WhatsApp is al bijna end-to-end versleuteld, waardoor alleen de apparaten van zender en ontvanger de inhoud van berichten kunnen lezen. Een rechtszaak stelt nu dat WhatsApp liegt over die versleuteling. Zou het? Een professor in cryptografie heeft zijn kijk op de zaak gegeven.
Sinds april 2016 past WhatsApp end-to-end versleuteling toe op alle berichten. Het gebruikt de encryptie van Open Whisper Systems, dat ook in Signal gebruikt wordt. Een nieuwe Amerikaanse groepsrechtszaakbeweert nu het tegenovergestelde: volgens de aanklacht is die belofte misleidend en kunnen Meta-medewerkers in de praktijk toch toegang krijgen tot de inhoud van WhatsApp-berichten.
In de aanklacht staat: “De claim van Meta en WhatsApp dat zij geen toegang hebben tot de inhoud van WhatsApp-gebruikerscommunicatie is onjuist. Zoals de klokkenluiders hier hebben uitgelegd, slaan WhatsApp en Meta versleutelde WhatsApp-communicatie op en hebben zij daar onbeperkte toegang toe, en het proces voor Meta-medewerkers om die toegang te krijgen is vrij eenvoudig. Een medewerker hoeft alleen maar een ‘task’ (oftewel een verzoek via Meta’s interne systeem) naar een Meta-engineer te sturen met een uitleg dat zij toegang nodig hebben tot WhatsApp-berichten voor hun werk.”
Team zou makkelijk toegang verlenen
Volgens dezelfde tekst zou het vervolgens snel gaan. De technische afdeling zou toegang verlenen en medewerkers zouden berichten kunnen lezen, bijna zodra ze zijn verstuurd:
“Het engineeringteam van Meta zal dan toegang verlenen [en vervolgens] kunnen ze de berichten van gebruikers lezen […] Berichten verschijnen vrijwel zodra ze zijn verstuurd — in feite bijna in realtime. Bovendien is toegang onbeperkt in tijd: Meta-medewerkers zouden berichten kunnen inzien vanaf het moment dat gebruikers hun account activeerden, inclusief berichten waarvan gebruikers denken dat ze die hebben verwijderd.”
Als dit waar is, zou het de kern van WhatsApp’s imago raken en zou het snel uitgroeien tot een van de grootste privacyschandalen in tech. De vraag is dan ook: zou het waar kunnen zijn?
Cryptografieprofessor: ‘Erg onwaarschijnlijk, kan het niet uitsluiten’
Cryptograaf en Johns Hopkins University-professor Matthew Green mengt zich in de discussie met een uitgebreide blogpost. Hij wijst erop dat WhatsApp-versleuteling wel gebaseerd is op het Signal-protocol, maar dat de WhatsApp-app zelf niet open source is. Daardoor kun je niet eenvoudig controleren hoe de versleuteling precies is geïmplementeerd.
“Helaas is WhatsApp closed source, wat betekent dat je niet eenvoudig de broncode kunt downloaden om te zien of versleuteling correct wordt uitgevoerd – of überhaupt wordt uitgevoerd.”
Toch noemt Green het scenario dat Meta stiekem op grote schaal meeleest “uiterst onwaarschijnlijk”, om drie redenen. Hij kan niet met zekerheid zeggen dat het niet gebeurt. Maar als WhatsApp dit echt zou doen, verwacht hij dat het bijna onvermijdelijk is dat het uit zou komen, dat er sporen zichtbaar zouden zijn in de app-code, en dat het Meta en WhatsApp juridisch en reputatie-technisch enorm zou schaden:
“Ik kan je wél vertellen dat als WhatsApp dit deed, zij (1) gepakt zouden worden, (2) het bewijs vrijwel zeker zichtbaar zou zijn in de applicatiecode van WhatsApp, en (3) het WhatsApp en Meta zou blootstellen aan spannende nieuwe vormen van ondergang.”
Daarbij merkt hij op dat je ook zonder open source toch veel kunt controleren, omdat oudere versies van de app vaak te downloaden zijn en te decompileren: uit elkaar te halen dus.
“Zelfs als de broncode van WhatsApp niet openbaar is, zijn veel historische versies van de gecompileerde app beschikbaar om te downloaden. Je kunt er nu meteen een binnenhalen en decompileren met verschillende tools, om te zien of je data of sleutels worden weggesluisd.”
Conclusie: grote claim, weinig harde onderbouwing
De beschuldigingen in de rechtszaak zijn spectaculair, maar vooralsnog niet veel meer dan beschuldigingen. Green eindigt met een bredere observatie over vertrouwen in software en stelt dat het “redelijk” is om WhatsApp op dit punt te geloven zolang er geen concreet bewijs is.
“De keuze om WhatsApp op dit punt te vertrouwen lijkt volkomen redelijk voor mij, bij gebrek aan concreet bewijs voor het tegendeel. In ruil voor die aanname kun je communiceren met de drie miljard mensen die WhatsApp gebruiken.”
Of de rechtszaak met hard technisch bewijs komt, en of WhatsApp/Meta inhoudelijk reageren, zal bepalen of dit bij een storm in een glas water blijft, of het begin is van een groot, heel slepend dossier.
Over de auteur
