Beveiligingsonderzoekers hebben onlangs een achterdeur gevonden in de populaire berichtentoepassing WhatsApp waarmee WhatsApp gebruikersberichten kan onderscheppen en lezen.
Facebook, de eigenaar van WhatsApp, beweert dat het onmogelijk is om berichten op WhatsApp te onderscheppen dankzij de end-to-end encryptie van de services. Het bedrijf stelt dat niemand, zelfs niet zichzelf, kan lezen wat er wordt verzonden wanneer zowel de afzender als de ontvanger de nieuwste versie van de applicatie gebruiken.
WhatsApp's end-to-end encryptie zorgt ervoor dat alleen u en de persoon met wie u communiceert kunnen lezen wat er wordt verzonden, en niemand daartussenin, zelfs WhatsApp niet. Uw berichten worden beveiligd met een slot en alleen de ontvanger en u hebben de speciale sleutel die nodig is om uw bericht te ontgrendelen en te lezen. Voor extra bescherming heeft elk bericht dat u verzendt een uniek slot en een unieke sleutel. Dit gebeurt allemaal automatisch: u hoeft geen instellingen in te schakelen of speciale geheime chats in te stellen om uw berichten te beveiligen.
Het blijkt echter dat er een manier is voor WhatsApp om gebruikersberichten te lezen, zo ontdekte beveiligingsonderzoeker Tobias Boelter (via The Guardian).
Update : in een verklaring verzonden naar Ghacks, gaf een woordvoerder van WhatsApp het volgende inzicht in de claim:
"De Guardian heeft vanmorgen een verhaal geposteerd met de bewering dat een opzettelijke ontwerpbeslissing in WhatsApp die voorkomt dat mensen miljoenen berichten verliezen, een" achterdeur "is waarmee regeringen WhatsApp kunnen dwingen berichtenstromen te decoderen. ** Deze claim is onjuist. **
WhatsApp geeft overheden geen "achterdeur" in haar systemen en zou elk overheidsverzoek om een achterdeur te creëren bestrijden. De ontwerpbeslissing waarnaar in het Guardian-verhaal wordt verwezen, voorkomt dat miljoenen berichten verloren gaan en WhatsApp biedt mensen beveiliging
meldingen om hen te waarschuwen voor mogelijke beveiligingsrisico's. WhatsApp heeft een technische whitepaper gepubliceerd over het versleutelingsontwerp en is transparant over de overheidsverzoeken die het ontvangt, en publiceert gegevens over die verzoeken in het Facebook Government Requests Report. (//Govtrequests.facebook.com/)"
WhatsApp heeft de mogelijkheid om nieuwe coderingssleutels te genereren voor gebruikers die niet online zijn. Zowel de afzender als de ontvanger van berichten worden hiervan niet op de hoogte gebracht en de afzender verzendt elk bericht dat nog niet opnieuw is afgeleverd met behulp van de nieuwe coderingssleutel om de berichten tegen toegang van derden te beschermen.
De ontvanger van het bericht is daar niet van op de hoogte. De afzender, alleen als Whatsapp is geconfigureerd om beveiligingsmeldingen weer te geven. Deze optie is echter niet standaard ingeschakeld.
Hoewel WhatsApp-gebruikers het bedrijf - of overheidsactoren die om gegevens vragen - niet kunnen blokkeren om te profiteren van de maas in de wet, kunnen ze op zijn minst beveiligingsmeldingen activeren in de toepassing.
De beveiligingsonderzoeker meldde de kwetsbaarheid voor Facebook in april 2016 volgens The Guardian. Facebook antwoordde dat het volgens de krant "bedoeld gedrag" was.
Activeer beveiligingsmeldingen in WhatsApp
Ga als volgt te werk om beveiligingsmeldingen in WhatsApp in te schakelen:
- Open WhatsApp op het apparaat dat u gebruikt.
- Tik op menu en selecteer Instellingen.
- Selecteer Account op de pagina Instellingen.
- Selecteer Beveiliging op de pagina die wordt geopend.
- Schakel "beveiligingsmeldingen weergeven" in op de pagina Beveiliging.
U ontvangt meldingen wanneer de beveiligingscode van een contact is gewijzigd. Hoewel dit geen misbruik van de achterdeur zal voorkomen, zal het je op zijn minst informeren over het mogelijke gebruik ervan.
