Of u nu vertrouwelijke informatie deelt of filmideeën uitwisselt met een vriend, mensen wenden zich tot apps voor privéberichten die end-to-end-codering bieden om de inhoud van hun gesprekken te beschermen.

Wanneer gegevens via internet worden gedeeld, doorkruisen ze vaak een reeks netwerken om hun bestemming te bereiken. Apps zoals WhatsApp, eigendom van socialemediagigant Meta (voorheen Facebook), bieden een niveau van privacy dat zelfs overheidsinstanties uitdaagt toegang te krijgen tot versleutelde gesprekken.

Maar, nu de apps hun beveiligings- en privacybeleid voortdurend wijzigen, kunnen de berichten dan nog steeds niet worden ontsleuteld?

In mei 2021 zagen veel gebruikers na afkeuring door de online gemeenschap met de wijzigingen in het privacybeleid van WhatsApp voor zakelijke entiteiten die het platform gebruiken, overschakelen naar andere apps voor privéberichten, zoals Signal en Telegram.

Cybersecurity-expert, Dr. Arash Shaghaghi van UNSW School of Computer Science and Engineering en UNSW Institute for Cyber ​​Security, vergelijkt codering met het voeren van een geheim gesprek tussen u en iemand anders.

"Om onze informatie weg te houden van nieuwsgierige blikken, vertrouwen we op cryptografische algoritmen om onze gegevens te versleutelen. Versleuteling houdt in dat voor mensen leesbare platte tekst wordt omgezet in een gecodeerd formaat en de gegevens kunnen pas worden gelezen nadat ze zijn ontsleuteld", zegt hij.

"Encryptie houdt in dat een sleutel wordt gebruikt om een ​​bericht te vergrendelen, terwijl decryptie een sleutel gebruikt om een ​​bericht te ontgrendelen.

"In theorie, als een buitenstaander een gecodeerd gesprek heeft waargenomen, kunnen ze het niet begrijpen en hebben ze de juiste sleutel nodig om het te decoderen.

"Interessant is dat met sommige end-to-end-coderingsprotocollen, zoals Signal, zelfs als iemand de coderingssleutels steelt en via de verbinding tikt, ze reeds verzonden berichten niet kunnen decoderen. In crypto-taal wordt dit aangeduid als forward secrecy. "

Zijn onze berichten volledig veilig?

Moderne coderingsalgoritmen zijn in de strijd getest en er is aangetoond dat ze geen bekende kwetsbaarheden bevatten. Hoewel dit niet betekent dat het onmogelijk te kraken is, vereist het proces uitgebreide verwerkingskracht en kan het behoorlijk lang duren. Kwantumcomputers zullen, als ze volwassen genoeg zijn, veel van de huidige versleuteling kunnen kraken.

Aanvallers richten zich vaak op eindpunten en hun kwetsbaarheden. Dit is veel eenvoudiger dan cryptanalyse, het proces dat wordt gebruikt om cryptografische beveiligingssystemen te doorbreken.

Vorig jaar richtten aanvallers zich bijvoorbeeld op een kwetsbaarheid met betrekking tot de beeldfilterfunctionaliteit van WhatsApp die werd geactiveerd toen een gebruiker een bijlage opende die een kwaadwillig vervaardigd afbeeldingsbestand bevatte. Er zijn ernstigere en minder gecompliceerde kwetsbaarheden gemeld die gericht zijn op WhatsApp-clients die draaien op iOS en Android.

Dr. Shaghaghi zegt dat wanneer u een back-up van uw berichten maakt op sommige berichtenplatforms, uw berichten naar de cloud worden gepusht. Dit betekent dat al je berichten nu op de computer van iemand anders worden opgeslagen.

"De implementatie van end-to-end-codering door de serviceprovider speelt een belangrijke rol in de beveiliging en privacy van een berichten-app tegen de provider en aanvallers", zegt hij.

"WhatsApp bewaarde vroeger een back-up van de berichten in een niet-versleutelde indeling via iCloud voor Apple-gebruikers en Google Drive voor degenen die WhatsApp in Android gebruikten. Hoewel WhatsApp in 2016 een end-to-end-coderingsmodel heeft aangenomen, waren niet-versleutelde back-ups kwetsbaar voor overheidsverzoeken, hacking door derden en openbaarmaking door Apple- of Google-medewerkers."

In 2021 rolde WhatsApp een optie uit voor gebruikers om end-to-end encryptie van hun back-ups in te schakelen. Hoewel dit werd verwelkomd als een positieve stap voorwaarts, zou het de standaard moeten zijn voor alle gebruikers - niet aangeboden als een optie, zegt Dr. Shaghaghi.

"Gebruikers die zich zorgen maken over de veiligheid en privacy van hun gegevens, moeten ervoor zorgen dat de back-up van end-to-end encryptie voor WhatsApp en andere berichtenplatforms wordt ingeschakeld."

Hoe zit het met Signal en Telegram?

In tegenstelling tot WhatsApp en Signal heeft Telegram standaard geen end-to-end-codering ingeschakeld. Alleen wanneer de functie "beveiligde chat" is ingeschakeld, past Telegram het MTProto-protocol toe, een open-source en op maat ontwikkeld protocol door de berichtenprovider.

"Voor zover we weten, zijn Signal, Telegram en WhatsApp veilig in het bieden van end-to-end-codering, als de optie is ingeschakeld", zegt Dr. Shagaghi.

"Signaal is echter gebouwd met privacy en beveiliging als de belangrijkste motivatie. De broncode van het eindpunt van Signals is ook beschikbaar voor het publiek - hierdoor kan iedereen de code inspecteren en kwetsbaarheden identificeren.

"Ik geloof dat de consensus is dat Signal een veiligere en privacyvriendelijkere berichtenoplossing is in vergelijking met WhatsApp, Telegram of Facebook Messenger."

Met zoveel berichtenplatforms die op de markt beschikbaar zijn, zegt Dr. Shagaghi dat er enkele eenvoudige stappen moeten worden genomen om de privacy van een gebruiker te beschermen.

"Berichtenplatforms bevatten veel privé-informatie, dus het is de moeite waard om ervoor te zorgen dat het platform dat we gebruiken een goede reputatie heeft als het gaat om het waarborgen van de veiligheid en privacy van zijn gebruikers", zegt hij.

"Het is ook de moeite waard om een ​​paar extra minuten te besteden aan het inschakelen van enkele van de meer geavanceerde beveiligingsfuncties die deze platforms bieden, zoals end-to-end back-upversleuteling of multi-factor authenticatie.

"En welk platform u ook kiest, het is de beste gewoonte om ervoor te zorgen dat we de nieuwste versie van de apps gebruiken en vermijden dat we apps downloaden van winkels van derden."

Content beheren die wordt uitgewisseld via end-to-end versleutelde berichtenplatforms

Verschillende overheidsorganisaties hebben er sterk op aangedrongen om deze apps achterdeurtjes op te nemen die toegang zouden bieden tot gegevens wanneer de autoriteiten dit nodig achten.

Recente lekken van het Amerikaanse Federal Bureau of Investigation (FBI) hebben aangetoond dat zelfs met een dagvaarding, machtige overheidsinstanties beperkte toegang hebben tot berichten die worden uitgewisseld via apps die end-to-end-codering gebruiken.

Dit argument is vooral verontrustend voor veel gebruikers die zich zorgen maken dat dit de eerste stap is van de sterke versleutelingsprincipes waarop ze vertrouwen om de veiligheid en privacy van hun gegevens te waarborgen.

Er zijn voortdurend discussies gaande in Australië en in het buitenland over dit onderwerp.

"Vanuit het oogpunt van beveiligingstechniek is het nooit een goed idee om een ​​achterdeur te implementeren", zegt Dr. Shaghaghi.

"Er is geen garantie dat kwaadwillende hackers ook niet achter deze achterdeurtjes komen en ze misbruiken.

"Degenen die voorstander zijn van een oplossing die rechtshandhavingsinstanties toegang geeft, beweren echter dat ze toegang nodig hebben gezien het toenemende gebruik van deze platforms door criminelen."

Sommige berichtenproviders en technologiebedrijven hebben gereageerd door wijzigingen aan te brengen in de functionaliteit van het platform.

"Om aan de wettelijke vereisten te voldoen, stelt WhatsApp gebruikers nu in staat om een ​​bericht te markeren om te worden beoordeeld door hun moderators. Dit moet worden geïnitieerd door een gebruiker en wanneer een bericht wordt gemarkeerd, worden de paar berichten voordat het ook wordt doorgestuurd naar WhatsApp-moderators", zegt Dr. Shagaghi.

"Apple heeft gecodeerde berichten in zijn hele ecosysteem gepromoot en heeft wetshandhavingsinstanties die op zoek zijn naar gegevens, bestreden.

"In 2021 kondigden ze veiligheidsfuncties voor kinderen aan, waaronder het detecteren van seksueel expliciete foto's via iMessage, een ander platform dat end-to-end-codering gebruikt. Om deze functie te implementeren, is Apple van plan de detectie op het apparaat te implementeren en niet via een encryptie-achterdeur.

"Ik denk dat we een evenwicht kunnen vinden tussen de noodzaak om criminele inhoud en beveiligings- en privacyvereisten te modereren door het probleem op te splitsen in meer specifieke use-cases en innovatieve oplossingen te ontwikkelen." + Verder verkennen

Veiligheidsfout gevonden in WhatsApp, Telegram:onderzoekers