Is uw berichten-app echt veilig?
Messaging-applicaties zijn een van de meest-zo niet de meest belangrijke apps die we elke dag gebruiken. Of het nu is om contact te houden met familie en vrienden over de hele wereld, contact op te nemen met collega's of zakelijke activiteiten uit te voeren, messaging-apps zoals WhatsApp, iMessage, Skype en Facebook Messenger spelen een belangrijke rol in onze dagelijkse communicatie.
We delen vaak dingen zoals persoonlijke foto's, bedrijfsgeheimen en juridische documenten over berichten-apps, informatie die we niet beschikbaar willen maken voor de verkeerde mensen. Maar hoe ver kunnen we uw berichten-apps vertrouwen om al onze vertrouwelijke berichten en gevoelige informatie te beschermen?
Hieronder volgen enkele richtlijnen die u helpen het beveiligingsniveau te beoordelen dat uw favoriete berichten-app biedt.
Een paar woorden over versleuteling
Natuurlijk beloven alle berichtenplatforms om uw gegevens te versleutelen. Versleuteling maakt gebruik van wiskundige vergelijkingen om uw gegevens in de overgang te versleutelen om te voorkomen dat afluisteraars uw berichten kunnen lezen.
Een goede codering zorgt ervoor dat alleen de verzender en de ontvanger van een bericht op de hoogte zijn van de inhoud ervan. Niet alle soorten codering worden echter gelijk gemaakt.
De veiligste berichten-apps zijn apps die end-to-end encryptie bieden (E2EE). E2EE-apps slaan decryptiesleutels alleen op apparaten van gebruikers op. E2EE beschermt niet alleen uw communicatie tegen afluisteraars, maar zorgt er ook voor dat het bedrijf dat de toepassing host uw berichten niet kan lezen. Dit betekent ook dat uw berichten worden beschermd tegen gegevensinbreuken en opdringerige bevelen door agentschappen met drie letters.
Meer en meer messaging-applicaties bieden end-to-end encryptie. Signal was een van de eerste platforms die E2EE ondersteunen. In de afgelopen jaren hebben andere applicaties het versleutelingsprotocol van Signal overgenomen of hebben ze hun eigen E2EE-technologie ontwikkeld. Voorbeelden zijn WhatsApp, Wickr en iMessage.
Facebook Messenger en Telegram ondersteunen ook E2EE-berichten, hoewel dit standaard niet is ingeschakeld, waardoor ze minder veilig zijn. Skype heeft onlangs ook een "Private Conversation" -optie toegevoegd, die u end-to-end-codering biedt voor één gesprek naar keuze.
Hangouts van Google biedt geen ondersteuning voor end-to-end codering, maar het bedrijf biedt Allo en Duo, sms- en videoconferentie-apps die end-to-end gecodeerd zijn.
Bericht verwijderen
Er is meer aan beveiliging dan alleen het coderen van berichten. Wat als uw apparaat of het apparaat van de persoon waarmee u chat, wordt gehackt of in verkeerde handen valt? In dat geval zal encryptie weinig zin hebben, omdat de kwaadwillende acteur in staat zal zijn om berichten in hun niet-versleutelde formaat te zien.
De beste manier om je berichten te beschermen is om ze kwijt te raken als je ze niet meer nodig hebt. Dit zorgt ervoor dat kwaadwillende acteurs geen toegang krijgen tot uw vertrouwelijke en gevoelige berichten, zelfs als uw apparaat wordt aangetast.
Alle berichten-apps bieden een vorm van verwijdering van het bericht, maar nogmaals, niet alle functies voor het verwijderen van berichten zijn even veilig.
Met Hangouts en iMessage kun je bijvoorbeeld je chatgeschiedenis wissen. Maar terwijl berichten van je apparaat worden verwijderd, blijven ze op de apparaten van de mensen met wie je hebt chatten.
Als hun apparaten in gevaar komen, verliest u dus nog steeds uw gevoelige gegevens. Tot zijn verdienste heeft Hangouts de optie om de chatgeschiedenis uit te schakelen, waardoor berichten van alle apparaten na elke sessie automatisch worden verwijderd.
In Telegram, Signal, Wickr en Skype kunt u berichten voor alle partijen in een gesprek verwijderen. Dit kan ervoor zorgen dat gevoelige communicatie zich niet op een van de apparaten bevindt die bij een gesprek zijn betrokken.
WhatsApp heeft ook een "verwijderen voor iedereen" -optie toegevoegd in 2017, maar u kunt het gebruiken om alleen die berichten te verwijderen die u in de afgelopen 13 uur hebt verzonden. Facebook Messenger heeft ook recent een "unsend" -functie toegevoegd, hoewel het maar 10 minuten werkt nadat je een bericht hebt verzonden.
Signal, Telegram en Wickr bieden ook een functie voor zelfvernietiging van berichten, die berichten van alle apparaten onmiddellijk verwijdert nadat een geconfigureerde tijdsperiode is verstreken. Deze functie is vooral goed voor gevoelige gesprekken en bespaart u de moeite om berichten handmatig te wissen.
metadata
Elk bericht wordt geleverd met een hoeveelheid aanvullende informatie, ook bekend als metadata, zoals afzender- en ontvanger-ID's, de tijd dat een bericht werd verzonden, ontvangen en gelezen, IP-adressen, telefoonnummers, apparaat-ID's, enz..
Messaging-servers slaan en verwerken dat soort informatie om ervoor te zorgen dat berichten worden afgeleverd bij de juiste ontvangers en op tijd en om gebruikers in staat te stellen hun chatlogs te bekijken en te ordenen.
Hoewel metadata geen berichttekst bevatten, in de verkeerde handen, kan het zeer schadelijk zijn en veel onthullen over de communicatiepatronen van gebruikers, zoals hun geografische locatie, de tijden waarop ze hun apps gebruiken, de mensen met wie ze communiceren, enz..
Als de berichtenservice het slachtoffer wordt van een datalek, kan dit soort informatie de weg vrijmaken voor cyberaanvallen, zoals phishing en andere social engineering-regelingen..
De meeste berichtenservices verzamelen een schat aan metadata en helaas is er geen manier om te weten welk type informatie-messaging-services worden opgeslagen. Maar van wat we weten, heeft Signal het beste trackrecord. Volgens het bedrijf registreren haar servers alleen het telefoonnummer waarmee u uw account hebt aangemaakt en de laatste datum waarop u bent ingelogd op uw account.
Transparantie
Elke ontwikkelaar vertelt je dat zijn berichten-app veilig is, maar hoe weet je het zeker? Hoe weet je dat de app een door de overheid geïmporteerde achterdeur niet verbergt? Hoe weet je dat de ontwikkelaar goed werk heeft geleverd bij het testen van de applicatie?
Toepassingen maken de broncode van hun toepassing openbaar beschikbaar, ook bekend als "open-source", zijn betrouwbaarder omdat onafhankelijke beveiligingsexperts kunnen onderzoeken en bevestigen of ze veilig zijn of niet.
Signal, Wickr en Telegram zijn open-source messaging-apps, wat betekent dat ze door onafhankelijke experts zijn beoordeeld. Signal heeft in het bijzonder de steun van veiligheidsexperts zoals Bruce Schneier en Edward Snowden.
WhatsApp en Facebook Messenger zijn closed-source, maar ze gebruiken het Open Source Signal Protocol om hun berichten te versleutelen. Dit betekent dat je er op zijn minst zeker van kunt zijn dat Facebook, die beide apps bezit, niet in de inhoud van je berichten zal kijken.
Voor volledig closed-source applicaties zoals Apple's iMessage, moet je de ontwikkelaar volledig vertrouwen om te voorkomen dat je rampzalige beveiligingsfouten maakt.
Voor alle duidelijkheid, open-source betekent niet absolute veiligheid. Maar je kunt er tenminste voor zorgen dat de app niks onder de motorkap verbergt.