In 2016 heeft WhatsApp eindelijk volledige end-to-end-codering ingeschakeld voor zowel chats als video-oproepen om ervoor te zorgen dat alleen de beoogde ontvanger de inhoud van zijn communicatie kan ontcijferen. Helaas is aan het licht gekomen dat het systeem van WhatsApp wordt geplaagd door een grote kwetsbaarheid die is ontdekt door Tobias Boelter, een cryptografie- en beveiligingsonderzoeker aan de Universiteit van Californië, Berkeley.
In een interview met de Britse krant The Guardian zei Boelter dat de achterdeur Facebook end-to-end gecodeerde inhoud kon laten lezen, wat betekent dat het sociale netwerk kon worden nageleefd om gerechtelijke bevelen beschikbaar te stellen voor wetshandhavingsinstanties en andere overheidsinstanties
BIJWERKEN: We hebben een reactie van WhatsApp ontvangen met betrekking tot de vermeende achterdeur.
Een woordvoerder van WhatsApp gaf de volgende verklaring aan iDownloadBlog, waarin hij uitlegde waarom The Guardian's bewering van mogelijk gecompromitteerde beveiliging onjuist is.
The Guardian heeft vanmorgen een verhaal geposteerd en beweerde dat een opzettelijke ontwerpbeslissing in WhatsApp die voorkomt dat mensen miljoenen berichten verliezen, een 'achterdeur' is waarmee regeringen WhatsApp kunnen dwingen berichtenstromen te decoderen. ** Deze claim is onjuist. **
WhatsApp geeft overheden geen "achterdeur" in haar systemen en zou elk overheidsverzoek om een achterdeur te creëren bestrijden. De ontwerpbeslissing waarnaar in het Guardian-verhaal wordt verwezen, voorkomt dat miljoenen berichten verloren gaan en WhatsApp biedt mensen beveiligingsmeldingen om hen te waarschuwen voor mogelijke beveiligingsrisico's.
WhatsApp heeft een technische whitepaper gepubliceerd over het versleutelingsontwerp en is transparant over de overheidsverzoeken die het ontvangt, en publiceert gegevens over die verzoeken in het Facebook Government Requests Report. (Https://govtrequests.facebook.com/)
Encryptie die wordt gebruikt door WhatsApp is gebaseerd op het signaalprotocol van Open Whisper Systems.
Wat hier verdacht is, is dat dezelfde kwetsbaarheid niet aanwezig is in de Signal-app. Boelter heeft bevestigd dat het beveiligingslek WhatsApp in feite toestaat coderingssleutels voor offline gebruikers te wijzigen. Als gevolg hiervan worden alle niet-verzonden of toekomstige berichten verzonden met een nieuwe coderingssleutel zonder dat de ontvanger het beseft.
De afzender krijgt alleen een melding als hij zich heeft aangemeld voor coderingswaarschuwingen in de instellingen van WhatsApp, maar alleen nadat de berichten opnieuw zijn verzonden. Met deze hercodering en heruitzending kan WhatsApp berichten van gebruikers effectief onderscheppen en lezen.
Vergelijk dit met het bovengenoemde signaalsysteem dat de afzender op de hoogte brengt van elke wijziging in beveiligingssleutels zonder het bericht automatisch opnieuw te verzenden. In feite wordt een bericht niet bezorgd via de app Signaal als er een wijziging in de coderingssleutels optreedt.
Boelter meldde het probleem in april 2016 bij Facebook om te horen dat dit 'verwacht gedrag' was, waardoor het vermoeden ontstond dat dit een opzettelijk gecreëerde achterdeur zou kunnen zijn in plaats van een technisch toezicht of een soort bug.
Zorgwekkender is dat The Guardian heeft geverifieerd dat de achterdeur vandaag nog steeds bestaat.
Privacy-campagnevoerders hebben de ontwikkeling bekritiseerd als een 'enorme bedreiging voor de vrijheid van meningsuiting' en zeggen dat deze door overheidsinstanties zou kunnen worden uitgebuit. Het bestaan van een achterdeur in de encryptie van WhatsApp is "een goudmijn voor beveiligingsinstanties" en "een enorm verraad aan gebruikersvertrouwen", zei Kristie Ball, co-directeur en oprichter van het Centrum voor onderzoek naar informatie, toezicht en privacy.
Facebook moet in elk geval duidelijk worden of de end-to-end-codering van WhatsApp al dan niet is aangetast. En als dat zo is, rijst de onvermijdelijke vraag: is Facebook door een derde partij gedwongen een achterdeur in WhatsApp te bouwen?
Facebook weigerde commentaar, maar we zullen het artikel bijwerken als en wanneer ze dat doen.
Bron: The Guardian