"WhatsApp deelt al jarenlang je gegevens, of dat erg is beslis jij"

"WhatsApp deelt al jarenlang je gegevens, of dat erg is beslis jij"

De berichten-app Signal ziet zijn gebruikersaantallen explosief groeien na een WhatsApp-controverse. Wordt deze privacyvriendelijke app binnenkort echt een WhatsApp-vervanger en hoe werkt end-to-end-encryptie? We spraken erover met beveiligingsexpert Donny Maasland ven ESET Nederland.

Het Signal-recept

Door het groeiende succes van de chat-app Signal wordt ze soms foutief als nieuw aanzien maar in feite bestaat de software al sinds 2010 onder de naam 'TextSecure'. Het heeft wel tot 2015 geduurd alvorens er een Android-app kwam met de naam 'Signal'.

Toch gebruiken we met zijn allen al veel langer de software van de 'Signal Foundation', het vroegere Open Whisper Systems. De makers van deze berichtendienst werken al jarenlang aan het Signal-beveiligingsprotocol waar andere diensten zoals WhatsApp sinds lange tijd gebruik van maken. Het protocol zorgt ervoor dat appjes versleuteld zijn en niet kunnen worden gelezen wanneer ze door kwaadwilligen worden onderschept.

WhatsApp en Facebook

Maar als WhatsApp al langer het beveiligingsprotocol van Signal gebruikt, waarom is de app dan privacyonvriendelijk volgens sommigen? En waarom installeert iedereen plotseling Signal als alternatief? Heeft die app een toekomst?

"Onlangs is er een controverse geweest rond de nieuwe privacyverklaring die WhatsApp aan gebruikers voorschotelt en de manier waarop WhatsApp gegevens met Facebook deelt", dat legt Donny Maasland uit, de Chief Technical Officer bij ESET Nederland. "In feite deelt WhatsApp al jarenlang de gegevens van zijn gebruikers met het moederbedrijf en het is bekend dat Facebook die informatie gebruikt voor doelgerichte advertenties. Dat is het verdienmodel van het bedrijf."

AW: Maar is het niet juist het doel van end-to-end-encryptie [E2EE] dat niemand aan je versleutelde berichten kan? E2EE werkt met een beveiligingscode tussen jou en de ontvanger van het bericht, en als die codes overeen komen is de informatie versleuteld.

"Dankzij de end-to-end-encryptie kan dan wel niemand bij je WhatsApp-berichten, maar voor Facebook zelf is het wel mogelijk door de informatie te onderscheppen wanneer berichten ontgrendeld worden. WhatsApp vraagt ook toegang tot je contactenlijst en zo weet het dus ook met wie je spreekt en voor hoe lang.

Donny Maasland is Chief Technical Officier bij ESET Nederland

Anders dan Signal is WhatsApp ook geen open-source-software, en dat wil zeggen dat je geen kijkje kan nemen in de code en te zien wat er precies achter de schermen gebeurt. In principe kan je de app wel gaan 'reverse-engineeren' [ofwel de code ontleden, Nvdr.], maar dat is heel wat complexer."

Bewust met berichten-apps

AW: Bij gesprekken over privacy die je in een groep mensen voert, komt je altijd op het punt waarop iemand zegt: "En dan? Ik heb toch niets te verbergen".

"Heel veel mensen kiezen ook bewust om WhatsApp te gebruiken omdat de app gewoon handig is. Iedereen mag gewoon helemaal voor zich bepalen of deze andere kant van WhatsApp een probleem vormt of niet. Je kan ook gewoon accepteren dat je online op dergelijke manieren gevolgd wordt.

Zelf gebruik ik ook WhatsApp, maar belangrijk is ook de manier waarop je de app gebruikt. Als ik met collega's via WhatsApp praat, dan houden we in het achterhoofd dat er iemand kan meelezen. Op Signal zijn we wel geneigd om meer te delen in groepen."

AW: Denk je dat het realistisch is dat smartphonegebruikers dergelijke denkwijzen aanleren? Kunnen we gebruikers met andere woorden leren om bewust te denken waar ze welke berichtendienst voor willen gebruiken?

"Een deel van de gebruikers zou zo met de apps kunnen omgaan, maar veel mensen zijn er ook gewoon niet in geïnteresseerd, en dat is ook prima. Soms denken mensen dat Facebook een evil bedrijf is, maar dit is gewoon de manier waarop het bedrijf zijn rekeningen betaalt. Facebook heeft geen kwade bedoelingen met jouw gegevens, maar de data is wel een vereiste voor de sociale mediasite om geld te verdienen. Zo eenvoudig is het."

Signal correct gebruiken

AW: Maar wie niet comfortabel is om zoveel met Facebook te delen, komt dan automatisch bij apps als Signal terecht, en dat hebben we de voorbije weken wel gezien. De dienst zag alleen al in de Play Store zijn gebruikersaantallen vervijfvoudigen.

"Ja, en toch gebruiken veel mensen Signal nog op een verkeerde manier. Die end-to-end-encryptie in de app heeft pas zin als je de beveiligingssleutel tussen jou en je gesprekspartner ook verifieert, maar dat doen de meeste mensen niet. Je moet de codes vergelijken om te zien of ze overeenkomen, en als dat het geval is kan je ze verifiëren zodat Signal je via een melding op de hoogte brengt als er toch iets aan de codes wijzigt."

AW: Waarom is het dan zo belangrijk?

"Zo voorkom je dat je slachtoffer wordt van een 'man-in-the middle-attack'. Zoals de naam vast doet vermoeden, gaat het om een kwaadwillige die tussen jou en de ontvanger van een bericht komt te staan en berichten onderschept. De crimineel ontgrendelt het bericht, leest het en stuurt het weer door naar de ontvanger. Je kan mogelijk het slachtoffer zijn van zo'n aanval wanneer jouw beveiligingscode plots niet meer overeenkomt met die van de ontvanger van het bericht. Als je dat niet tijdig opmerkt heeft de encryptie geen zin."

AW: Komen zulke aanvallen vaak voor?

"Hopelijk niet, maar heel zeker weten we het natuurlijk niet. Het is wel zo dat zo'n aanval erg complex is om uit te voeren, en het zou dus echt al afkomstig moeten zijn van bijvoorbeeld bedrijven of inlichtingendiensten. In ieder geval partijen die de juiste connecties hebben bij onder meer telecomoperators."

Veiligheid versus functionaliteit

AW: In onze wekelijkse poll op Androidworld hebben we het over functies die we graag in Signal zouden zien. Het valt op dat de app minder features heeft dan concurrenten als WhatsApp en Telegram.

"Absoluut, dat is het kernprobleem van de internetbeveiliging momenteel: de moeilijke afweging die je als ontwikkelaar maakt tussen de belofte voor beveiliging en privacy enerzijds, en functionaliteit anderzijds.

Signal heeft bijvoorbeeld geen webversie, maar dat komt omdat je met zo'n feature je gebruikers blootstelt aan heel wat potentiële risico's. Browserextensies zijn in feite mogelijke deurtjes waarlangs gegevens kunnen worden versluisd. Als ontwikkelaar heb je dan veel meer controle bij pakweg een Android-app, en ook een desktopapplicatie geeft al iets meer zekerheid."

AW: Zijn er functies die jij mist in Signal?

"Zeker. Je ziet dat de app gewoon door techneuten is gemaakt, en achter WhatsApp zit daarentegen een user experience team. Als je met WhatsApp een foto van hoge resolutie stuurt, dan wordt die gecomprimeerd, maar bij Signal verzend je die met de volledige grootte waardoor hij veel ruimte op je apparaat inneemt.

Een andere voorbeeld: als ik de desktopapplicatie van Signal een maand niet gebruik, dan moet ik opnieuw inloggen en ben ik mijn gesprekken kwijt. Je kan ze enkel met lokale back-ups herstellen, en dat is veiliger maar lastiger voor de gebruiker."

AW: Bestaat er voor berichtendiensten een gulden middenweg tussen functionaliteit en privacy?

"Je staat altijd voor een uitdaging als je pakweg als ontwikkelaar van berichtendienst mensen naar jou app wil laten overschakelen. Je moet mensen echt zien te overtuigen om over stappen, want vaak houden ze ook niet van verandering. Ik krijg pakweg mijn moeder moeilijk overtuigd om ineens Signal te gaan gebruiken en als ze het toch doet dan loopt ze vast tegen probleempjes en moeilijkheden aan. Vroeger in het begin van WhatsApp had je die middenweg, en dat was de betalende abonnementsvorm. Die is er niet meer."

AW: Telegram gaat ook adverteren, maar dan met niet-doelgerichte reclame.

"Ja, dat is ook wat bijvoorbeeld de NOS op zijn website ook doet. Het gaat inderdaad om reclame die niet gepersonaliseerd is aan de gebruiker. Daar kan een oplossing in bestaan, maar dergelijke advertenties brengen wel minder geld op."

AW: Denk je dat een internetbeveiligingsbedrijf als ESET een rol kan spelen in de manier waarop jullie gebruikers kunnen informeren over de manier waarop apps beveiligd zijn en al dan niet de privacy van gebruikers respecteren? Op iOS heeft Apple sinds kort privacylabels die gebruikers al meer op de hoogte brengen over de gegevens die apps verzamelen, maar zo'n functie is er nog niet voor Android.

"Het is ook nog maar de vraag of Google die functie zal toevoegen aan de Play Store, want ook Googles verdienmodel bestaat grotendeels uit het verzamelen van gegevens. Daarnaast informeren we met ESET ook op het Online Veilig-kennisplatform dat gebruikers informeert over de veiligheid van berichten-apps.

AW: Erg bedankt voor dit interview, Donny Maasland.

"Da's graag gedaan."

Meer Signal

Meer weten over Signal? Hou dan Androidworld deze week in de gaten. Deze week staat namelijk geheel in het teken van Signal. Ontdek hier onze favoriete artikelen:

Heb je tips of ideeën?

Androidworld is de grootste Android-community van Nederland en België. We doen dit dus samen! Heb jij dus een vraag over het onderwerp dat we bespreken tijdens de themaweek of juist ideeën of tips? Laat het dan weten in de reacties onder dit artikel (check ook onze nieuwe Android-app).

Je kan ons ook mailen via dit e-mailadres of een berichtje achterlaten op Facebook, Instagram en Twitter. Daarnaast kan je ons vragen stellen via deze Telegram-groep of deze Signal-groep. Wil je liever één van de redacteuren een tip sturen? Dan kan ook!

Signal: privéberichtenapp
Signal is een privacyvriendelijke chat-app waarvan de code volledig open-source is beschikbaar gemaakt. De berichtendienst verzamelt geen gegevens van gebruikers en ..

Meer info

Plaats reactie

666

0 reacties

Laad meer reacties Bekijk alle reacties

Meest gelezen

3 manieren om stiekem en ongemerkt WhatsApp-berichten te lezen

Berichten-apps komen met de handige bevestiging om te zien of de ander jouw berichtje heeft gelezen. Toch kan je in apps als...

Google Pixel 5a (5G) komt definitief niet naar Europa

Vrijdagavond deden geruchten de ronde over een afgestelde lancering van de Pixel 5a. Mede door de chiptekorten zou Google de...

Gegevens van 500 miljoen LinkedIn-gebruikers online te koop aangeboden

Na een immens datalek bij Facebook, lijkt het ditmaal mis te zijn gegaan bij LinkedIn. Via een bekend hackersforum wordt name...

Google bevestigt einde Shopping-app, gaat door als website

Googles Graveyard, gevuld met apps die na jaren in dienst te hebben gestaan van gebruikers wereldwijd worden afgedankt, wordt...

Fitbit wil bloeddrukmetingen mogelijk maken op zijn smartwatches

Bloeddrukmetingen zijn normaliter alleen weggelegd voor dure apparatuur die men gebruikt in ziekenhuizen of huisartsenposten....

Lees meer

Net binnen

Fitbit wil bloeddrukmetingen mogelijk maken op zijn smartwatches

Bloeddrukmetingen zijn normaliter alleen weggelegd voor dure apparatuur die men gebruikt in ziekenhuizen of huisartsenposten....

Gegevens van 500 miljoen LinkedIn-gebruikers online te koop aangeboden

Na een immens datalek bij Facebook, lijkt het ditmaal mis te zijn gegaan bij LinkedIn. Via een bekend hackersforum wordt name...

Google bevestigt einde Shopping-app, gaat door als website

Googles Graveyard, gevuld met apps die na jaren in dienst te hebben gestaan van gebruikers wereldwijd worden afgedankt, wordt...

3 manieren om stiekem en ongemerkt WhatsApp-berichten te lezen

Berichten-apps komen met de handige bevestiging om te zien of de ander jouw berichtje heeft gelezen. Toch kan je in apps als...

Google Pixel 5a (5G) komt definitief niet naar Europa

Vrijdagavond deden geruchten de ronde over een afgestelde lancering van de Pixel 5a. Mede door de chiptekorten zou Google de...

Lees meer