Een kwetsbaarheid in WhatsApp stelt overheden in staat mee te lezen

Dit stelt de Nederlandse overheid instaat om onze berichten te lezen.
13 januari 2017, 11:42am

Er is een kwetsbaarheid gevonden in de versleuteling van WhatsApp waardoor Facebook, sinds 2014 de eigenaar van WhatsApp, toegang heeft tot versleutelde berichten.

Dit terwijl al een jaar wordt beweerd dat het onmogelijk is om whatsappberichten te lezen, ook niet door medewerkers van het moederbedrijf.

Maar uit nieuw onderzoek blijkt dit niet waar te zijn. Dat is behoorlijk wrang omdat het bedrijf privacy in het afgelopen jaar juist opvoerde als een van de redenen om WhatsApp te gebruiken.

Vorig jaar maakte het bedrijf bekend een end-to-end versleuteling te activeren voor alle apparaten. Dankzij de end-to-end-versleuteling werd de data voortaan direct op het apparaat van chatpartners ver- en ontsleuteld – wat de communicatie voor alle partijen zeer moeilijk af te luisteren maakt. Het maakte in één klap een einde aan een van de grootste kritiekpunten over de app.

WhatsApps' end-to-end versleuteling genereert unieke beveiligingssleutels op dezelfde wijze als Signal dat doet. Er is alleen een verschil. WhatsApp genereert opnieuw sleutels voor offline gebruikers, in het geval dat een bericht niet verzonden is. De gebruiker merkt daar niks van, en het is best handig, want je hoeft een bericht niet opnieuw te sturen als het niet in een keer lukt. Dat gaat automatisch. En dat hoeft geen probleem te zijn, ware het niet dat er in het proces van het 'hersleutelen' van berichten een kwetsbaarheid zit. De enige uitzondering is als de gebruiker een optie inschakelt om een waarschuwing te krijgen voor versleuteling, en alleen nadat een bericht al is verzonden. Dit hersleutelen stelt WhatsApp in staat om berichten te onderscheppen.

Deze achterdeur zit niet in Signal. Een bericht dat niet is verzonden moet daarom opnieuw worden verzonden. Niet zo slick, maar wel een stuk veiliger, blijkt nu.

De kwetsbaarheid blijkt vorig jaar april al te zijn ontdekt door Tobias Boelter, een cryptografisch onderzoeker verbonden aan de Universiteit van Californië. Vanochtend zei hij tegen de Guardian dat "als WhatsApp door een overheid wordt gevraagd om berichten te ontsluiten, ze dat feitelijk kunnen doen vanwege de hersleuteling van berichten." Hij zei ook dat hij de kwetsbaarheid vorig jaar al bij Facebook heeft gemeld, en dat zij er van op de hoogte waren, maar er verder niets aan gingen doen.

Professor Kirstie Ball, co-director en oprichtster van het Centrum voor onderzoek naar Informatie, Surveillance en Privacy, noemde het in dezelfde krant een "gigantisch verraad van het vertrouwen van gebruikers." Vooral als je leest hoe blij veel mensen vorig jaar waren met de end-to-end versleuteling, [ook hier bij Motherboard]( inclusief Motherboard, ), is een gevoel van verraad moeilijk te onderdrukken.

Of deze achterdeur nu expres is blijven bestaan, of niet, is moeilijk te zeggen. In elk geval is het zo dat buitenlandse overheden zonder enige reden in staat zijn om onze berichten te doorzoeken. De Nederlandse geheime diensten mogen momenteel ook internetverkeer gericht aftappen, en WhatsApp-verkeer valt daar ook onder. Of ze vervolgens ook bij de inhoud van de berichten kunnen komen hangt af van of ze de versleuteling ongedaan kunnen maken, al dan niet met behulp van WhatsApp.

Er ligt bovendien momenteel een wetsvoorstel in de kamer waarmee de bevoegdheden van de geheime diensten worden uitgebreid. Een van de voorgestelde nieuwe bevoegdheden is de mogelijkheid om ongericht kabelgebonden (lees: internet) communicatie te aftappen: het sleepnet. Voor meer informatie daarover, en hoe we ons daartegen kunnen verzetten, zie deze site.

De vraag is in hoeverre WhatsApp/Facebook meewerkt met de Nederlandse diensten nu ze niet in Nederland gevestigd
zijn. Uit data van Facebook blijkt wel dat Nederland in de periode april tot juni 2016, 422 keer om toegang heeft gevraagd. 87,44 procent van die verzoeken heeft op z'n minst enige data opgeleverd voor de Nederlandse inlichtingendiensten. Dat wil niet zeggen dat ze complete gesprekken hebben gelezen, of überhaupt ook maar een bericht hebben gezien. Het kan ook om andere gebruiks- persoonsgegevens gaan. Maar toch is deze situatie 180 graden anders dan de afgelopen 8 maanden werd gedacht.

Blijkbaar is WhatsApp minder veilig dan we dachten, en als je privacy belangrijk vindt dan kun je dus beter overstappen op Signal.