Grote emoji in WhatsApp.

EFF: ‘Deze 4 beveiligingspunten moet WhatsApp verbeteren’

De Amerikaanse burgerrechtenbeweging EFF prijst de end-to-end-encryptie van WhatsApp, maar ziet nog 4 verbeterpunten op het gebied van beveiliging. Aan sommige van die punten kun je als gebruiker zelf iets doen.

WhatsApp heeft eerder dit jaar belangrijke stappen gezet door het invoeren van sterke end-to-end-encryptie. Maar volgens de Amerikaanse burgerrechtenbeweging Electronic Frontier Foundation (EFF) is dat nog niet voldoende. Het heeft zijn advies aangepast voor veilig gebruik van WhatsApp en noemt daarin een viertal punten van zorg, die gebruikers in sommige gevallen zelf ook kunnen aanpakken.

Grote emoji in WhatsApp.

‘WhatsApp gebruikt beste encryptieprotocol’

De organisatie onderstreept allereerst de keuzes die met betrekking tot encryptie gemaakt zijn. WhatsApp gebruikt voor de zogeheten end-to-end versleuteling van berichten het axolotl-protocol, dat ook door de veilige chat-app Signal wordt gebruikt. EFF noemt dit protocol ‘het beste wat er beschikbaar is’. Dat is zeker geen punt van zorg. De organisatie hoopt zelfs dat het Signal-protocol in de toekomst meer gebruikt zal gaan worden. Wel uit het EFF zijn zorgen over andere punten waardoor het gevaar zou bestaan dat een gebruiker de beveiliging van WhatsApp overschat.

Melding bij gewijzigde encryptiesleutel
whatsapp_encryptie2WhatsApp laat ondanks die sterke encryptie nog wel een belangrijke steek vallen, stelt het EFF. Berichten die je verstuurt en ontvangt worden versleuteld verstuurd, te herkennen aan een aparte melding in het gesprek. Hiervoor wordt gebruikgemaakt van een unieke sleutel die alleen bij de verzender en ontvanger bekend zijn. Iemand die de sleutel niet heeft, kan de communicatie niet lezen.

Het gevaar zit ‘m volgens het EFF in het wijzigen van die sleutel, omdat iemand bijvoorbeeld een nieuwe telefoon heeft. Dan wordt een nieuwe unieke sleutel aangemaakt, maar daarvan geeft WhatsApp standaard geen melding. In het geval van een nieuwe telefoon is dat niet zo’n probleem, maar het is ook een beproefde methode van hackers om toch bij versleutelde communicatie te komen. Een zogeheten ‘Man in the Middle attack‘, waarbij de hacker zich voordoet als een van jouw contactpersonen. Volgens het EFF zou WhatsApp je dus standaard moeten informeren als die sleutel gewijzigd wordt. In Instellingen > Account > Beveiliging kun je aangeven dat je zo’n melding wilt ontvangen.

‘Maak geen reservekopie van WhatsApp-data’
WhatsApp back-up in iCloud Drive.Ook op het tweede punt heb je als gebruiker invloed. WhatsApp heeft een handige functie om je chatgeschiedenis en media naar bijvoorbeeld iCloud te back-uppen. Hoewel de communicatie met de iCloud-servers wel versleuteld plaatsvindt, worden die data zelf niet versleuteld opgeslagen. Dat gaat het doel van sterke encryptie voorbij. EFF adviseert daarom om deze functie niet te gebruiken en uit te schakelen als je dat al wel deed. De organisatie gaat zelfs nog een stapje verder: om helemaal zeker te zijn dat je communicatie versleuteld blijft, zouden al je contactpersonen hetzelfde moeten doen. Hiervoor ga je in WhatsApp naar Instellingen > Reservekopie en selecteer je bij de optie Autom. reservekopie de optie ‘Uit’.

‘Web-app WhatsApp is onveilig’
We hebben lang moeten wachten op een officiële manier om WhatsApp op de desktop te gebruiken. WhatsApp koos voor een webapp die je met een QR-code aan WhatsApp op je iPhone kunt koppelen. Die maakt gebruik van versleuteling en is ook in je gewone browser toegankelijk. Maar helemaal veilig is die manier volgens het EFF ook weer niet. “Webapps kunnen eenvoudig worden aangepast om een besmette versie van de app aan te bieden, waardoor berichten alsnog bij een derde partij terecht kunnen komen.” Volgens het EFF had WhatsApp dan ook beter voor een volwaardige app of browserextensie kunnen kiezen. Hier kun je als gebruiker helaas weinig aan doen.

WhatsApp voor de desktop met iPhone.

Nieuw privacybeleid WhatsApp zorgwekkend
Ten slotte is ook WhatsApp’s recente wijziging in het privacybeleid een doorn in het oog van het EFF. Hierdoor worden data van WhatsApp met moederbedrijf Facebook gedeeld. De organisatie noemt het een ‘zorgwekkende verandering’ in de houding tegenover de privacy van gebruikers. Het hekelt vooral de manier waarop bepaalde punten in het privacybeleid zijn geformuleerd. “WhatsApp heeft aangekondigd dat het van plan is om telefoonnummers van gebruikers en gebruiksdata met Facebook te delen om relevantere vriendsuggesties en advertenties te kunnen tonen. Hoewel bestaande WhatsApp-gebruikers binnen 30 dagen konden aangeven dat ze dit niet willen, is dat niet mogelijk voor het delen van data zelf. Dit geeft Facebook een verontrustend gedetailleerd overzicht van de online communicatie-activiteiten, associaties en gewoontes”, zo stelt het EFF.

WhatsApp zou op dat punt meer openheid moeten geven over wat er precies gedeeld wordt en waarvoor het wordt gebruikt, betoogt de organisatie. Daarnaast zou het de gebruikersinterface eenvoudiger moeten maken met nadruk op sterke privacy. Het EFF pleit voor een schakelaar waarmee een gebruiker in één keer alle beveiligingsfuncties kan inschakelen, zoals het uitzetten van reservekopieën en aangeven dat je bepaalde data niet wilt delen. Totdat dergelijke aanpassingen gedaan zijn, blijft het EFF gebruikers waarschuwen over het gebruik van WhatsApp.

Suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Informatie

Laatst bijgewerkt 14 oktober 2016, 14:18
Categorieën Achtergrond, Apps
Onderwerpen beveiliging, whatsapp

WhatsApp

WhatsApp is de populaire berichtendienst, die bijna iedere Nederlander op zijn of haar smartphone heeft staan. Hier vind je alles over WhatsApp op een rijtje: van gesprekken archiveren, je privacy goed instellen en op de desktop gebruiken tot de betekenis van de gekleurde vinkjes.

WhatsApp

Reacties zijn gesloten voor dit artikel.