Tussen verskeie vure: WhatsApp-privaatheidsinstellings, enkripsie en alternatiewe boodskaptoepassings (Telegram en Signal)

  • 1

.....

‟Die belangrikste data waartoe Facebook nie toegang sal hê nie, is die inhoud van boodskappe.”

.....

1. Inleiding

WhatsApp is die gewildste boodskaptoepassing in die wêreld met nagenoeg 2,5 miljard gebruikers wêreldwyd (Cuthbertson 2021). Dié platform is in 2014 deur Facebook oorgekoop, en gegewe vorige omstredenhede rondom Facebook en private inligting was daar sedert 2014 agterdog teenoor WhatsApp se vermoë om private inligting veilig te hou.

Op 7 Januarie 2021 het WhatsApp gebruikers gevra om nuwe privaatheidsinstellings te aanvaar. Data wat WhatsApp beoog om met Facebook te deel is hoofsaaklik metadata: die batteryvlak van fone, seinsterkte, toepassingsweergawe, blaaierinligting, mobiele netwerk, verbindingsinligting (insluitend telefoonnommer, selfoonoperateur of ISP), taal en tydsone, IP-adres en inligting oor die werking van toestelle (Cuthbertson 2021; Griffin 2021; Lanxon 2021; Siziba 2021; WhatsApp 2021). Vir ’n gedetailleerde lys van wat WhatsApp versamel, sien hul beleid self (WhatsApp 2021). Wright (2021) verduidelik die nuwe privaatheidsinstellings op ’n toeganklike wyse.

WhatsApp se nuwe beleid is hoofsaaklik gefokus op besighede om geteikende bemarking te verbeter (Griffin 2021; Lanxon 2021; Statt 2021; Von Solms 2021; WhatsApp 2021; Wright 2021).

Die belangrikste data waartoe Facebook nie toegang sal hê nie, is die inhoud van boodskappe (Griffin 2021; Lanxon 2021; Siziba 2021; Statt 2021; WhatsApp 2021; Wright 2021). WhatsApp enkripteer boodskappe end-tot-end met een van die veiligste metodes wat tans bestaan en wat Ermoshina en Musiani (2019) die de facto-standaard in enkripsie noem. WhatsApp self het nie toegang tot die inhoud van boodskappe nie en selfs regerings kan nie toegang verkry nie (Wijnberg en Le-Khac 2020).

Tog bestaan daar agterdog oor watter data met wie gedeel sal word. Statt (2021) skryf:

This whole controversy may be chalked up to users misreading confusing media reports, jumping to conclusions, and then participating in scaremongering on social media. But it’s also a reality Facebook must contend with that the lack of trust in WhatsApp is directly related to years of bad faith privacy pledges from Facebook and increasingly complex terms of service agreements no regular, non-lawyer user can reasonably comprehend.

In ’n wêreld waarin daar toenemende agterdog teenoor groot maatskappye en regerings is, het die gerug dat Facebook mense se privaat inligting gaan gebruik, op vrugbare grond geval. Miljoene gebruikers het Telegram- en Signal-rekeninge oopgemaak na WhatsApp se aankondiging van hul nuwe privaatheidsbeleid (Lanxon 2021; Statt 2021).

Is dit wys om WhatsApp te verlaat en na ander boodskaptoepassings oor te gaan?

.....

‟In hierdie studies is Signal telkens uitgewys as die platform met die beste sekuriteit, gevolg deur WhatsApp, en telkens is Telegram uitgewys as die onveiligste. Gegewe dat slegs metadata tussen WhatsApp en Facebook gedeel word – en die feit dat verskeie ander toepassings op ons slimfone dieselfde doen – sou dit nie wys wees om metadata te beskerm in ruil vir swakker beskerming van inhoud nie.”

.....

In die res van die huidige artikel bespreek ek die voor- en nadele van so ’n keuse. Aangesien Ermoshina en Musiani (2019) en Hagen, Weinert, Sendner, Dmitrienko en Schneider (2020) WhatsApp, Telegram en Signal uitsonder as die veiligste boodskaptoepassings, fokus die res van die huidige artikel op sekuriteit ten opsigte van hierdie drie toepassings.

2. WhatsApp, Telegram en Signal se enkripsies 

2.1 WhatsApp

WhatsApp en Signal enkripteer boodskappe by verstek end-tot-end. Hiervoor word gebruik gemaak van die Signal-protokol, wat deur Signal ontwikkel is en volgens Ermoshina en Musiani (2019:350) “currently the leading protocol for instant messaging” is (sien ook Cohn-Gordon, Cremers, Dowling, Garratt en Stebila 2020). Dieselfde protokol word deur Facebook Messenger en Skype gebruik.

Elders skryf Ermoshina en Musiani (2019:354):

The Signal protocol, characterised by the double Diffie-Hellman ratchet, is now considered the best practice in the field and becomes a trend-setter for other projects in terms of privacy and security features (eg forward secrecy and future secrecy …).

WhatsApp en Signal gebruik met ander woorde die de facto-standaard (Ermoshina en Musiani 2019) ten opsigte van enkripsie.

Cohn-Gordon ea (2020) het ’n veiligheidsontleding van hierdie protokol onderneem en geen beduidende gapings gevind nie. Wijnberg en Le-Khac (2020) verwys ook na die “unbreakable barrier introduced in the readable interception of WhatsApp messages”.

WhatsApp se gebruik van ’n bekende en getoetste enkripsie is egter nie sonder gebreke nie. Telefoonnommers op gebruikers se adreslys word op WhatsApp se bedieners gestoor, wat die potensiaal skep vir kuberkrakers of regeringsinstellings om dié nommers te bekom. Hierdie probleem is nie eie aan WhatsApp nie, en Hagen ea (2020) het bevind dat dieselfde probleem by Signal en Telegram bestaan. WhatsApp gee ook meer inligting oor ’n gebruiker aan mense wat nie op die gebruiker se adreslys is nie as Signal, maar minder as Telegram (Hagen ea 2020:9). Meer hieroor later in die huidige artikel.

Cremers ea (2020) het ondersoek ingestel na boodskaptoepassings se vermoë om kuberkrakers uit te sluit nadat sekuriteit deurdring is. Hulle bevind dat WhatsApp en Signal se boodskappe steeds beskerm word nadat sekuriteit deurdring is, terwyl Telegram s’n leesbaar geword het vir die indringer. WhatsApp het egter nie die indringing outomaties herken nie, anders as Signal.

Alhoewel WhatsApp se sekuriteit met ander woorde gebreke het, word dié boodskaptoepassing gereeld deur kriminele gebruik omdat regerings nie toegang het tot die inhoud van boodskappe nie (Endeley 2018; Wijnberg en Le-Khac 2020). Wijnberg en Le-Khac (2020) skryf: “[L]aw enforcement investigators still find themselves unable to intercept encrypted communication, to a readable level, between suspects in organised crime groups.”

2.2 Telegram

Telegram is in 2013 bekendgestel en gebruik sekuriteit as ’n bemarkingsmiddel (Abu-Salma, Krol, Parkin, Koh, Kwan, Mahboob, Traboulsi en Sasse 2017:3). Telegram enkripteer boodskappe op bedieners, met ander woorde in transito, en end-tot-end enkripsie is beskikbaar slegs indien die Secret chat-funksie gebruik word (Jakobsen en Orlandi 2016:113; Abu-Salma ea 2017:3). Die verstek-opsie is met ander woorde meer onveilig en gebruikers moet doelbewus die Secret chat-funksie gebruik om ’n vergelykbare sekuriteit te kry as wat die verstek-opsie met WhatsApp en Signal is. Telegram gebruik egter hul eie enkripsie vir die Secret chat-funksie, MTProto, wat nie ekstern geverifieer is nie en waaroor Abu-Salma ea (2017:3) skryf dat dit metadata aan krakers beskikbaar kan stel. Jakobsen en Orlandi (2016) het ook in 2015 ’n oudit van Telegram se MTProto gedoen en die volgende bevind: “[T]he non-standard countermeasures that MTProto implements are not enough to satisfy current standards for security of encryption schemes” (2016:113). Van al die toepassings wat deur Cremers ea (2020) getoets is, was Telegram se sekuriteit ook die swakste en was dit moontlik om die inhoud van boodskappe te lees. Die persepsie dat Telegram die veiligste boodskaptoepassing is, soos onder andere deur Abu-Salma ea (2017:7) bevind, is met ander woorde ’n funksie van Telegram se bemarking eerder as die protokol self.

Selfs al sou Telegram se end-tot-end enkripsie so effektief wees soos dié van WhatsApp of Signal, beteken dit min as gebruikers nie die Secret chat-funksie gebruik nie. Abu-Salma ea (2017) het bevind dat gebruikers gereeld nie die Secret chat-funksie gebruik nie, wat daarop neerkom dat die inhoud van boodskappe nie so veilig is soos met WhatsApp of Signal nie. Wijnberg en Le-Khac (2020) skryf dat regerings kan inluister op gesprekke wat nie geënkripteer is nie.

Nietemin is Telegram veilig genoeg om deur die Islamitiese Staat van Irak en Sirië (ISIS) as primêre kommunikasiekanaal gebruik te word (Shehabat, Mitew and Alzoubi 2017:32; Bloom en Daymon 2018:377). Die kuberkrakergroep Anonymous was ook suksesvol daarmee om ISIS-rekeninge op verskeie sosiale media kanale te sluit, maar nie op Telegram nie (Shehabat ea 2017:35). Vir die individuele, wetsgehoorsame burger is daar nie ’n risiko dat ’n regering of ’n organisasie soos Anonymous sy kommunikasie sal ontwrig nie, maar hierdie mislukte pogings van georganiseerde instellings sê wel iets oor Telegram se veiligheid.

2.3 Signal

Signal gebruik ook end-tot-end enkripsie, en hierdie toepassing se protokol word oor die algemeen as die toonaangewende sekuriteitsprotokol gesien (Cohn-Gordon ea 2020; Cremers ea 2020). In al die studies wat hier geraadpleeg is, is Signal uitgewys as die veiligste van dié drie boodskaptoepassings.

Hagen ea (2020:9) skryf byvoorbeeld:

With its focus on privacy, Signal excels in exposing almost no information about registered users, apart from their phone number. In contrast, WhatsApp exposes profile pictures and the About text for registered numbers, and requires users to opt-out of sharing this data by changing the default settings. [...] Telegram behaves even worse: it allows crawling multiple images and also additional information for each user.

In Cremers ea (2020) het Signal ook die beste gevaar van die drie toepassings wat hier bespreek word: Indien sekuriteit wel deurdring word, was boodskappe nie leesbaar nie en die toepassings het outomaties die indringing herken (alhoewel slegs gedeeltelik). Signal is ook Edward Snowden se eerste keuse as boodskaptoepassing (Murdoch 2018).

3. Slot

Teen die agtergrond van navorsing deur Cohn-Gordon ea (2020), Hagen ea (2020), Cremers ea (2020), Abu-Salma ea (2017) en Jakobsen en Orlandi (2016), kan ek nie aanbeveel om van WhatsApp na Telegram te skuif nie. In hierdie studies is Signal telkens uitgewys as die platform met die beste sekuriteit, gevolg deur WhatsApp, en telkens is Telegram uitgewys as die onveiligste. Gegewe dat slegs metadata tussen WhatsApp en Facebook gedeel word – en die feit dat verskeie ander toepassings op ons slimfone dieselfde doen – sou dit nie wys wees om metadata te beskerm in ruil vir swakker beskerming van inhoud nie. Dit sou meer sin maak om na Signal te skuif, alhoewel so iets tans onnodig is.

Bibliografie

Abu-Salma, R, K Krol, S Parkin, V Koh, K Kwan, J Mahboob, Z Traboulsi en M Sasse. 2017. The security blanket of the chat world: An analytic evaluation and a user study of Telegram. In Proceedings 2nd European workshop on usable security. Reston, VA: Internet Society. doi: 10.14722/eurousec.2017.23006.

Bloom, M en C Daymon. 2018. Assessing the future threat: ISIS’s virtual caliphate. Orbis, 62(3):372–88. doi: 10.1016/j.orbis.2018.05.007.

Cohn-Gordon, K, C Cremers, B Dowling, L Garratt en D Stebila. 2020. A formal security analysis of the Signal messaging protocol. Journal of Cryptology, 33(4):1914–83. doi: 10.1007/s00145-020-09360-1.

Cremers, C, J Fairoze, B Kiesl en A Naska. 2020. Clone detection in secure messaging: Improving post-compromise security in practice. In Proceedings of the 2020 ACM SIGSAC conference on computer and communications security. New York, NY, VSA: Association for Computing Machinery.

Cuthbertson, A. 2021. WhatsApp forces users to agree to share private data including phone number with Facebook. https://www.independent.co.uk/life-style/gadgets-and-tech/whatsapp-update-new-privacy-policy-b1783880.html (13 Januarie 2021 geraadpleeg).

Endeley, RE. 2018. End-to-end encryption in messaging services and national security – Case of WhatsApp Messenger, Journal of Information Security, 9(01):95–9. doi: 10.4236/jis.2018.91008.

Ermoshina, K en F Musiani. 2019. “Standardising by running code”: The Signal protocol and de facto standardisation in end-to-end encrypted messaging. Internet Histories, 3(3–4):343–63. doi: 10.1080/24701475.2019.1654697.

Griffin, A. 2021. WhatsApp new privacy terms: What do new rules really mean for you? https://www.independent.co.uk/life-style/gadgets-and-tech/whatsapp-new-privacy-terms-facebook-rules-explained-b1784469.html (13 Januarie 2021 geraadpleeg).

Hagen, C, C Weinert, C Sendner, A Dmitrienko en T Schneider. 2020. All the numbers are US: Large-scale abuse of contact discovery in mobile messengers, IACR Cryptol. Cryptology ePrint Archive, Report 2020/1119.

Jakobsen, J en C Orlandi. 2016. On the CCA (in)security of MTProto, in Proceedings of the 6th workshop on security and privacy in smartphones and mobile devices – SPSM’16. New York, NY, VSA: ACM Press:113–6. doi: 10.1145/2994459.2994468.

Lanxon, N. 2021. Why WhatsApp’s new privacy rules sparked an exodus. https://www.washingtonpost.com/business/why-whatsapps-new-privacy-rules-sparked-an-exodus/2021/01/11/fc110c2a-540c-11eb-acc5-92d2819a1ccb_story.html (13 Januarie 2021 geraadpleeg).

Murdoch, J. 2018. Bad news FBI, Edward Snowden’s favorite chat app Signal just got $50m in funding. https://www.newsweek.com/bad-news-fbi-edward-snowdens-favorite-chat-app-signal-just-got-50m-funding-816035 (14 Januarie 2021 geraadpleeg).

Shehabat, A, T Mitew en Y Alzoubi. 2017. Encrypted jihad: Investigating the role of Telegram app in lone wolf attacks in the west. Journal of Strategic Security, 10(3):27–53. doi: 10.5038/1944-0472.10.3.1604.

Siziba, N. 2021. Updated policy results in mass exodus of WhatsApp users. https://www.moneyweb.co.za/moneyweb-radio/safm-market-update/updated-policy-results-in-mass-exodus-of-whatsapp-users (13 Januarie 2021 geraadpleeg).

Statt, N. 2021. WhatsApp clarifies privacy practices after surge in Signal and Telegram users. https://www.theverge.com/2021/1/12/22226792/whatsapp-privacy-policy-response-signal-telegram-controversy-clarification (13 Januarie 2021 geraadpleeg).

Von Solms, B. 2021. Wat nou, WhatsApp? https://www.netwerk24.com/Stemme/Menings/wat-nou-whatsapp-20210111 (13 Januarie 2021 geraadpleeg).

WhatsApp (2021) Privacy Policy – Feb 2021. https://www.whatsapp.com/legal/updates/privacy-policy/?lang=en (13 Januarie 2021 geraadpleeg).

Wijnberg, D en N-A Le-Khac. 2020. Identifying interception possibilities for WhatsApp communication. arXiv Preprint:2011.03732.

Wright, S. 2021. This is how to explain new WhatsApp privacy policy changes to your mom. https://www.iol.co.za/technology/mobile/this-is-how-to-explain-new-whatsapp-privacy-policy-changes-to-your-mom-5a903810-3d66-47fe-ba4b-94015862985f (13 Januarie 2021 geraadpleeg).

Lees ook op LitNet Akademies:

Afrikaansstudente se persepsies en gebruik van WhatsApp as platform vir (taal-)leer: ’n nuwe norm(aal)?

  • 1

Kommentaar

  • Na my mening is die vraag eenvoudig of jy Zuckerberg vertrou. Onthou ook dat FB by die aankoop van Whatsapp onderneem het om nie inliging met FB te deel nie. Dit is 'n vertrouensbreuk.

    Ek kan ook nie anders as om te wonder of die skrywer enige affiliasie met Whatsapp of FB het nie.

  • Reageer

    Jou e-posadres sal nie gepubliseer word nie. Kommentaar is onderhewig aan moderering.


     

    Top