Uit een schokkend intern memo van het beveiligingsteam van WhatsApp blijkt dat er sprake is van een gevaarlijke kwetsbaarheid waarmee overheidsinstanties de belangrijkste encryptie van de berichten-app kunnen omzeilen en kunnen controleren met wie gebruikers communiceren.
De eerder niet gerapporteerde dreigingsbeoordeling, die werd verkregen door de onderzoeksjournalisten van The Intercept , waarschuwt dat hoewel de werkelijke inhoud van WhatsApp-gesprekken veilig blijft, slimme technieken voor verkeersanalyse kunnen onthullen “wie er in een groep zit, wie met wie een bericht stuurt en… wie met wie belt.”
WhatsApp-ingenieurs schreven in een rapport dat naar het hogere management van Meta Platforms (META) werd gestuurd dat natiestaten actief “de encryptie van [Meta] omzeilen” om privé-gebruikersmetadata zoals groepslidmaatschappen en belgegevens te ontmaskeren – informatie die beschermd zou moeten zijn. Hoewel het memo geen specifieke landen noemt die het lek uitbuiten, schetst het een verontrustend beeld van massale overheidssurveillance.
“WhatsApp zou de voortdurende exploitatie van kwetsbaarheden in verkeersanalyse moeten verminderen, waardoor het voor natiestaten mogelijk wordt om te bepalen wie met wie praat”, benadrukte het dreigingsbeoordelingsrapport. “Onze risicogebruikers hebben robuuste en levensvatbare bescherming tegen verkeersanalyse nodig.”
Technieken voor verkeersanalyse kunnen op WhatsApp worden gebruikt om de affiliaties van gebruikers te identificeren
De kwetsbaarheid kan worden uitgebuit via een techniek die ‘traffic analysis’ heet, waarbij patronen in gecodeerde internetdatastromen worden geobserveerd in plaats van de codering zelf te kraken. Zelfs als de berichten die tussen gebruikers worden uitgewisseld niet relevant zijn qua inhoud, kunnen activiteitspieken tussen specifieke gebruikers verbanden tussen hen onthullen.
“Inspectie en analyse van netwerkverkeer zijn voor ons volledig onzichtbaar, maar het onthult de verbindingen tussen onze gebruikers”, aldus de evaluatie. Daarbij wordt opgemerkt dat zaken als gesynchroniseerde berichtenreeksen tussen groepsleden kunnen worden gebruikt om privé-interacties te identificeren.
Hoewel dit geavanceerde bewakingsmogelijkheden zou vereisen door gebruik te maken van de communicatie-infrastructuur van een land, onthult het memo dat dit meer is dan theoretische technieken. Het rapport geeft hints dat verkeersanalyse actief wordt gebruikt door landen die verdragen voor het delen van gegevens hebben, zoals de “Five Eyes”-alliantie, waaronder Australië, Canada, het Verenigd Koninkrijk, Nieuw-Zeeland en de Verenigde Staten.
Een ander voorbeeld is het gebruik van deze technologie door landen waarvan de infrastructuur wordt gebruikt door buurlanden of bezette landen. Een voorbeeld hiervan zou ook Israël kunnen zijn, dat ervan wordt beschuldigd technologie te hebben gebruikt om verdachte militanten in de naburige Gazastrook aan te vallen tijdens het huidige gewapende conflict.
Christina LoNigro, een woordvoerder van Meta Platforms, merkte op: “WhatsApp heeft geen achterdeurtjes en we hebben geen bewijs van kwetsbaarheden in de manier waarop WhatsApp werkt.”
Deskundigen wijzen er echter op dat Meta problemen die hun applicaties beïnvloeden, negeert totdat ze zo opvallen of zo bekend zijn dat ze niet meer onder het tapijt geveegd kunnen worden.
“Meta heeft de slechte gewoonte om pas te reageren als het een overweldigend probleem wordt”, aldus een anonieme bron binnen het bedrijf tegenover The Intercept .
“De spanning zal altijd bestaan uit marktaandeel, marktdominantie, de focus op de grootste bevolkingsgroep in plaats van een kleine groep mensen die enorm geschaad zou kunnen worden”, voegde de bron toe.
Het rapport presenteerde een aantal voorstellen die WhatsApp zouden kunnen helpen zijn gebruikers te beschermen tegen “correlatie-aanvallen” en “verkeersanalyse”. Enkele van de opties die op tafel liggen, zijn het verzenden van lokgegevens om de gesprekken en interacties van gebruikers te verbergen en het creëren van een veilige modus die aanvullende maatregelen treft om de digitale voetafdruk van gebruikers verder te verbergen.
Ingenieurs zijn het erover eens dat het probleem groter is dan wat de huidige beveiligingsmechanismen van WhatsApp kunnen oplossen.
“We moeten eerst allemaal akkoord gaan om deze strijd aan te gaan en als één team te opereren om bescherming te bouwen voor deze kwetsbare, beoogde gebruikers. Dit is waar de theorie van WhatsApp’s algemene productprincipe van privacy en individuele teamprioriteiten in evenwicht moet worden gebracht”, concludeert het rapport.
Rapport wijst op moorden in Gaza veroorzaakt door digitale bewaking
Deze recente interne waarschuwing heeft geleid tot zorgen onder WhatsApp-medewerkers. Zij vrezen dat met name Israël de kwetsbaarheid zou kunnen misbruiken als onderdeel van zijn hightechcampagne om Palestijnen te identificeren en te vermoorden. Deze Palestijnen worden gezien als een militaire bedreiging en veroorzaken enorme nevenschade.
Het Israëlische programma van ‘gerichte moord’-operaties in de Gazastrook wordt steeds meer beïnvloed door digitale bewakings- en kunstmatige-intelligentiesystemen die worden gebruikt om enorme datasets van inwoners van de aangrenzende regio te analyseren.
Een gezamenlijk onderzoek door het Israëlische tijdschrift +972 en Local Call bracht vorige maand lekken aan het licht die suggereerden dat het Israëlische leger een softwareplatform genaamd “Lavender” heeft dat automatisch mobiele data, internetverkeer en andere bronnen kruisverwijst om elke Palestijn in Gaza een risicoclassificatie van 1 tot 100 toe te kennen dat hij een militant is.
Lees ook: De toekomst van sociale media zijn berichten-apps: welke rol spelen merken hierin?
Volgens bronnen van het onderzoek binnen Israëlische militaire inlichtingenkringen, wordt er zwaar geleund op hoge Lavender-scores om Palestijnen te selecteren die het doelwit zullen zijn van dodelijke droneaanvallen en andere dodelijke operaties. WhatsApp-activiteit werd aangehaald als een van de specifieke datapunten die deze AI-aangedreven targetingsystemen voeden.
“Een individu met meerdere belastende kenmerken zal een hoge beoordeling krijgen en wordt daardoor automatisch een potentieel doelwit voor moord”, aldus het gezamenlijke rapport van +972 en Local Call.
Volgens lekken verkregen door 972 en Local Call, wacht de IDF vaak tot de verdachte militant naar huis gaat om ze te bombarderen, waardoor hele families het risico lopen om te sterven of ernstig gewond te raken. Als dit waar is en de IDF de kwetsbaarheid van WhatsApp gebruikt om deze huizen te targeten, dan heeft Meta niets minder dan een extreem moreel dilemma aan hun hoofd.
“WhatsApp-gebruik is een van de vele persoonlijke kenmerken en digitale gedragingen die het Israëlische leger gebruikt om Palestijnen te markeren voor de dood”, meldde The Intercept na de onthulling van Lavender. De berichten-app blijft enorm populair onder de 2,3 miljoen inwoners van Gaza.
Het moederbedrijf van WhatsApp, Meta, heeft opvallend stilgestaan over het mogelijke misbruik van zijn platform als accessoire bij deze rapporten. Toen hem om commentaar werd gevraagd, hield LoNigro vol dat het memo over verkeersanalyse slechts “theoretisch” was en niet verwees naar een specifieke kwetsbaarheid in de software van het bedrijf.
LoNigro wilde niet zeggen of Meta heeft onderzocht of Israël de kwetsbaarheid misbruikt tegen Palestijnse gebruikers, zoals in het memo wordt gewaarschuwd.
Meta is mogelijk niet bijzonder geïnteresseerd in het oplossen van het probleem – dit is waarom
Uit de evaluatie blijkt dat de beveiligingsmedewerkers van WhatsApp de ernst van de dreiging erkennen, maar er wordt ook opgemerkt dat het effectief voorkomen van aanvallen op basis van verkeersanalyse waarschijnlijk de bruikbaarheid en prestaties van de app voor de miljarden gebruikers zou aantasten.
Technieken zoals het invoegen van kunstmatige vertragingen in de berichtlevering of het constant verzenden van “decoy”-gegevens kunnen snuffelpogingen in de weg zitten, maar zouden WhatsApp trager maken en de batterijen sneller leegtrekken. Deze afwegingen kunnen Meta ervan weerhouden deze oplossingen te gebruiken, omdat ze hun concurrentiepositie met rivaliserende apps als Telegram en Signal in gevaar zouden brengen. Het kan ook zijn dat het bedrijf gewoonweg geen waardevolle technische middelen wil gebruiken om het probleem op te lossen.
Bovendien benadrukten de ingenieurs dat de voorgestelde oplossingen averechts kunnen werken, omdat verkeersanalisten ze ook kunnen gebruiken om patronen te identificeren.
“Mensen die deze functie aanzetten, kunnen ook als een zere duim opvallen, wat op zichzelf een beslissing over de targeting zou kunnen beïnvloeden”, vertelde Matthew Green, hoogleraar cryptografie, aan The Intercept. “[Het zou] echt jammer zijn als de persoon die dit doet een kind is.”
Digitale voetafdrukken geven landen extra mogelijkheden om zich in te laten met ‘gerichte’ oorlogen
Voor privacyactivisten en mensenrechtenorganisaties onderstreept het WhatsApp-dreigingsbeoordelingsrapport de noodzaak om de reikwijdte van versleutelde communicatie uit te breiden om gebruikers te beschermen tegen geavanceerde metadata-analyses.
“De huidige messenger-diensten zijn niet ontworpen om deze metadata te verbergen voor een tegenstander die alle kanten van de verbinding kan zien,” benadrukte Green. “Het beschermen van content is slechts de helft van de strijd. Met wie je communiceert [en wanneer] is de andere helft.”
Het conflict in Gaza laat zien hoe digitale oplossingen worden gebruikt voor doeleinden zoals massale doelgerichte aanvallen en geleide raketaanvallen.
In het rapport van +972 en Local Call worden verschillende bronnen binnen het Israëlische leger aangehaald die de software die wordt gebruikt om personen te rangschikken op basis van hun mogelijke banden met Hamas, omschrijven als ‘koud’ en ‘ongeëvenaard’.
Terwijl het conflict in Gaza voortduurt en er nog geen einde in zicht is, nemen de berichten over moorden op basis van kunstmatige intelligentie toe. Dit leidt tot wijdverbreide verontwaardiging over de rol van Big Tech bij het helpen van militaire eenheden bij het identificeren van doelen door de digitale voetafdruk van mensen te analyseren.
Zowel binnen als buiten Meta en andere bedrijven neemt de druk toe om de manier waarop hun tools omgaan met de privacy van gebruikers te herzien – niet alleen voor een bevoorrechte minderheid, maar dat is ook de bedoeling.
Zal het bedrijf investeren in verdere verbetering van WhatsApp’s gegevensbeschermingsmaatregelen? Wat op dit moment duidelijk lijkt, is dat de huidige encryptie alleen niet genoeg is om individuen te beschermen tegen geavanceerde bewakingsprogramma’s.
![Top 10 mijnbouwbedrijven ter wereld op basis van marktkapitalisatie [update 2024]](https://snaplyft.nl/wp-content/uploads/2024/09/Untitled-4.jpg)
![Wat is een digitale maker? Hoe word je een digitale maker [stap voor stap]](https://snaplyft.nl/wp-content/uploads/2024/09/Untitled-5.jpg)
![Top 10 bedrijven in India op basis van marktkapitalisatie [update 2024]](https://snaplyft.nl/wp-content/uploads/2024/09/Top-10-bedrijven-in-India-op-basis-van-marktkapitalisatie-update-2024.jpg)
