door de eenvoud van het programma. Hoe ingewikkelder het wordt om een bericht te versturen, des te groter is de kans dat een app niet succesvol wordt.
Threema geeft aan de veiligheid van de gesprekken met een eenvoudige verkeerslicht (bron)
De enige apps die de concurrentie met WhatsApp aan kunnen gaan zijn degene die ondersteuning van een besturingssysteem of fabrikant hebben (Skype, BBM, ChatON) of veel extra functies hebben, zoals Viber of LINE. Geen van de beveiligde apps bieden meer dan WhatsApp al doet, waardoor er weinig te winnen is bij verandering.
Waarom verbetert WhatsApp zelf de veiligheid niet?
“Maar ik heb helemaal niets te verbergen, dus wat kan mij het schelen als mijn berichten onveilig verzonden worden?” Zo denken veel mensen erover. Wil je wel per se iets geheim houden, dan verstuur je het op een andere manier.
Het gaat echter niet alleen om jouw berichten, maar ook om de berichten die anderen jou sturen. In India wordt WhatsApp bijvoorbeeld door artsen gebruikt om röntgenfoto’s en andere zaken die bescherm worden door het medisch beroepsgeheim te sturen. Je wilt toch niet dat iedereen dat in kan zien? Moraal van het verhaal: bescherm je privacy, ook al “heb je niks te verbergen”.
Er zijn artsen die röntgenfoto’s en andere gevoelige gegevens versturen via WhatsApp
Bovendien is de veiligheid van een dienst niet alleen een persoonlijke kwestie, maar ook een principekwestie. Een dienst heeft de morele en wettelijke verplichting om de privacy van zijn gebruikers te beschermen tegen afluisteren en diefstal van informatie. Zelfs als het de gebruikers niks kan schelen, zou het bedrijf zich er wél druk over moeten maken. Bescherming van privacy is in ieders belang (behalve dan dat van de NSA).
Als het zo belangrijk is, waarom doet WhatsApp dan niet meer aan de veiligheid?
Maximale veiligheid is duur om te implementeren en te onderhouden, en bovendien vaak onhandig voor de gebruikers. WhatsApp veiliger maken betekent dat je aan het fundament van een applicatie die door miljoenen mensen wordt gebruikt moet gaan sleutelen. Dat moet stap voor stap gebeuren en je gebruikers mogen er geen last van hebben. WhatsApp moet een snelle en eenvoudige messaging app blijven.
Veiligheid lijkt niet de grootste zorg te zijn van een meerderheid van de gebruikers en ontwikkelaars. In ieder geval is het zo dat als verbeterde veiligheid ervoor zorgt dat een app trager werkt, het zijn aantrekkingskracht verliest. Daarom hebben de veilige alternatieven voor WhatsApp tot dusver zo weinig succes.
We hebben zowel WhatsApp als Alkemade en San Emeterio en Sanchez benaderd om hun mening te geven over de veiligheid in WhatsApp, maar hebben tot op heden nog geen antwoord ontvangen.
Wat denk jij over de veiligheid van WhatsApp?
