Naar content
Trending apps
  • Google Duo: videogesprekken van hoge kwaliteit

  • Gmail

  • Maps: Navigatie en OV

  • WhatsApp Messenger

  • Messenger: gratis sms'en en videobellen

Trending games
  • Fortnite

  • Minecraft Earth

  • Dr. Mario World

  • Harry Potter: Wizards Unite

  • Breaking Bad: Criminal Elements

Trending smartphones
  • POCO X3

  • Samsung Galaxy Note 20 Ultra

  • Google Pixel 4a

  • OnePlus Nord

  • Samsung Galaxy A51

Nieuwste tablets
  • Samsung Galaxy Tab S6

  • Samsung Galaxy Tab A 10.5

  • Samsung Galaxy Tab S4

  • Samsung Galaxy Tab S3 9.7

  • Asus Zenpad 3S 10

Kraak kraak

Encryptie WhatsApp maakt afluisteren door overheidsinstanties mogelijk

· 13 januari 2017

Overheidsinstanties zouden WhatsApp kunnen dwingen om chatgesprekken die gevoerd worden via de dienst af te luisteren. Dit is mogelijk door de manier waarop WhatsApp versleuteling gebruikt.

WhatsApp en versleuteling

WhatsApp maakt gebruik van end-to-end-versleuteling. Dat houdt in dat wanneer je een bericht verstuurt naar iemand, dit bericht eerst wordt versleuteld zodat het alleen uit te lezen is door de ontvanger van het bericht, die hiervoor de juiste sleutel heeft.

Bij het end-to-end versleutelen van berichten, heeft ook de partij die tussen de verzender en ontvanger van het bericht staat, geen toegang tot de tekst of afbeeldingen, alleen tot een nietszeggende brij van karakters. WhatsApp gebruikt hiervoor de techniek van Open Whisper Systems, het Signal-protocol. Beveiligingsonderzoekers hebben tot nu toe nog geen kwetsbaarheden in deze techniek weten te vinden. Omdat er in het protocol gebruik gemaakt wordt van gangbare (en uitgebreid geteste) encryptiemethoden, is deze beveiliging in theorie betrouwbaarder dan de 'eigen' versleutelingstechniek waarvan Telegram gebruik maakt.

Offline berichten: een risico

De kwetsbaarheid waar we nu berichten over lezen, is niet nieuw. Al begin 2016 waarschuwde beveiligingsonderzoeker Tobias Boelter over een manier waarop berichten afgeluisterd zouden kunnen worden. Deze methode heeft te maken met hoe WhatsApp omgaat met berichten die verstuurd worden wanneer je een nieuw toestel gebruikt.

Wanneer je een nieuwe smartphone krijgt, of de app opnieuw installeert, zal deze een nieuwe sleutel krijgen voor het versleutelen van berichten in WhatsApp. Op het moment dat iemand jou een bericht heeft gestuurd als je toestel uitstaat, wordt dit bericht bewaard op de server van WhatsApp. Als je je nieuwe telefoon opstart en vervolgens WhatsApp installeert, zal er een poging gedaan worden om het bericht te bezorgen. De sleutel klopt dan niet meer en het bericht kan niet worden gelezen. Daarop stuurt de WhatsApp-applicatie een melding naar de server van WhatsApp. Vervolgens laat de WhatsApp-server aan de WhatsApp-applicatie van de verzender weten dat jij een nieuwe sleutel hebt en wordt het bericht automatisch opnieuw versleuteld en verstuurd. Als ontvanger én verzender merk je daar normaal gesproken niets van.

Het is handig dat je op deze manier geen berichten mist, maar het biedt wel mogelijkheden om berichten te onderscheppen. De WhatsApp-servers zouden dit namelijk voor alle berichten in een gesprek kunnen doen: verzoeken om een bericht opnieuw te versturen met een andere (bekende) sleutel. Zo kan een volledig gesprek afgeluisterd worden. Signal, de eigen messenger van Open Whisper Systems, bevat deze kwetsbaarheid niet. De berichten worden in Signal niet automatisch opnieuw verstuurd nadat de encryptiesleutel van de ontvanger veranderd is.

Eind mei vorig jaar heeft Facebook laten weten aan Boelter dat het bedrijf op de hoogte is van de tekortkoming en dat er mogelijk in de toekomst veranderingen worden doorgevoerd, maar dat dit geen prioriteit heeft.

Waarschuwing instellen

Normaal gesproken merk je er bij WhatsApp niets van dat een nieuwe sleutel wordt gebruikt door de ontvanger van jouw berichten. Het bericht wordt dus automatisch opnieuw verstuurd. Het is wel mogelijk om een waarschuwing in te stellen wanneer de sleutel van jouw contactpersoon verandert. Zo heb je het wel in de gaten wanneer deze persoon een nieuwe smartphone heeft, wanneer hij WhatsApp opnieuw installeert of wanneer er een poging wordt gedaan om de berichten te onderscheppen. 

Het instellingen van een waarschuwing kan via 'Instellingen'--> 'Account'--> 'Beveiliging'--> 'Beveiligingsmeldingen tonen'. Standaard staat deze melding uit, maar ook op toestellen waar de meldingen aanstaan, worden de berichten automatisch opnieuw verstuurd. De verzender krijgt dan wel een bericht dat de sleutel van de ontvanger veranderd is, waarna een gesprek gestaakt kan worden.

Screenshot van waarschuwingen bij WhatsApp

De kwetsbaarheid zit vooral in de mogelijkheid dat overheidsdiensten WhatsApp dwingen om gesprekken af te luisteren. Dat gebeurt bij veel diensten, maar door de end-to-end-encryptie zou dit bij WhatsApp onmogelijk moeten zijn. Door berichten niet automatisch opnieuw te laten versturen door de WhatsApp-applicatie, kan Facebook eenvoudig deze tekortkoming verhelpen. Tot nu toe is dit nog niet gebeurd.

Het is daarbij gissen naar de reden: kiest het bedrijf voor meer gemak voor gebruikers doordat berichten niet handmatig opnieuw verstuurd hoeven te worden als de ontvanger een nieuwe telefoon krijgt, of zit er toch meer achter? Feit blijft dat overheidsdiensten vaak kritiek uiten op (onkraakbare) end-to-end-encryptie en het zou niet de eerste keer zijn dat er bewust 'achterdeuren' in software open moeten blijven staan.

Bronnen: The Guardian, Boelter en EFF

De nieuwste artikelen over WhatsApp Messenger

WhatsApp werkt aan afbeeldingen en video's die automatisch verdwijnen

‘WhatsApp werkt binnenkort op meerdere apparaten tegelijkertijd’

'WhatsApp Web laat je binnenkort inloggen met vingerafdruk'

WhatsApp gooit iedereen ongevraagd uit groepen, dit is de oplossing

WhatsApp's nieuwe tools voor opslagbeheer maken snel ruimte vrij

Spelfouten, taalfouten of inhoudelijke fouten ontdekt? Stuur dan een mailtje naar de auteur van dit artikel!

Reacties (12)
Bezig met laden van reacties...