Een paar weken geleden stond WhatsApp in het oog van de storm. Door een bug in de messaging app konden hackers afluistersoftware installeren en mogelijk dus gesprekken beluisteren. De malware werd via de ‘voice calling’ functie geïnstalleerd en je hoefde zelfs niet op te nemen. Alles verliep zo gesofisticeerd dat de call automatisch uit je belgeschiedenis werd gewist. Behoorlijk ingenieus dus. Diverse media wijzen naar het Israëlische hackbedrijf NSO Group als ontwikkelaar van deze spionagesoftware. Zouden consumenten WhatsApp beter links laten liggen? Of moeten ondernemingen het gebruik ervan verbieden?
Is WhatsApp nu een onveilige app?
Neen, ik zou zelfs aanraden om dergelijke apps te blijven gebruiken in plaats van kleinere, onbekende tools. Want uiteraard heeft WhatsApp de kwetsbaarheid ondertussen al opgelost. Bedrijven zoals WhatsApp (en eigenaar Facebook) hebben eigen, gespecialiseerde teams in dienst die continu de eigen software checken op mogelijke bugs. Ook andere organisaties die zich bezighouden met IT-security scannen continu op malware en bugs en rapporteren deze aan de betrokken organisaties, die dan de nodige maatregelen kunnen nemen. Doordat dit op grote schaal gebeurt, mag je ervan uitgaan dat deze apps vrij veilig zijn.
Wat maakt dergelijke apps zo aantrekkelijk voor hackers?
De perfecte inbraak vraagt veel tijd en voorbereiding, wat het een dure aangelegenheid maakt. Dat geldt evenzeer voor malware. Voor een hacker is een van de belangrijkste factoren de ‘breedte’ van zijn aanslag. Hoe groot is de mogelijke impact? Wat is de mogelijke winst (bij ransomware bijvoorbeeld)? Een app zoals WhatsApp, met meer dan 1 miljard gebruikers wereldwijd, is dan een gegeerd doelwit. Hoge bomen vangen veel wind...
Zijn alternatieve messaging apps een betere oplossing?
Je kan WhatsApp links laten liggen en de alternatieven bekijken. Er zijn verschillende apps te downloaden, waarvan Telegram misschien de meest gekende en gehypete is. Het grote voordeel van een app als Telegram is dat het open source is. Met andere woorden, iedereen kan in de code kijken om er eventuele fouten uit te halen en door te geven aan de ontwikkelaars. Maar net die open source is ook een nadeel, want hackers kunnen dus ook in de code kijken, en eventuele kwetsbaarheden misbruiken. Nieuw is dit niet, want er woedt al twintig jaar een debat tussen voor- en tegenstanders van open source versus afgeschermde code.
Daarnaast is Telegram ook maar een app en kunnen in alle apps – hoe zorgvuldig developers ook zijn - fouten sluipen. Bovendien is Telegram ook niet meer zo’n kleine app, met meer dan 100 miljoen downloads (op Android OS alleen al). Telegram heeft dus ook al een brede basis en dat maakt de app op zijn beurt eveneens een aantrekkelijke prooi voor hackers.
Het dark web opzoeken dan maar?
Sommigen stellen me weleens de vraag of ze niet beter af zijn op het dark web. Daar zijn inderdaad apps terug te vinden om te chatten en te bellen. Maar zoals hierboven al vermeld: elke app kan fouten bevatten. Bovendien hangt er toch een ‘crimineel sfeertje’ rond het dark web, en je hebt geen garantie dat die onbekendere messaging apps geen malware bevatten.
Maar wat belangrijker is: je moet het onderscheid tussen ‘veilig’ en ‘anoniem’ maken. Veilig betekent dat je boodschap – als we bij communicatietools zoals WhatsApp blijven – end to end encrypted is. Met andere woorden: als iemand onderweg de data zou onderscheppen, kan die daar in principe weinig mee aanvangen. Op dat vlak is het gebruik van de app zelfs veiliger dan gewoon met elkaar bellen via de smartphone of klassieke lijn. Die kan immers vrij eenvoudig worden afgeluisterd.
Anoniem daarentegen betekent dat de afzender moeilijk tot niet te traceren is. Dat is een van de belangrijkste redenen waarom mensen het dark web gebruiken. En dan moet je nog opletten, want in de klassieke definitie van het dark web kijkt men al snel naar de Tor-browser. Dat is een soort layer die alle gegevens (je IP-adres...) afschermt, maar je gebruikt nog steeds dezelfde klassieke computerprogramma’s. Dus als je de Tor-browser afsluit, zit je nog steeds achter je ‘klassieke computer’ en is je IP-adres wel te achterhalen.
Als je weet wat je doet, kan je op het dark web dus veilig en anoniem communiceren. Het duister web opzoeken voor al jouw communicatie is echter niet nodig. Als je gewoon berichten wilt sturen naar bekenden, zijn communicatietools zoals WhatsApp nog steeds een prima keuze.