WhatsApp moet open van Europa en dat kan veilig, maar kent ook risico’s
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Diverse media meldden dat WhatsApp van de Europese Unie haar dienst moet openstellen voor andere apps, zoals Signal of Telegram. Dat lijkt me een evident beveiligingsrisico gezien de e2ee belofte van de dienst dan niet meer kan worden gegarandeerd. Waarom kiest Europa hiervoor?
Antwoord: Interoperabiliteit is een groot goed, en door gebrek aan interoperabiliteit kun je gesloten platforms creëren waarmee je de concurrentie verhindert. Dat is grofweg de motivatie achter het open moeten stellen van grote platforms en het beschikbaar maken van (gratis) API's om diensten te kunnen koppelen. Concreet staat dit in de Digital Markets Act (DMA). Die bevat in artikel 7 namelijk een expliciete plicht tot interoperabiliteit als je “poortwachter” bent:
Een poortwachter die nummeronafhankelijke interpersoonlijke communicatiediensten aanbiedt welke op grond van artikel 3, lid 9, zijn opgenomen in het aanwijzingsbesluit, zorgt ervoor dat de basisfuncties van zijn nummeronafhankelijke interpersoonlijke communicatiediensten interoperabel zijn met de nummeronafhankelijke interpersoonlijke communicatiediensten van een andere aanbieder die dergelijke diensten in de Unie verleent of voornemens is dat te doen. Daartoe maakt de poortwachter de nodige technische interfaces of soortgelijke oplossingen met het oog op interoperabiliteit op verzoek en kosteloos beschikbaar.
Een poortwachter is een internetdienst die een aanzienlijke impact heeft op de markt, voor zakelijke gebruikers een belangrijke toegangspoort tot eindgebruikers vormt, en een "stevig verankerde en duurzame positie inneemt" op die markt. Al vorig jaar is bepaald dat WhatsApp als dienst hier aan voldoet. Ze leveren ook een “nummeronafhankelijke interpersoonlijke communicatiediensten”. Er is immers geen van buitenaf toegekend nummer noodzakelijk voor de communicatie. Bij WhatsApp werkt het wel op basis van je 06-nummer, maar je kunt wisselen van nummer zonder dat dat je contactenlijst aanpast. Sms is dus wél nummerafhankelijk want als ik een nieuw nummer neem, kunnen mensen die mijn oude nummer hebben me niet meer sms’en.
Een poortwachter die nummeronafhankelijke interpersoonlijke communicatiediensten aanbiedt moet interoperabel zijn en dus een gratis API aanbieden waarmee je kunt communiceren met andere diensten zoals Signal of Telegram. Dat gaan ze ook doen, maar toch vond “men” het nodig even wat angst in de markt te zetten, zo las ik in het persbericht van Meta:
Ook WhatsApp ziet de risico’s. “Zonder eigenaarschap van beide eindpunten kunnen we de veiligheid van berichten die ontvangen of verzonden worden via een andere app niet garanderen”, schrijft de dienst.
Het persbericht gaat nader in op hun “e2ee promise”, oftewel het versleuteld houden van de communicatie tussen twee eindgebruikers. Natuurlijk kan Meta niet zien of andere bedrijven datzelfde doen, en natuurlijk is het mogelijk dat een ander zégt e2ee toe te passen maar toch een achterdeur ingebouwd te hebben. Of gewoon cryptotechnisch prutswerk te hebben geleverd. Alleen: is dat iets waar Meta wat van moet vinden?
De DMA laat zien dat de keuze van de wetgever was om de grote gesloten platforms open te trekken. Dat er daarna meer geregeld moet worden op security-gebied, dat is een apart probleem waar óók de nodige aandacht voor is (NIS2, CRA, AVG/AI Act security). Ik snap dat op de korte termijn dit een probleem is dat schade kan veroorzaken. Maar op de lange termijn is een open ecosysteem beter dan het gesloten model met vijf grote bedrijven dat we nu hebben.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Maar er is iets anders interessant. Heel erg zeker ook op privacy gebied. Enerzijds is het duidelijk dat al dat big tech zoveel macht en waarde heeft omdat "iedereen erop zit". We verwachten dus ook als je zoiets ook maakt, dat "iedereen erop zit". Want anders komen we niet meer terug. Prima en ok dat open te stellen.
Anderzijds wil ik zelf helemaal niet dag en nacht bereikbaar zijn voor iedereen. Privesfeer heet dat. De oudjes onder ons kennen dat nog. Als ik bijvoorbeeld net een lasagna sta te maken, auto rij, een siësta lig te maffen, een mooie webiste zit te maken of een video zit te monteren, de wiki aan het lezen ben van het hele chinese keizerrijk, of gewoon vroeg wakker ben en apengapend door mijn uitzicht zit te kijken hoe de zon weer opkomt boven de zee van Alborán (ik weet niet hoe ze dat flikken maar is elke dag weer anders), dan wíl ik helemaal niet bereikbaar zijn. Of vindbaar maar behalve voor een paar. Ook niet voor met wie ik vroeger op knikkeren heb gezeten. Of dat we ooit nog eens samen in de sneeuw hebben staan pissen en weet je nog. Leuk, maar als ik in mijn privesfeer zit stuur dan maar een kerstkaart met een regenboog via de post. Enig en wat leuk om nogeens wat van je te horen. Hoe gaat het met je moeder.
Wat ik dus bedoel is dat dat aandringen op interoperabel zijn, zowel voor chats als sociale netwerken, dat dat op zijn beurt ook weer aandringen is op de godganse dag door iedereen maar vindbaar moeten zijn. Wat ik dan ook weer zie als een aantasting van mijn privesfeer. Dat is al erg geworden met de mobiele telefoon. Ik bedoel, liggen we net voor de open haard op een schapenvelletje vier op een rij te spelen en dan gaat die telefoon weer. En waarom nam je niet op. Het was echt vier op een rij spelen, maar wat gaat jou dat aan dan. Moet ik dat uitleggen omdat er een telefoon afgaat of zo? Werk ik bij de brandweer?
Dat interoperabel zijn is een massieve privacyschending eisen. En het gaat des duivels oorkussen zijn. Big tech gaat dat wel kunnen maar ook om daarna te bewijzen dat we allemaal afluisteraars zijn, dus dat wat zij doen daarmee vergeleken nog netjes is. Want je bent zelf nog slechter en daarom koopt ook iedereen hun aandelen.
It is a trap.
We zouden met veel minder inspanning voor iedereen een paradijs op aarde kunnen creëren.
Denk je eens in, iedereen die nu bezig is met de bestrijding van criminaliteit of het herstellen van de gevolgen van criminaliteit zou iets veel leukers en nuttigers met zijn leven kunnen doen.
Als je alle kosten die criminaliteit met zich meebrengt zou kunnen besparen dan zou iedereen met twintig uur in de week het werk gedaan hebben.
Zou, helaas is de werkelijkheid geen paradijs op aarde, …
Verbazingwekkend dat Meta dit argument maakt. Zowel Signal als Telegram clients zijn onder de GPLv3 licentie uitgebracht, een vrije software licentie welke er voor zorgt dat de code verifieerbaar is door elke gebruiker. Hier valt onder andere de verifieerbaarheid van de E2E encryptie onder waardoor de gebruiker zeker kan zijn dat er geen andere partijen mee kunnen kijken door, ofwel een achterdeur in de encryptie, of een andere methode om data waar de applicatie toegang toe heeft naar een derde partij te sturen. Zolang de publieke sleutels van het andere eindpunt gebruikt worden om de berichten te versleutelen is er geen enkele reden om er van uit te gaan dat E2E encryptie gebroken wordt, ook niet wanneer de berichten tussen verschillende diensten verstuurd worden. De enige client waarbij dit niet verifieerbaar is, is Whatsapp aangezien het onder een propriëtaire licentie is uitgebracht en de code niet te verifiëren is door de eindgebruiker.
Het geval is wel dat Signal veel meer E2E versleuteld dan zowel Whatsapp als Telegram. Zowel Whatsapp als Telegram genereren een hoop metadata welke aan de serverzijde verzameld worden. Telegram versleuteld de berichten standaard niet eens E2E, enkel wanneer "secret chats" gebruikt worden. Signal versleuteld praktisch alles en heeft niet eens toegang tot met wie je contact hebt en wanneer, whatsapp zal dit niet snel implementeren aangezien het verzamelen van gebruikersgegevens onderdeel van het verdienmodel is. Dit is ook een reden dat Signal wellicht niet eens een brug gaat bouwen met Whatsapp, zij willen zorgen dat er zo min mogelijk gebruikersgegevens gelekt worden richting Meta. Het probleem is, zelfs al zou Whatsapp het encryptieprotocol exact zo implementeren als Signal, de gebruiksdata van Signal gebruikers, net als Whatsapp gebruikers, is alsnog zichtbaar vanuit het eindpunt (de app zelf) en kan via een andere verbinding gedeeld worden met Meta wanneer de Whatsapp App het eindpunt is.
All your data is/belong to us het credo van globale overheid hand in foot with Big Tech.
Als dit u nog dit duidelijk is, komt die duidelijkheid nooit meer binnen. A.I. zal het nog een graadje erger maken met de sociale ontwrichting van de maatschappij.
Natuurlijk wel... Europa geeft geen bal om haar burgers, het gaat allemaal om controle, macht, geld en vriendjes.
Alleen nu is het verpakkingspapier 'open' een beetje lonkend misbruik maken van de goede naam van open source...
De rol inpakpapier terrorisme, kiddypr0n of nationale veiligheid was op...
maar het is whatsflap, dus boeie.. mensen die dat gebruiken verdienen geen veiligheid.
En ze blijven er mee wegkomen.
Als je de onzin leest die de marketing machine nu weer uitspuwt ook juist bij dit debacle, en je weet wat er achter de schermen werkelijk gebeurd en wat hun bedrijfscultuur van de top af is..
Tot nu toe heeft die hele poortwachter wet alleen geleid tot een vermindering van de veiligheid, en zal geen enkel voordeel voor de consument brengen.
Dat is niet afhankelijk van e2ee.
En juist Meta doet al aan client-side scanning: https://www.security.nl/posting/837463/Instagram+gaat+priv%C3%A9berichten+gebruikers+op+naaktafbeeldingen+controleren
Peter
https://engineering.fb.com/2024/03/06/security/whatsapp-messenger-messaging-interoperability-eu/
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.