Wat is er aan de hand met WhatsApp en Facebook?

De achtergrond van de wijzigingen heeft nogal wat stof doen opwaaien. Facebook zegt dat de wijzigingen onbeduidend zijn. Maar critici wijzen erop dat Facebook zichzelf rechten toekent om gegevens van WhatsApp door te sluizen naar het “moederschip”.

Behalve dat gebruikersgegevens worden gedeeld, is WhatsApp ook van plan om de IP-adressen en telefoonnummers van gebruikers te gebruiken om hun huidige positie te bepalen. Een andere opkomende trend is de introductie van zakelijke chats via externe servers. Dit bekent dat persoonlijke gegevens verwerkt kunnen worden door derden.

Facebook kiest een bijzonder moment voor deze wijzigingen: Twee rechtszaken in de VS betichten ze van concurrentiebeperkende activiteiten, waarin wordt geëist dat Facebook zowel Instagram als WhatsApp moet verkopen. De implicatie dat Facebook nog snel even de gegevens wil samenvoegen om later te beweren dat afscheiding niet meer mogelijk is lijkt voor de hand te liggen.

Maar waarom zijn WhatsApp-chats niet veilig?

Hoewel WhatsApp encryptie uitvoert op zowel chats tussen individuele personen en groepschats zodat niemand kan meeluisteren op conversaties (end-to-end encryptie), blijven er veel zorgen over privacy. WhatsApp werkt alleen na het uploaden van het adresboek van de gebruiker naar hun servers. Ondanks dat dit de app in staat stelt een koppeling te leggen met WhatsApp-gebruikers, weet niemand exact welke gegevens WhatsApp verzamelt tijdens dit proces.

WhatsApp verzamelt ook enorm veel gebruikersinformatie door metagegevens te analyseren. Het bedrijf kan dan misschien niet onderscheppen waar gebruikers het over hebben, maar het ziet absoluut wel dat ze met elkaar communiceren. Afbeeldingen en statusberichten blijven ook onversleuteld.

Als gebruikers op een weblink klikken in de chat, worden deze URL's ook opgeslagen en gevolgd. Al deze gegevens zijn handig om samen gedetailleerde gebruikersprofielen op te bouwen. Als je weet wie met wie communiceert en welke links ze delen, is het onderwerp van de conversatie allicht niet meer relevant.

Alternatieven voor WhatsApp

Er bestaat een gezegde: "Als je er niet voor betaald, ben je geen klant; maar het product dat wordt verkocht." Maar zijn de concurrenten van WhatsApp wel beter als het gaat om privacy?

Momenteel zijn er drie belangrijke concurrenten voor WhatsApp. Threema is de oudste van de drie, Signal is de nieuwkomer en Telegram wordt over het algemeen goed gewaardeerd. Ze zijn alle drie beschikbaar voor zowel Android als iOS.

Signal heeft een suikeroompje

Hoewel de populariteit van Signal eigenlijk pas recent is toegenomen als alternatief voor WhatsApp, bestaat het al sinds 2014. Met als WhatsApp, beveiligd Signal zowel individuele als groepschats. Signal is gratis, net als WhatsApp/

Wat? Zei je net niet dat een gratis app betekent dat de gebruiker het product is? Ja..... Eeh maar iedere regel heeft uitzonderingen. Signal wordt geproduceerd door een stichting die gefinancierd wordt aan de hand van donaties. In 2018 ontving de stichting 50 miljoen USD van Brian Acton, een van de oprichters van WhatsApp (ach, de ironie). Misschien red je het niet om ook zo’n donatie te geven, maar alle beetjes helpen.

Signal houdt stevig vast aan een aanpak die gericht is op privacy. Voorbeeld: Signal hoeft geen toegang tot het adresboek van de gebruiker, er wordt niks geüpload,alleen hashwaarden van de telefoonnummers die het bevat.

Wat de hash is een hash?

Ik zal eerst even kort uitleggen wat hashing is, want daar komen we later op terug. In plaats van onbewerkte adresgegevens naar de servers te sturen, neemt Signal de telefoonnummers en bekent er een hashwaarde over.

Cryptografische hashingwaarde zijn eenrichtingsverkeer, je kunt ze niet meer terug omzetten en er een telefoonnummer uit halen. Aan de andere kant, hashingwaarden zijn wel consistent, dus als drie apparaten een hashingwaarde berekenen van hetzelfde telefoonnummer komt daar steeds dezelfde hash uit.

Door hashingwaarden van je adresboek te vergelijken met die van de server, kan Signal je vertellen wie van je contacten de app gebruiken, zonder dat de centrale server de werkelijke telefoonnummers kennen.

Hoewel deze aanpak verre van perfect is (hashes van telefoonnummers kunnen worden gekraakt), is het in ieder geval een stuk beter dan wat WhatsApp doet, namelijk je hele adresboek naar de eigen servers uploaden.

Overschakelen van WhatsApp naar Signal

WhatsApp-verlaters vinden het waarschijnlijk redelijk makkelijk om over te schakelen. Behalve veilig versleutelde teksten ondersteund Signal ook versleutelde voice- en video-chats. Het enige wat ontbreekt eigenlijk de statusfunctie.

Maar er zullen altijd wel verschillen blijven waar je even aan moet wennen. Het tabblad contacten toont ook gebruikers die Signal niet gebruiken. Als je ze een tekstbericht stuurt, wordt dit verzonden als (niet-versleuteld) SMS-bericht.

Signal back-upstrategie is ook bijzonder, het vereist een numerieke wachtwoordzin van 30! tekens. Om je Signal-ID te herstellen op een andere apparaat, moet je het beschermen met een pincode van 8 cijfers. Signal vraagt je regelmatig om deze pincode, zodat je het onthoudt.

Telegram: de BFF van bots

Telegram kwam in 2013 op de markt en is voornamelijk populair geworden omdat het ondersteuning biedt voor "bots" en andere automatiseringfuncties. Boots en bijbehorende kanalen zijn geweldig om live vergaderingen of gamingsessies op te zetten.

Gebruikers die op zoek zijn naar privacy worden misschien niet zo gelukkig van Telegram. In december 2020, kondigden de oprichters van Telegram aan dat ze een reclameplatform gingen ontwikkelen en ze van plan zijn om uiteindelijk betaalde diensten aan te bieden.

Daarnaast is de app al het leidend voorwerp geweest in een aantal veiligheidslekken, waardoor 42 miljoen gebruikersrecords openbaar werden. Standaard wordt alle communicatie via Telegram onversleuteld opgeslagen op de servers van het bedrijf. Individuele chats kunnen worden ingesteld op “geheim” maar kanalen en groepschats zijn altijd openbaar.

De gebruikersinterface van Telegram is redelijk intuïtief. Je moet misschien even wennen aan kanalen, maar de meeste bots beschikken over instructies. Over het algemeen is Telegram heel handig om groepen te sturen waarvoor geen privacy nodig is - Ingress en Pokémon Go-games, maken veel gebruik van kanalen om samen taken uit te voeren.

Threema en die kleine groene puntjes

Threema is in 2012 in Zwitserland opgericht. Het is een betaalde app en kost een paar euro, afhankelijk van de actuele aanbieding. Threema klopt zichzelf continue op de borst over hun focus op privacy. Van de vier messaging-apps die we hier bespreken, is het de enige waarvoor geen telefoonnummer of e-mailadres is vereist voor registratie.

Threema’s naam komt van de drie niveaus van verificatie. Een onbekend contact verschijnt als een enkel rood puntje. Twee oranje puntjes geven aan dat de persoon een telefoonnummer heeft dat voorkomt in je adresboek. Het maximale vertrouwensniveau komt van drie groene puntjes. Gebruikers die de QR-code van de telefoon van een andere gebruiker hebben gescand.

De keuze om adresboekgegevens te synchroniseren met de servers van Threema is volledig optioneel. Indien ingeschakeld, worden er hashes gebruikt van e-mailadressen en telefoonnummers die worden vergeleken met de ID's van andere gebruikers. Het bedrijf geeft duidelijk aan datdeze hashes niet altijd perfect beveiligd zullen zijn, maar dat is nog steeds een duidelijke verbetering ten opzichte van wat WhatsApp te bieden heeft.

Threema ondersteunt individuele en groepschats én voice en video-chats. Een tijd lang was de kwaliteit van de voicechats beduidend lager dan die van WhatsApp, maar dat is recentelijk sterk verbeterd. Gebruikers van Threema kunnen vragenlijsten opstellen, om bijvoorbeeld de lunchpauze of gamingsessies te coördineren.

Er zijn drie back-upmethodes; één lokale en twee cloud-gebaseerde alternatieven. Cloud-gebaseerde Threema Safe back-ups werkt zelfs over meerdere platforms: een Android-back-up kan naadloos worden geïmporteerd op iOS en andersom.

Andere kanshebbers

Signal, Threema end Telegram zijn niet de enige alternatieven voor WhatsApp – verre van! In Wikipedia's lijst van instant messengers voor multiplatforms staan maar liefst 45 actie apps en dan wordt Microsoft Teams al buiten beschouwing gelaten.

De twee privacy-bewuste alternatieven die je waarschijnlijk wilt bekijken zijn Element en Wire. Element implementeert het Matrix-protocol dat ondersteuning biedt voor volledig versleutelde individuele en groepschats. Wire ziet er stijlvol uit, maar heeft slechts een kleine gebruikerscommunity.

Dus... wat moet je doen?

Er zijn voldoende redenen om WhatsApp te verlaten, maar zolang je vrienden het nog gebruiken, blijf je er op de korte termijn waarschijnlijk mee zitten. Maar dat betekent niet dat je een migratie maar moet vergeten.

De vraag is, waar moet je naar migreren? Uiteindelijk ligt dan aan je contacten. Veel vrienden zullen waarschijnlijk eerder overstappen naar Signal omdat het “gratis” is. Voor de minder technische vrienden is het een goed idee op ze te helpen met de configuratie van Signal. Je doet het niet alleen voor hen, maar voornamelijk ook voor jezelf.

Hoewel Threema een lichtend voorbeeld is als het gaat om privacy, is het gebruik voornamelijk beperkt tot Europa. Het bekende tegenargument is “maar het kost geld” kan eenvoudig van tafel worden geveegd door je vrienden aan te bieden om die rekening te betalen. Veel van hen zullen dan wel morrend zelf voor de app betalen.

Voor de tussenperiode waarin je nog vast zit aan WhatsApp, kunnen Android-gebruikers WhatsApp configureren in een apart werkprofiel zodat het aantal contacten dat binnen dat profiel is opgeslagen tot een minimum wordt beperkt. Recente Samsung-apparaten beschikken ook over een optie voor “Dual Messenger” om er voor te zorgen dat WhatsApp geen toegang heeft tot persoonlijke contacten (Instellingen > Geavanceerde functies > Dual Messenger > Gescheiden contacten gebruiken).