"Leer mensen echt bewust met WhatsApp en Signal om te gaan"

"Leer mensen echt bewust met WhatsApp en Signal om te gaan"

De berichten-app Signal ziet zijn gebruikersaantallen explosief groeien na een WhatsApp-controverse. Wordt deze privacyvriendelijke app binnenkort echt een WhatsApp-vervanger en hoe werkt end-to-end-encryptie? We spraken erover met beveiligingsexpert Donny Maasland ven ESET Nederland.

Het Signal-recept

Door het groeiende succes van de chat-app Signal wordt ze soms foutief als nieuw aanzien maar in feite bestaat de software al sinds 2010 onder de naam 'TextSecure'. Het heeft wel tot 2015 geduurd alvorens er een Android-app kwam met de naam 'Signal'.

Toch gebruiken we met zijn allen al veel langer de software van de 'Signal Foundation', het vroegere Open Whisper Systems. De makers van deze berichtendienst werken al jarenlang aan het Signal-beveiligingsprotocol waar andere diensten zoals WhatsApp sinds lange tijd gebruik van maken. Het protocol zorgt ervoor dat appjes versleuteld zijn en niet kunnen worden gelezen wanneer ze door kwaadwilligen worden onderschept.

WhatsApp en Facebook

Maar als WhatsApp al langer het beveiligingsprotocol van Signal gebruikt, waarom is de app dan privacyonvriendelijk volgens sommigen? En waarom installeert iedereen plotseling Signal als alternatief? Heeft die app een toekomst?

"Onlangs is er een controverse geweest rond de nieuwe privacyverklaring die WhatsApp aan gebruikers voorschotelt en de manier waarop WhatsApp gegevens met Facebook deelt", dat legt Donny Maasland uit, de Chief Technical Officer bij ESET Nederland. "In feite deelt WhatsApp al jarenlang de gegevens van zijn gebruikers met het moederbedrijf en het is bekend dat Facebook die informatie gebruikt voor doelgerichte advertenties. Dat is het verdienmodel van het bedrijf."

AW: Maar is het niet juist het doel van end-to-end-encryptie [E2EE] dat niemand aan je versleutelde berichten kan? E2EE werkt met een beveiligingscode tussen jou en de ontvanger van het bericht, en als die codes overeen komen is de informatie versleuteld.

"Dankzij de end-to-end-encryptie kan dan wel niemand bij je WhatsApp-berichten, maar voor Facebook zelf is het wel mogelijk door de informatie te onderscheppen wanneer berichten ontgrendeld worden. WhatsApp vraagt ook toegang tot je contactenlijst en zo weet het dus ook met wie je spreekt en voor hoe lang.

Donny Maasland is Chief Technical Officier bij ESET Nederland

Anders dan Signal is WhatsApp ook geen open-source-software, en dat wil zeggen dat je geen kijkje kan nemen in de code en te zien wat er precies achter de schermen gebeurt. In principe kan je de app wel gaan 'reverse-engineeren' [ofwel de code ontleden, Nvdr.], maar dat is heel wat complexer."

Bewust met berichten-apps

AW: Bij gesprekken over privacy die je in een groep mensen voert, komt je altijd op het punt waarop iemand zegt: "En dan? Ik heb toch niets te verbergen".

"Heel veel mensen kiezen ook bewust om WhatsApp te gebruiken omdat de app gewoon handig is. Iedereen mag gewoon helemaal voor zich bepalen of deze andere kant van WhatsApp een probleem vormt of niet. Je kan ook gewoon accepteren dat je online op dergelijke manieren gevolgd wordt.

Zelf gebruik ik ook WhatsApp, maar belangrijk is ook de manier waarop je de app gebruikt. Als ik met collega's via WhatsApp praat, dan houden we in het achterhoofd dat er iemand kan meelezen. Op Signal zijn we wel geneigd om meer te delen in groepen."

AW: Denk je dat het realistisch is dat smartphonegebruikers dergelijke denkwijzen aanleren? Kunnen we gebruikers met andere woorden leren om bewust te denken waar ze welke berichtendienst voor willen gebruiken?

"Een deel van de gebruikers zou zo met de apps kunnen omgaan, maar veel mensen zijn er ook gewoon niet in geïnteresseerd, en dat is ook prima. Soms denken mensen dat Facebook een evil bedrijf is, maar dit is gewoon de manier waarop het bedrijf zijn rekeningen betaalt. Facebook heeft geen kwade bedoelingen met jouw gegevens, maar de data is wel een vereiste voor de sociale mediasite om geld te verdienen. Zo eenvoudig is het."

Signal correct gebruiken

AW: Maar wie niet comfortabel is om zoveel met Facebook te delen, komt dan automatisch bij apps als Signal terecht, en dat hebben we de voorbije weken wel gezien. De dienst zag alleen al in de Play Store zijn gebruikersaantallen vervijfvoudigen.

"Ja, en toch gebruiken veel mensen Signal nog op een verkeerde manier. Die end-to-end-encryptie in de app heeft pas zin als je de beveiligingssleutel tussen jou en je gesprekspartner ook verifieert, maar dat doen de meeste mensen niet. Je moet de codes vergelijken om te zien of ze overeenkomen, en als dat het geval is kan je ze verifiëren zodat Signal je via een melding op de hoogte brengt als er toch iets aan de codes wijzigt."

AW: Waarom is het dan zo belangrijk?

"Zo voorkom je dat je slachtoffer wordt van een 'man-in-the middle-attack'. Zoals de naam vast doet vermoeden, gaat het om een kwaadwillige die tussen jou en de ontvanger van een bericht komt te staan en berichten onderschept. De crimineel ontgrendelt het bericht, leest het en stuurt het weer door naar de ontvanger. Je kan mogelijk het slachtoffer zijn van zo'n aanval wanneer jouw beveiligingscode plots niet meer overeenkomt met die van de ontvanger van het bericht. Als je dat niet tijdig opmerkt heeft de encryptie geen zin."

AW: Komen zulke aanvallen vaak voor?

"Hopelijk niet, maar heel zeker weten we het natuurlijk niet. Het is wel zo dat zo'n aanval erg complex is om uit te voeren, en het zou dus echt al afkomstig moeten zijn van bijvoorbeeld bedrijven of inlichtingendiensten. In ieder geval partijen die de juiste connecties hebben bij onder meer telecomoperators."

Veiligheid versus functionaliteit

AW: In onze wekelijkse poll op Androidworld hebben we het over functies die we graag in Signal zouden zien. Het valt op dat de app minder features heeft dan concurrenten als WhatsApp en Telegram.

"Absoluut, dat is het kernprobleem van de internetbeveiliging momenteel: de moeilijke afweging die je als ontwikkelaar maakt tussen de belofte voor beveiliging en privacy enerzijds, en functionaliteit anderzijds.

Signal heeft bijvoorbeeld geen webversie, maar dat komt omdat je met zo'n feature je gebruikers blootstelt aan heel wat potentiële risico's. Browserextensies zijn in feite mogelijke deurtjes waarlangs gegevens kunnen worden versluisd. Als ontwikkelaar heb je dan veel meer controle bij pakweg een Android-app, en ook een desktopapplicatie geeft al iets meer zekerheid."

AW: Zijn er functies die jij mist in Signal?

"Zeker. Je ziet dat de app gewoon door techneuten is gemaakt, en achter WhatsApp zit daarentegen een user experience team. Als je met WhatsApp een foto van hoge resolutie stuurt, dan wordt die gecomprimeerd, maar bij Signal verzend je die met de volledige grootte waardoor hij veel ruimte op je apparaat inneemt.

Een andere voorbeeld: als ik de desktopapplicatie van Signal een maand niet gebruik, dan moet ik opnieuw inloggen en ben ik mijn gesprekken kwijt. Je kan ze enkel met lokale back-ups herstellen, en dat is veiliger maar lastiger voor de gebruiker."

AW: Bestaat er voor berichtendiensten een gulden middenweg tussen functionaliteit en privacy?

"Je staat altijd voor een uitdaging als je pakweg als ontwikkelaar van berichtendienst mensen naar jou app wil laten overschakelen. Je moet mensen echt zien te overtuigen om over stappen, want vaak houden ze ook niet van verandering. Ik krijg pakweg mijn moeder moeilijk overtuigd om ineens Signal te gaan gebruiken en als ze het toch doet dan loopt ze vast tegen probleempjes en moeilijkheden aan. Vroeger in het begin van WhatsApp had je die middenweg, en dat was de betalende abonnementsvorm. Die is er niet meer."

AW: Telegram gaat ook adverteren, maar dan met niet-doelgerichte reclame.

"Ja, dat is ook wat bijvoorbeeld de NOS op zijn website ook doet. Het gaat inderdaad om reclame die niet gepersonaliseerd is aan de gebruiker. Daar kan een oplossing in bestaan, maar dergelijke advertenties brengen wel minder geld op."

AW: Denk je dat een internetbeveiligingsbedrijf als ESET een rol kan spelen in de manier waarop jullie gebruikers kunnen informeren over de manier waarop apps beveiligd zijn en al dan niet de privacy van gebruikers respecteren? Op iOS heeft Apple sinds kort privacylabels die gebruikers al meer op de hoogte brengen over de gegevens die apps verzamelen, maar zo'n functie is er nog niet voor Android.

"Het is ook nog maar de vraag of Google die functie zal toevoegen aan de Play Store, want ook Googles verdienmodel bestaat grotendeels uit het verzamelen van gegevens. Daarnaast informeren we met ESET ook op het Online Veilig-kennisplatform dat gebruikers informeert over de veiligheid van berichten-apps.

AW: Erg bedankt voor dit interview, Donny Maasland.

"Da's graag gedaan."

Meer Signal

Meer weten over Signal? Hou dan Androidworld deze week in de gaten. Deze week staat namelijk geheel in het teken van Signal. Ontdek hier onze favoriete artikelen:

Heb je tips of ideeën?

Androidworld is de grootste Android-community van Nederland en België. We doen dit dus samen! Heb jij dus een vraag over het onderwerp dat we bespreken tijdens de themaweek of juist ideeën of tips? Laat het dan weten in de reacties onder dit artikel (check ook onze nieuwe Android-app).

Je kan ons ook mailen via dit e-mailadres of een berichtje achterlaten op Facebook, Instagram en Twitter. Daarnaast kan je ons vragen stellen via deze Telegram-groep of deze Signal-groep. Wil je liever één van de redacteuren een tip sturen? Dan kan ook!

Signal: privéberichtenapp
Signal is een privacyvriendelijke chat-app waarvan de code volledig open-source is beschikbaar gemaakt. De berichtendienst verzamelt geen gegevens van gebruikers en ..

Meer info

Plaats reactie

666

0 reacties

Laad meer reacties

Je bekijkt nu de reacties waarvoor je een notificatie hebt ontvangen, wil je alle reacties bij dit artikel zien, klik dan op onderstaande knop.

Bekijk alle reacties

Meest gelezen

AW Weggeefweek 2021: win een Acer Chromebook Spin 513

In de AW Weggeefweek 2021 geven we elke dag een tof product weg, niet omdat het moet maar omdat het kan. Vandaag maak je kans...

ABN AMRO-klanten halen nu geld uit de muur met hun telefoon (Update)

ABN AMRO maakt de betaalpas overbodig voor wie contant geld wil opnemen bij de betaalautomaat. Je kan je voortaan met de app...

Is in Google Maps een adres of straat fout, zo pas je het aan

Google Maps is de populairste app voor kaarten en navigatie, maar dat wil niet zeggen dat ze perfect is. Kaarten kunnen foute...

5 beste apps gratis ringtone-apps voor je Android-telefoon

Elke telefoon komt met een pakket aan gratis ringtones, maar de kans is groot dat je die al snel beu raakt. Misschien ben je...

AW Poll: geld uit de muur halen met je telefoon, wil jij het bij jouw bank?

Bij de bank ABN AMRO kan je voortaan geld opnemen bij de betaalautomaat zonder een betaalpas te gebruiken. Je meld je aan met...

Google test apps op het Nest Hub smart display, zo werkt het

Google werkt aan een appweergave op het scherm van smart displays. Een gebruiker van de Nest Hub Max ziet de functie alvast e...

Telegram heeft deze 3 WhatsApp-functies met grote update

Telegram heeft een belangrijke update gekregen, en opvallend is dat de app een aantal functies krijgt die we kennen van Whats...

Pixel 6 Pro-foto's en eerste hands-on video gelekt: bekijk hem hier

De Google Pixel 6 Pro is voor het eerst op foto's te zien en in een video op YouTube. Anders dan op renders zien we nu de afw...

'Xiaomi kan je telefoon op afstand censureren'

In een beveiligingsonderzoek rond Chinese smartphones is ontdekt dat Xiaomi-toestellen een ingebouwde functie bevatten waarme...

Lees meer

Net binnen

'Xiaomi kan je telefoon op afstand censureren'

In een beveiligingsonderzoek rond Chinese smartphones is ontdekt dat Xiaomi-toestellen een ingebouwde functie bevatten waarme...

Google test apps op het Nest Hub smart display, zo werkt het

Google werkt aan een appweergave op het scherm van smart displays. Een gebruiker van de Nest Hub Max ziet de functie alvast e...

Pixel 6 Pro-foto's en eerste hands-on video gelekt: bekijk hem hier

De Google Pixel 6 Pro is voor het eerst op foto's te zien en in een video op YouTube. Anders dan op renders zien we nu de afw...

AW Poll: geld uit de muur halen met je telefoon, wil jij het bij jouw bank?

Bij de bank ABN AMRO kan je voortaan geld opnemen bij de betaalautomaat zonder een betaalpas te gebruiken. Je meld je aan met...

5 beste apps gratis ringtone-apps voor je Android-telefoon

Elke telefoon komt met een pakket aan gratis ringtones, maar de kans is groot dat je die al snel beu raakt. Misschien ben je...

Lees meer