'WhatsApp schendt privacy gebruikers'
WhatsApp schendt de privacy van gebruikers, zo concluderen het College bescherming persoonsgegevens (CBP) en de Canadese privacytoezichthouder. Beide toezichthouders onderzochten hoe de populaire berichtenapplicatie persoonsgegevens van gebruikers verwerkt. En dat blijkt in de strijd met de privacywetten te gebeuren.
WhatsApp zou inmiddels een aantal overtredingen hebben beëindigd, of stappen ondernomen om de app uit privacy-oogpunt beter te beveiligen. Een aantal overtredingen duurt op dit moment nog voort, aldus het CBP. Het is de eerste keer dat twee nationale privacytoezichthouders gezamenlijk de naleving van privacywetgeving door een Amerikaans bedrijf onderzoeken.
Adresboek
Wie whatsapp wil gebruiken, moet verplicht toegang geven tot zijn volledige elektronische adresboek. WhatsApp kan vervolgens andere whatsapp-gebruikers uit het adresboek herkennen en de gebruiker tonen wie van zijn contacten ook whatsapp gebruikt. Het onderzoek wijst uit dat WhatsApp ook de mobiele telefoonnummers van niet-gebruikers bewaart. Dit is in strijd met Canadees en Nederlands privacyrecht.
Om gebruikers in staat te stellen met elkaar te whatsappen, hoeft WhatsApp namelijk niet alle telefoonnummers uit hun adresboek te bewaren. Doordat WhatsApp gebruikers niet de mogelijkheid biedt om te kiezen of zij al hun contacten aan WhatsApp ter beschikking willen stellen, is een groot deel van de uit het adresboek verzamelde mobiele telefoonnummers bovenmatig.
Alleen gebruikers met een iPhone met besturingssysteem iOS 6 hebben de mogelijkheid om handmatig contacten met wie zij willen whatsappen toe te voegen in plaats van dat zij verplicht toegang moeten geven tot hun volledige adresboek.
Encryptie
Bij aanvang van het onderzoek constateerden de privacytoezichthouders dat WhatsApp de berichten via de app op onversleutelde wijze verstuurde. Hierdoor konden anderen de inhoud daarvan in leesbare vorm onderscheppen. Naar aanleiding van het onderzoek heeft WhatsApp het berichtenverkeer inmiddels versleuteld.
Wachtwoord
Tijdens het onderzoek bleek dat WhatsApp wachtwoorden genereerde voor het inloggen met de app op de server door gebruik te maken van het gehashte wifi-MAC-adres op iPhones en van het gehashte IMEI-toestelnummer op andere typen smartphones. Daarmee stelde het bedrijf whatsapp-gebruikers bloot aan het risico dat anderen hun wachtwoord konden namaken, en daarmee namens hen berichten konden versturen en lezen.
WhatsApp heeft naar aanleiding van deze constatering een nieuwe methode gekozen om wachtwoorden aan te maken. Gebruikers moeten actief een nieuwe update installeren om een nieuw wachtwoord toegewezen te krijgen. Voor inactieve gebruikers die hun app niet updaten, blijft het risico bestaan, aldus het CBP.
Keuze
"Ons onderzoek heeft ertoe geleid dat WhatsApp verbeteringen heeft aangebracht en toegezegd heeft verdere veranderingen te zullen doorvoeren die leiden tot een betere bescherming van persoonsgegevens van hun klanten", zegt Jennifer Stoddart, voorzitter van de Canadese privacytoezichthouder.
De voorzitter van het CBP, Jacob Kohnstamm, voegt daaraan toe: “Maar we zijn er nog niet. Het onderzoek wijst uit dat gebruikers van WhatsApp - behalve iPhone-bezitters met besturingssysteem iOS 6 - verplicht zijn toegang te geven tot hun volledige elektronische adresboek. Hierin staan ook telefoonnummers van contacten die de app niet gebruiken."
Kohnstamm wil dat gebruikers van de app vrijelijk moeten kunnen beslissen welke contactgegevens zij willen delen met WhatsApp.
"Door het ontbreken van enige vorm van versleuteling van de gegevens tijdens de overdracht tussen de smartphone en de whatsapp servers, bijvoorbeeld met SSL ‘end to end’ encryptie, een algemeen beschikbare en voor de hand liggende beveiligingsmaatregel van deze gevoelige gegevens, handelde WhatsApp in strijd met artikel 13 van de Wbp."
Dat is nu echter niet meer na het optreden van het CBP, zeggen zij. Gaan zij nu alle andere providers, zoals die voor email, ook aanpakken die het mogelijk maken privacy gevoelige emails onversleuteld [over een WiFI] netwerk te zenden?
En was 'end to end' beveiliging niet van gebruiker naar gebruiker/geadresseerde? Is het zelfs niet misleidend (van wie?) client to server communicatie beveiliging in een client-client app ook end to end te noemen?
(Natuurlijk bij een bank is de bank server de geadresseerde en is client-server beveiliging zoiets als end to end.)
----- toevoeging
De beste verklarende passage over wat 'de gegevens' zijn die ik vond in het rapport:
"Door het ontbreken van versleuteling van de gegevensoverdracht via internet zou het mogelijk zijn voor onbevoegden om kennis te nemen van mobiele telefoonnummers en de inhoud van berichten."
Hotel California!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
