Romain Aubert

‘Waarom ik mijn vrienden vroeg om niet langer WhatsApp te gebruiken’

Romain Aubert Consultant en techblogger voor FreeCodeCamp

Data News selecteert de beste artikels van 2017. Een daarvan ging over end-to-end-encryptie en metadata. Consultant en techblogger Romain Aubert legde erin uit waarom de beveiliging van WhatsApp en Telegram niet goed genoeg is om je privacy te verzekeren.

Vanochtend vertelde ik mijn vrienden om te stoppen met WhatsApp en Telegram. Ik zond hen een uitnodiging voor de berichtendienst Signal. Dit is waarom:

Waarschijnlijk heb je het niet door, maar de kans is groot dat je het Signalprotocol elke dag gebruikt, samen met meer dan 1 miljard andere mensen, elke dag. Het Signalprotocol wordt gebruikt door WhatsApp, Facebook Messenger, Google Allo en door de berichtenapp Signal zelf. Maar wat is het eigenlijk?

‘Het Signalprotocol is een niet-gefedereerd cryptografisch protocol dat end-to-end-encryptie voorziet voor instant messaging-conversaties’, klinkt het op Wikipedia. End-to-end-encryptie betekent dat jouw bericht op weg naar zijn uiteindelijke ontvanger gecodeerd wordt en enkel kan gedecodeerd worden door die ontvanger. WhatsApp begon het een paar maanden geleden te gebruiken en toonde dat ook in jouw conversaties:

WhatsAppconversatie
WhatsAppconversatie© FreeCodeCamp

Het protocol is van de hand van Open Whisper System. De non-profitorganisatie werd in 2013 opgericht door Moxie Marlinspike, voormalig hoofd veiligheid bij Twitter, nadat de microblogdienst het eerste bedrijfje van Open Whisper had gekocht.

Open Whisper System is vooral bezig met het Signalprotocol verder te ontwikkelen en heeft ook een eigen app die Signal heet en erg op WhatsApp en Facebook Messenger lijkt. Zijn fondsen haalt het uit zowel donaties als subsidies. In oktober 2016 werd het Signal Protocol geëvalueerd door een internationaal team van veiligheidsonderzoekers, met enthousiaste reviews tot gevolg.

Als je alles hierboven leest, denk je dat je goed zit, gezien WhatsApp, Facebook en Google Allo hetzelfde protocol gebruiken. Maar het ligt wat anders.

Facebook Messenger en Google Allo voorzien niet standaard end-to-end-encryptie. Op Messenger moet je de instelling ‘Geheime gesprekken’ activeren, gebruikers van Allo moeten chatten in Incognito Mode.

‘Waarom ik mijn vrienden vroeg om niet langer WhatsApp te gebruiken’

Telegram, het geesteskind van Pavel Durov dat door 100 miljoen mensen wordt gebruikt, hanteert zijn eigen encryptieprotocol: MTProto. Rond dat protocol was er al veel controverse. In 2015 publiceerde een veiligheidsonderzoeker een rapport met theoretische kwetsbaarheden in het MTProto. Hij stelde vast dat het geen goed idee was van Telegram om met een eigen encryptieprotocol te komen aanzetten.

Blijven over: WhatsApp en Signal, de enige twee applicaties die het Signalprotocol standaard hanteren voor alle berichten. Je kunt je afvragen waarom je dan niet bij WhatsApp zou blijven?

Eén woord: metadata.

Metadata en dataverzameling zijn al vaak het onderwerp geweest van debatten. Partijen zeggen vaak dingen als: ‘We kunnen de inhoud van je communicatie niet zien/beluisteren, omdat we end-to-end-encryptie gebruiken. We verzamelen enkel metadata.’

Metadata is vaak een vage term. Voor de duidelijkheid, hieronder vind je een verhelderde definitie van metadata.

De inhoud op deze pagina wordt momenteel geblokkeerd om jouw cookie-keuzes te respecteren. Klik hier om jouw cookie-voorkeuren aan te passen en de inhoud te bekijken.
Je kan jouw keuzes op elk moment wijzigen door onderaan de site op "Cookie-instellingen" te klikken."

Als je nog altijd twijfelt over wat metadata zijn, kun je best deze blogpost van Kurt Opsahl (Electronic Frontier Foundation) lezen. Hij geeft enkele voorbeelden van wat bedrijven of regering weten wanneer ze metadata verzamelen.

Ze weten dat je om 2.24 uur een sekslijn belde voor een gesprek van 18 minuten, maar niet waarover je praatte.

Ze weten dat je de Zelfmoordlijn belde vanop de Golden Gate Bridge. Maar het onderwerp van het gesprek blijft geheim.

Ze weten dat je hebt gesproken met een dienst die HIV-testen uitvoert, vervolgens met je dokter en in hetzelfde uur nog met het bedrijf dat jouw ziekteverzekering beheert. Maar ze weten niet waarover de gesprekken gingen.

Nu je weet wat metadata is, zal ik het herhalen: end-to-end-encryptie voorkomt niet dat berichtendiensten metadata kunnen verzamelen.

Laat ons eens kijken wat ze zoal bijhouden.

WhatsApp

In de FAQ van WhatsApp staat dat de app toegang heeft tot alle nummers in je contactenlijst en dat ze een hoop informatie over je bijhoudt. Wat interessant is, is dat WhatsApp geen berichten bijhoudt op haar servers. In de plaats daarvan staan die berichten op je telefoon en uiteindelijk op de servers waarop de back-ups van je telefoon komen. Voor iPhonegebruikers betekent het dat hun WhatsAppberichten in iCloud staan als dat hun back-uptool is.

Het antwoord op de vraag waar de informatie terechtkomt die WhatsApp verzamelt over waar, wanneer en met wie je communiceert, is veel vager. Zij zeggen het volgende: ‘We verzamelen dienstgerelateerde, diagnostische en prestatiegegevens. Dit omvat informatie over uw activiteiten (zoals hoe u onze diensten gebruikt, hoe u communiceert met anderen via onze Diensten, en dergelijke), logbestanden en diagnostische, crash-, website- en prestatieregistraties en -rapporten.’

WhatsApp houdt ook informatie bij die specifiek is per toestel wanneer je hun dienst installeert, erop inlogt of ze gebruikt. Dat gaat over het model gsm dat je gebruikt en informatie rond jouw browser, je IP-adres en je mobiele netwerk – ook je telefoonnummer.

Als ze die informatie niet kunnen verzamelen via je telefoon, zullen ze die bemachtigen wanneer mensen je een berichtje sturen, gezien WhatsApp ook toegang heeft tot de activiteitgegevens van je vrienden.

Naast de niet-geëncrypteerde backups legde de Electronic Frontier Foundation nog andere zorgen op tafel op het gebied van key change notification, de internetapp van WhatsApp en de data die het deelt met Facebook, dat WhatsApp in 2014 opkocht.

En over Facebook gesproken:

Facebook Messenger

MIT Technology Review schreef: ‘Facebook verzamelt de grootste dataset bij elkaar gezocht over menselijk sociaal gedraag ooit.’

Ik hoef niet uit leggen welke data Facebook verzamelt. Facebook is jouw vriend, dus maakten ze het heel simpel voor jou om te begrijpen hoe een naaste vriend je eigenlijk bent.

Uit de Privacyverklaring van Facebook: ‘Wat voor soorten gegevens worden verzameld?’

We verzamelen verschillende soorten gegevens van en over jou, afhankelijk van de diensten die je gebruikt.

Dingen die je doet en gegevens die je levert: we verzamelen de inhoud en andere gegevens die je verstrekt wanneer je onze diensten gebruikt, waaronder wanneer je je aanmeldt voor een account, inhoud maakt of deelt, en wanneer je berichten verstuurt en communiceert met anderen. Dit kan betrekking hebben op gegevens in en over de inhoud die je levert, zoals de locatie van een foto of de datum waarop een bestand is gemaakt. We verzamelen ook gegevens over hoe je onze diensten gebruikt, zoals de soorten inhoud die je bekijkt en op welke inhoud je reageert of de regelmaat en duur van je activiteiten.’

Dingen die anderen doen en gegevens die ze leveren: We verzamelen ook inhoud en informatie die andere mensen verstrekken wanneer ze onze diensten gebruiken, waaronder gegevens over jou, wanneer ze bijvoorbeeld een foto van je delen, je een bericht sturen, of je contactgegevens uploaden, synchroniseren of importeren.’

Je netwerken en connecties: we verzamelen gegevens over de mensen en groepen waarmee je bent verbonden en de manier waarop je deze mensen en groepen behandelt, zoals de mensen met wie je het meest communiceert of de groepen waarmee je veel deelt. We verzamelen ook contactgegevens die je levert wanneer je deze gegevens (zoals een adresboek) uploadt, synchroniseert of importeert vanaf een apparaat.

Gegevens van betalingen: als je onze diensten gebruikt voor aankopen of financiële transacties (zoals wanneer je iets koopt op Facebook, een aankoop doet in een game, of een bedrag doneert), verzamelen we gegevens over de aankoop of transactie. We verzamelen onder meer je betalingsgegevens, zoals het nummer van je creditcard of betaalkaart en andere kaartgegevens, andere account- en verificatiegegevens, en details met betrekking tot facturering, verzending en contactgegevens.

Apparaatgegevens: we verzamelen gegevens van en over de computers, telefoons en andere apparaten waarop je onze diensten installeert of opent, afhankelijk van waarvoor je toestemming hebt gegeven. We kunnen de verzamelde gegevens koppelen aan je verschillende apparaten. Dit helpt ons om consistente diensten aan te bieden op al je apparaten. Hier volgen enkele voorbeelden van de apparaatgegevens die we verzamelen

Kenmerken zoals het besturingssysteem, de hardwareversie, de apparaatinstellingen, de namen van bestanden en software en de bestands- en softwaretypen, batterij- en signaalsterkte en apparaat-ID’s. Apparaatlocaties, waaronder bepaalde geografische locaties, bepaald via GPS-, Bluetooth- of Wi-Fi-signalen. Verbindingsgegevens zoals de naam van je mobiele provider of internetprovider, browsertype, taal en tijdzone, mobiele telefoonnummer en IP-adres.

Gegevens van websites of apps die onze diensten gebruiken: we verzamelen gegevens wanneer je websites en apps van externe partijen bezoekt die onze diensten gebruiken (bijvoorbeeld wanneer ze de knop Vind ik leuk of de mogelijkheid tot Facebook-aanmelding aanbieden, of onze diensten voor metingen en adverteren gebruiken). We verzamelen onder meer gegevens over de websites en apps die je bezoekt, je gebruik van onze diensten op die websites en apps, en de gegevens die de ontwikkelaar of uitgever van de app of website jou of ons geeft.

Gegevens van externe partners: we ontvangen gegevens over jou en je activiteiten van externe partners, bijvoorbeeld wanneer een partner en Facebook samen diensten aanbieden, of gegevens van een adverteerder over jouw ervaringen en jullie interactie.

Facebook-bedrijven: we ontvangen gegevens over jou van bedrijven die eigendom zijn van of worden bestuurd door Facebook in overeenstemming met de voorwaarden en beleidsregels van de bedrijven in kwestie.’

Google Allo

Google Allo krijgt veel kritiek van veiligheidsexperts. Niet alleen kan Google elk bericht lezen dat je verstuurt, ze houden ook alle conversaties bij. Zo simpel is dat. Edward Snowden tweette zijn eigen, ironische advertentie voor Allo.

Telegram

Telegram is een moeilijk geval. Ik zei al dat haar encryptieprotocol theoretisch gezien enkele gaten heeft. Maar laat ons daarnaast kijken naar wat zij van je verzamelen.

Berichten, foto’s, video’s en documenten, behalve de Secret Chatberichten, worden geëncrypteerd en bewaard op de Telegramservers. Net als WhatsApp en Facebook bewaart Telegram jouw contactenlijst. Op die manier kunnen ze jouw een notificatie sturen wanneer iemand uit die lijst lid wordt van Telegram. Is dat niet lief van hen?

Signal

Het enige wat Signal bijhoudt, is het telefoonnummer waarmee je je registreert en wanneer je voor het laatst inlogde op hun server .

Dat is het.

Ze houden zelfs geen exact tijdstip bij – enkel de dag.

Als je snode plannen hebt: Signal heeft zelfs berichten die verdwijnen.

En Signal is gratis. Echt gratis, wat betekent dat ze van jouw oogballen geen product maken om te verkopen aan adverteerders zoals Facebook of Google dat doen. Hier kun je een gift doen aan Signal.

Overigens, de code achter Signal is gratis en open-source. Je kan ze raadplegen op Github.

Dit is een vertaling van een stuk dat eerder verscheen op FreeCodeCamp-pagina op Medium.

Leestips van de auteur

Waarom zou je bezig zijn met je privacy. Je zou in de verleiding kunnen komen om te denken dat je niets te verbergen hebt. Als je denkt dat privacy niet belangrijk is, is het goed om naar Glenn Greenwalds TED-lezing te kijken of de artikels van Quincy Larson en Fábio Esteves te lezen. Zij vertellen je respectievelijk hoe je je leven kunt encrypteren en waarom je je zorgen moet maken om je privacy. Amul Kalia van Electronic Frontier Foundation vertelt je waarom encryptie een mensenrecht is.

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content