Signal wil pincode en backup van contacten niet meer verplicht stellen

Signal reageert op kritiek

Signal is populair onder gebruikers die hun privacy belangrijk vinden of een chatoplossing nodig hebben die moeilijk af te tappen is. Eén van de redenen was dat Signal nauwelijks gebruikersdata verzamelt en dus ook niets kan overhandigen als de overheid erom vraag. In 2016 verklaarde Signal dat ze alleen registratiedatum en -tijd kunnen achterhalen en de datum waarop voor het laatst verbinding is gemaakt. Een recent toegevoegde functie riep echter bezorgdheid op. Signal maakte het sinds december mogelijk om bepaalde data toch te achterhalen, zoals de contactenlijst, profielinformatie, instellingen en geblokkeerde gebruikers. Gebruikers en beveiligingsexperts zoals hoogleraar cryptografie Matthew Green van Johns Hopkins University hadden er kritiek op en vroegen Signal om ermee te stoppen. Het bedrijf slaat de data namelijk op eigen servers op, voorzien van een pincode. Die was aanvankelijk optioneel, maar is ondertussen verplicht.

Gelukkig komt er een oplossing. Signal werkt aan een optie om de verplichte pincode uit te schakelen, zo heeft oprichter Moxie Marlinspike beloofd. Ook het automatisch backuppen van je contactenlijst is dan niet meer nodig. De app gebruiken zonder pincode is volgens Marlinspike bedoeld voor gevorderde gebruikers die het niet erg vinden om hun Signal-contacten kwijt te raken bij het opnieuw installeren van de app.

Geen telefoonnummer meer nodig
Het doel van de pincode is om Signal-gebruikers in de nabije toekomst te kunnen identificeren op basis van een gebruikersnaam. Je hoeft dan niet meer je telefoonnummer op te geven. Het betekent echter wel dat Signal bepaalde gebruikersdata moet opslaan. Hoogleraar Green ziet nog een ander probleem: mensen kiezen slechte pincodes zoals 1234. Bovendien is de gekozen encryptietechnologie (Intel SGX) volgens Green niet goed bestand tegen aanvallen van een serieuze hacker. Iedereen met de juiste apparatuur kan inbreken en gegevens achterhalen.

In juni introduceerde Signal een methode om data veilig over te zetten.

Verplicht uploaden naar een server
Green zegt weinig geheime contacten te hebben, maar heeft moeite met het idee dat hij de lijst verplicht moet uploaden naar een server. Terwijl mensen de Signal-app nou juist kiezen om zo weinig mogelijk data te laten lekken. Ook is Green bang dat Signal in de toekomst een verplichte functie krijgt om berichten te uploaden. En dat gaat in tegen de oorspronkelijke opzet van Signal om vrijwel geen data van gebruikers op te slaan.

Voorheen claimde Signal geen gegevens op te slaan over contacten van een gebruiker, de groepen waar hij/zij deel van uitmaakt of met wie een gebruiker heeft gecommuniceerd. Dat is nu veranderd, zeggen de experts. Signal zou eigenlijk een ‘dom’ netwerk moeten zijn dat niets weet en dus ook niets kan uitlekken. Zoek je een andere goed beveiligde chatapp, dan hebben we nog wel een paar suggesties.

Bekijk ook

De beste veilige chatapps met encryptie voor je iPhone

Met welke beveiligde chatapp heb je end-to-end encryptie en kun je versleutelde berichten versturen? Wij hebben de beste apps op een rijtje gezet.

Spagaat tussen gewone en gevorderde gebruikers
Marlinspike beweert echter dat de bedoelingen goed zijn. Signal-contacten hoeven straks niet meer in het adresboek van je telefoon te staan en hebben geen gekoppelde telefoonnummers meer. Dat is op zich een goede stap, want veel mensen synchroniseren hun adresboek achteloos met Google, Facebook en andere diensten waardoor uiteindelijk te achterhalen is met wie ze contact hadden. Signal probeert zich met nieuwe functies wat meer op de gewone gebruiker te richten, zoals mensen die nu grootverbruiker van WhatsApp zijn.

Bekijk ook

Signal laat je nu veilig overstappen naar een andere iPhone

De goed beveiligde berichtenapp Signal maakt het nu mogelijk om je data veilig over te zetten naar een nieuwe iPhone. Kortgeleden werd ook de mogelijkheid toegevoegd om gezichten onscherp te maken.