Tag: onveilig

Verwijderde foto’s en video’s in Snapchat terugkijken: hoe doe je dat?

Snapgrab, Snapcapture, SuperSnap… Er zijn genoeg manieren om Snapchat-foto’s te bewaren en herstellen, ook al pretendeert de app ze direct te vernietigen. Hoe kan dat?

Snapchat is een chat-applicatie die verzonden foto’s en video’s vernietigt na een door de verstuurder ingestelde tijdlimiet. De app is dan ook doodsimpel: maak een foto, voeg tekst toe, kies een tijdlimiet en verstuur. De geadresseerde heeft vervolgens maximaal tien seconden om de inhoud van het bericht te zien. In theorie verdwijnt het vervolgens voorgoed van je telefoon.

De enige ‘legale’ manier om de ontvangen foto te bewaren is om in binnen die tijdlimiet een screenshot te maken. Snapchat rapporteert echter wanneer de ontvanger een schermafbeelding maakt.

Er is echter een manier om foto’s van Snapchat te bewaren en zodoende te herstellen, ook al zijn ze zogenaamd verwijderd. Verschillende apps gebruiken de techniek en zijn inmiddels verwijderd uit Google Play om exact die reden.

Hoe zit het met bekeken Snapchat-foto’s?

Wanneer je een foto of video in Snapchat voor Android hebt geopend en de tijd is verstreken, dan wordt het bestand vervolgens niet direct verwijderd. De foto of video wordt opgeslagen op je telefoon met een speciale extensie, namelijk ‘nomedia’. Zo worden ze als het ware onzichtbaar voor je telefoon.

De map waarin Snapchat ontvangen foto’s en video’s bewaart (bron)

Wat vervolgens gebeurt is dat Snapcat Android instrueert onzichtbare bestanden te verwijderen, wanneer de zogenaamde ‘caches’ worden gereinigd van tijdelijke bestanden. Zo werkt de app sneller, omdat het geheugen niet volloopt met afbeeldingen en video’s.

Foto’s en video in Snapchat herstellen

Voor de recente 4.0-update van Snapchat kopieerde je eenvoudigweg de nomedia-bestanden naar een andere map met je file manager, om vervolgens de afbeeldingen te openen. Een deel van de uit Google Play verwijderde apps deed precies dat.

En zelfs wanneer een foto of video was verwijderd, was het nog mogelijk om ‘m te herstellen met behulp van toepassingen als Dumpster, die per ongeluk verwijderde bestanden herstelt.

Maar met de update naar versie 4.0 heeft Snapchat encryptie toegevoegd aan je foto’s en video’s. De nomedia-extensie verwijderen is inmiddels niet meer voldoende om berichten te herstellen: nu moeten de gegevens ook worden gedecodeerd. Zo leken de privacy-problemen van Snapchat in een klap opgelost.

‘Verwijderde’ berichten decoderen

De door Snapchat gekozen versleuteling is echter zwak. Al in 2013 werd Snapchat door specialisten van GibSec gewaarschuwd dat het systeem niet veilig was. Snapchat negeerde de waarschuwing, waarna GibSec de volledige code online zette.

Met deze code herstel je geopende Snapchat-foto’s en video’s (bron)

Zoals aangegeven op de XDA-forums, wordt de sleutel tot het ontcijferen van ‘gewiste’ afbeeldingen en video’s inmiddels al gebruikt. Met informatie als deze is het mogelijk om JPG’s en video’s te ontcijferen in seconden, en er zijn apps die gebruik maken van deze zwakte om Snapchat-bestanden te herstellen.

Waarom is Snapchat zo onveilig?

De beslissingen die Snapchat heeft genomen tonen het bedrijf de performance van de app en het plezier van de gebruikers boven de veiligheid stellen. De oprichter van Snapchat gaf het zelf letterlijk toe en zei dat zijn doel niet de veiligheid, maar ‘het plezier dat gebruikers hebben met de app’ voorop staat.

Dergelijke beslissingen zijn niet bijzonder. Ook WhatsApp heeft soortgelijke veiligheidsproblemen moeten doorstaan als gevolg van de elders liggende prioriteiten. Wil je zeker zijn van je zaak, probeer dan een van deze vijf veilige alternatieven.

Gebruik jij Snapchat?

Is WhatsApp eigenlijk wel veilig? Het lijkt er niet op…

Wanneer een app beweert zeer veilig te zijn, hebben we twee mogelijkheden: de ontwikkelaar op zijn woord vertrouwen of zelf op onderzoek gaan. Voor WhatsApp wijst dat onderzoek uit dat het populaire chatprogramma allesbehalve veilig is. Iedereen, mits die over de juiste middelen beschikt, kan meelezen met je berichten.

WhatsApp beweert op zijn site dat de communicatie tussen jouw telefoon en hun server wordt gecodeerd en er dus geen gegevens bewaard blijven. WhatsApp versleutelt je berichten met een technisch veilig systeem waarbij berichten worden gecodeerd voor ze verzonden worden en maar tijdelijk op de server opgeslagen worden. Hoe WhatsApp deze berichten versleutelt, blijkt echter niet zo veilig te zijn.

Er zijn al programma’s waarmee je WhatsApp-berichten decodeert

Thijs Alkemade, een Nederlandse student, ontdekte dat het mogelijk is om WhatsApp-berichten te ontcijferen, omdat het systeem gebruik maakt van dezelfde coderingssleutels voor beide richtingen. Deze storing beïnvloed de Android- en Symbian-versies van WhatsApp. Tot nu toe is er geen oplossing voor. De conclusie van de Nederlandse student: “beschouw alle gesprekken die je tot nu toe hebt gevoerd als onveilig.”

De CEO van WhatsApp, Jan Koum, reageerde als volgt:

WhatsApp neemt beveiliging serieus en is voortdurend bezig met de verbetering van het product. We waarderen de feedback, maar vinden dat het artikel meer theoretisch van aard is. Zeggen dat alle chats onveilig zijn, is onjuist. Het is sensationeel en overdreven.

Theoretisch van aard dus. Twee Spaanse onderzoekers, Jaime Sanchez en Pablo San Emetorio, onderwierpen Alkemades theorie aan een test. En wat blijkt? Met de door Sanchez en San Emetorio ontwikkelde app WhatsApp Message Decoder, gebaseerd op de bevindingen van Alkemade, is het wel heel makkelijk om WhatsApp-berichten te decoderen.

San Emeterio en Sanchez gingen nog een stapje verder en presenteerden een mogelijke oplossing, die bestaat uit het vervangen van de encryptie en het vermijden van de officiële servers. Hiermee willen ze, zoals ze uitleggen in een interview met het Spaanse dagblad El Mundo, voorkomen dat iedereen toegang tot je gesprekken kan krijgen.

Diagram van de verbetering van Sanchez en San Emeterio (bron)

WhatsApp belandt hierdoor weer in een precaire positie. In de geschiedenis van het bedrijf is immers al vaker sprake geweest van een beveiligingslek. In 2012 bleek je met WhatsApp Sniffer heel makkelijk berichten te kunnen onderscheppen. WhatsApp loste de bug op middels een update, maar het leed was al geleden.

Veiligere, maar weinig gebruikte alternatieven

De onveiligheid van WhatsApp heeft geleid tot de opkomt van een nieuwe generatie messaging apps die veiligheid hoog in het vaandel hebben staan. Anders dan de apps die zich richten op het versturen van beveiligde berichten, gaat het hierbij vooral om het sturen van sms’jes, zoals bij WhatsApp.

De eerste is Heml.is, van de makers van het controversiële Pirate Bay. Op het moment van schrijven is Heml.is nog niet beschikbaar, maar het lijkt een zeer interessant, gratis alternatief voor WhatsApp te worden, met een heldere en aantrekkelijke interface. Door een combinatie van technieken, waaronder een vervaldatum voor berichten, wordt alles wat je verstuurt goed versleuteld.

Een andere optie is het reeds verkrijgbare Telegram, een beveiligde messaging app van de makers van VK, het Russische Facebook. De app werd kort na het schandaal rond de NSA gelanceerd en is beschikbaar voor zowel Android als iPhone. Telegram versleutelt berichten en laat deze zichzelf vernietigen. De servers bevinden zich over de hele wereld. De geheime chats worden niet opgeslagen in de cloud.

Uit Spanje komt Woowos, dat niet alleen je berichten versleutelt. maar ook grappig icoontjes toont als je bericht is afgeleverd, gelezen, verwijderd voor het gelezen is of gewist na het gelezen is. Zo wordt de complexiteit van beveiligde communicatiesystemen wat eenvoudiger gemaakt.

Geen van deze apps heeft een grote gebruikersgroep. Waarom? Eén van de redenen kan zijn omdat ze lastig in gebruik zijn. Het succes van WhatsApp komt mede door de eenvoud van het programma. Hoe ingewikkelder het wordt om een bericht te versturen, des te groter is de kans dat een app niet succesvol wordt.

Threema geeft aan de veiligheid van de gesprekken met een eenvoudige verkeerslicht (bron)

De enige apps die de concurrentie met WhatsApp aan kunnen gaan zijn degene die ondersteuning van een besturingssysteem of fabrikant hebben (Skype, BBM, ChatON) of veel extra functies hebben, zoals Viber of LINE. Geen van de beveiligde apps bieden meer dan WhatsApp al doet, waardoor er weinig te winnen is bij verandering.

Waarom verbetert WhatsApp zelf de veiligheid niet?

“Maar ik heb helemaal niets te verbergen, dus wat kan mij het schelen als mijn berichten onveilig verzonden worden?” Zo denken veel mensen erover. Wil je wel per se iets geheim houden, dan verstuur je het op een andere manier.

Het gaat echter niet alleen om jouw berichten, maar ook om de berichten die anderen jou sturen. In India wordt WhatsApp bijvoorbeeld door artsen gebruikt om röntgenfoto’s en andere zaken die bescherm worden door het medisch beroepsgeheim te sturen. Je wilt toch niet dat iedereen dat in kan zien? Moraal van het verhaal: bescherm je privacy, ook al “heb je niks te verbergen”.

Er zijn artsen die röntgenfoto’s en andere gevoelige gegevens versturen via WhatsApp

Bovendien is de veiligheid van een dienst niet alleen een persoonlijke kwestie, maar ook een principekwestie. Een dienst heeft de morele en wettelijke verplichting om de privacy van zijn gebruikers te beschermen tegen afluisteren en diefstal van informatie. Zelfs als het de gebruikers niks kan schelen, zou het bedrijf zich er wél druk over moeten maken. Bescherming van privacy is in ieders belang (behalve dan dat van de NSA).

Als het zo belangrijk is, waarom doet WhatsApp dan niet meer aan de veiligheid?

Maximale veiligheid is duur om te implementeren en te onderhouden, en bovendien vaak onhandig voor de gebruikers. WhatsApp veiliger maken betekent dat je aan het fundament van een applicatie die door miljoenen mensen wordt gebruikt moet gaan sleutelen. Dat moet stap voor stap gebeuren en je gebruikers mogen er geen last van hebben. WhatsApp moet een snelle en eenvoudige messaging app blijven.

Veiligheid lijkt niet de grootste zorg te zijn van een meerderheid van de gebruikers en ontwikkelaars. In ieder geval is het zo dat als verbeterde veiligheid ervoor zorgt dat een app trager werkt, het zijn aantrekkingskracht verliest. Daarom hebben de veilige alternatieven voor WhatsApp tot dusver zo weinig succes.

We hebben zowel WhatsApp als Alkemade en San Emeterio en Sanchez benaderd om hun mening te geven over de veiligheid in WhatsApp, maar hebben tot op heden nog geen antwoord ontvangen.

Wat denk jij over de veiligheid van WhatsApp?