woensdag, 22 april 2020
Als onderdeel van een project door Free Press Unlimited voor een mobiele versie van Publeaks heeft het Centre for Innovation van de Universiteit Leiden onderzoek gedaan naar de metadata risico’s van het gebruik van communicatieplatforms zoals WhatsApp, Signal en Facebook Messenger.

In Secure Communications Networks zetten onderzoekers een methode uiteen om deze apps te beoordelen op basis van hoe ze metadata verzamelen en produceren. Lees meer over het onderzoek en bekijk het gehele rapport hier. Free Press Unlimited informatiebeveiligings- en technologiemedewerker Hisham Almiraat, die het onderzoek beoordeelde, legt uit waarom metadata ertoe doen.

Waarom is het belangrijk voor ons allemaal om meer te weten over metadata in communicatie-apps?

Almiraat: wanneer je via instant-communicatie-apps zoals WhatsApp, Signal en Facebook Messenger communiceert, is het bijna alsof je een brief in een envelop stuurt. Alleen jij en je ontvanger kunnen de inhoud van je bericht zien. Maar om het bericht te kunnen afleveren, moet bepaalde informatie, zoals de bestemming, op de buitenkant van de envelop worden aangebracht, waar het voor iedereen mogelijk zichtbaar kan zijn. Dat is wat metadata is.

Er zijn bedrijven die meer informatie verzamelen dan strikt noodzakelijk is, bijvoorbeeld om redenen gerelateerd aan hun bedrijfsmodel. Dit doen ze niet perse met slechte bedoelingen, maar het is belangrijk dat gebruikers weten wat voor soort informatie ze weggeven als ze via dergelijke apps met iemand praten.

Deze studie is onderdeel van het Free Press Unlimited Publeaks Mobile project. Hoe komt dit ten goede van de journalisten die met klokkenluiders werken?

Almiraat: onderzoeksjournalisten die een gemakkelijke manier willen bieden aan mensen om contact met hen op te nemen, zonder mogelijk hun identiteit prijs te geven, kunnen voor een dilemma komen te staan. WhatsApp wordt veelal gebruikt en is gemakkelijk toegankelijk. Het is ook een zeer stevige en veilige service als je de inhoud van je berichten wilt beschermen. Maar het is niet zo'n goede service als het gaat om metadata. Het verzamelt metagegevens over bijvoorbeeld het gebruikte telefoonnummer en het besturingssysteem op de telefoon.

Het zou kunnen zijn dat een ingenieur die voor bijvoorbeeld Facebook (het moederbedrijf van WhatsApp) werkt en toegang tot deze gegevens heeft, de link weet te leggen en iemand kan identificeren. Omdat Facebook in de VS is gevestigd en onder VS jurisdictie valt, kan de FBI of een andere Amerikaanse wetshandhavingsinstantie met een correct bevel het bedrijf dwingen om informatie over gebruikers te overhandigen. Als een journalist van mening is dat dit de beveiliging van zijn bron in gevaar kan brengen, zou hij of zij moeten overwegen om een andere communicatie-app te gebruiken, zoals Signal, die de metadata versleutelt.

Vanwege Covid-19 werken velen van ons momenteel vanuit huis en zijn wij extra afhankelijk van online communicatie-apps. Is er iets waar we rekening mee moeten houden wanneer we videoconferenties met onze collega's organiseren?

Almiraat: Toen de Britse premier Boris Johnson de videoconferentie-tool Zoom gebruikte om een foto van zijn kabinetsvergadering te tweeten, veroorzaakte dat veel ophef. Veel mensen wilden weten hoe veilig het is om dergelijke apps te gebruiken. Zoom gebruikt op dit moment geen end-to-end-encryptie, wat betekent dat een derde partij zou kunnen meeluisteren. Zoom heeft beloofd het probleem op te lossen, maar je zou op je hoede moeten zijn.

Als je deel wilt nemen aan een online pubquiz, is het geen probleem om Zoom te gebruiken. Als je een serieus gesprek wilt voeren, wees dan voorzichtig met wat je zegt als je Zoom gebruikt. Als het een vertrouwelijke vergadering is, zou je kunnen overwegen om over te schakelen naar Jitsi, wat misschien minder gebruiksvriendelijk of minder performant is dan Zoom, maar omdat het open source is kan iedereen het zelf hosten, waardoor het risico dat een derde partij toegang krijgt tot oproepen, wordt uitgesloten.