Google-zoekopdrachten, omdat de zoekmachine links indexeert naar gesprekken die bedoeld zijn om privé te zijn.
SOPA Images/LightRocket via Getty Images
Mensen gebruiken WhatsApp om te chatten met hun vrienden en familie omdat het makkelijk te gebruiken en privé is. Maar de versleutelde app is misschien niet zo privé als je denkt.
WhatsApp-groepschats kunnen gemakkelijk worden gevonden via een Google-zoekopdracht, omdat de zoekmachine links indexeert naar gesprekken die bedoeld zijn om privé te zijn.
Het enige wat nodig is, is een snelle Google-zoekopdracht en iedereen kan deelnemen aan een reeks WhatsApp-chats, inclusief die bedoeld zijn om privé te zijn, volgens de gewaardeerde tech-site Vice die het verhaal voor het eerst brak.
Private WhatsApp-gesprekken zijn meestal alleen toegankelijk via een uitnodigingscode die door de chatmoderator aan groepsleden wordt uitgedeeld. Maar deze code is gewoon een reeks tekst en een URL, en het lijkt erop dat ten minste een aantal van deze worden geïndexeerd, zodat ze zijn vindbaar door iedereen via Google.
U kunt zien of een van uw prive-chats zichtbaar zijn door het intypen van chat.whatsapp.com en dan in sommige details met betrekking tot de groep chat toe te voegen.
Wat is er gebeurd?
Op Twitter gisteren (21 februari), een multimedia-journalist voor de Duitse outlet Deutsche Welle, Jordan Wildon gaf een waarschuwing: “Je WhatsApp-groepen zijn misschien niet zo veilig als je denkt dat ze zijn.”
Hij detailleerde hoe de “Invite to Group via Link” functie “het mogelijk maakt dat groepen worden geïndexeerd door Google” en “ze zijn algemeen beschikbaar op het hele internet.”
Met andere woorden, Wildon legde uit: “Elke groepslink die wordt gedeeld buiten veilige, privéberichten kan relatief gemakkelijk worden gevonden en lid worden.”
En het wordt nog erger: zelfs als je de link niet hebt gedeeld, zei hij “het is mogelijk, maar moeilijk, om een soort brute-force methode uit te voeren om toegang te krijgen tot een URL die overeenkomt met een actieve groepschat.”
Renommeerde ethische hacker Jane Manchun Wong bevestigde dit in een latere tweet, eraan toevoegend dat 470.000 zoekresultaten kunnen worden gevonden op Google voor de term “chat.whatsapp.com”-een deel van de URL die wordt gebruikt voor WhatsApp-groepsuitnodigingen.
Veel van de links leiden naar gevoelige onderwerpen zoals porno, vond Vice. Een vluchtige zoektocht door deze schrijver vond een aantal soortgelijke links gemakkelijk beschikbaar.
Hoewel het waar is dat sommige van de links bedoeld zijn om open te zijn voor het publiek, vond Vice ook chats die de telefoonnummers blootlegden van 48 deelnemers aan een WhatsApp-groepsgesprek tussen wat niet-gouvernementele organisaties geaccrediteerd door de Verenigde Naties leken te zijn.
Ik heb contact opgenomen met WhatsApp’s eigenaar Facebook en Google voor een reactie en zal dit verhaal bijwerken als ze reageren.
Waarom gebeurt dit?
Snel nadat de kwestie aan de orde werd gesteld, legde Google’s publieke zoekverbindingsman Danny Sullivan uit wat er aan de hand was. “Zoekmachines zoals Google en anderen geven een lijst van pagina’s van het open web. Dat is wat er hier gebeurt. Het is niet anders dan elk ander geval waarin een site toestaat dat URL’s publiekelijk worden vermeld.”
Maar ethische hacker @HackrzVijay zei dat hij het probleem al in november aan WhatsApp-eigenaar Facebook had gemeld, en Facebook had er niets aan gedaan. In feite is het een “opzettelijke productbeslissing”, zei Facebook, en groepsbeheerders “kunnen de link desgewenst ongeldig maken.”
Bovendien, hoewel Facebook toegaf dat het “verrast” was dat de links door Google worden geïndexeerd, zei het dat het niet kan controleren wat Google indexeert.
Maar dit is slecht, toch?
Het is zeker niet ideaal, vooral als je WhatsApp gebruikt voor gevoelige gesprekken. Jake Moore, cyberbeveiligingsspecialist bij ESET zegt dat de mogelijkheid om chats zo gemakkelijk te vinden “volkomen afschuwelijk” is.”
“Ik zie geen heilzame reden waarom welke partij dan ook dit als een goed idee zou zien. Het laat WhatsApp er alleen maar minder veilig uitzien. Het mag dan in het midden versleuteld zijn, maar als je toegelaten wordt tot een groepschat, heb je de versleutelingssleutel om verder te lezen.”
Hoewel Moore geen van zijn eigen chats vond, zocht hij naar “The Girls”-de naam van een groep waar zijn vrouw lid van was- en vond talloze andere groepen met dezelfde naam, inclusief pornogerelateerde conversaties.
Wat te doen
WhatsApp is end-to-end versleuteld, maar het is nu eigendom van Facebook, dat Instagram, Facebook Messenger en WhatsApp aan de achterkant integreert.
Na een reeks dataschandalen, privacyproblemen en inbreuken vertrouwen veel mensen Facebook niet, dus het kan zinvol zijn om iets anders te proberen. ESET’s Moore raadt aan om de chat-apps Signal of Telegram te gebruiken die, zegt hij, “zich meer richten op de veiligheid en privacy van gebruikers.”
Beveiligingsonderzoeker Sean Wright is het daarmee eens. Hij zegt dat iedereen die zich zorgen maakt over privacy Signal zou moeten proberen “omdat het er niet naar uitziet dat Facebook of Google hier veel aan gaan doen.”
Persoonlijk geef ik de voorkeur aan Signal, dat een aantal consumentvriendelijke functies toevoegt en superveilig en gemakkelijk te gebruiken is. Het komt erop aan wat je je vrienden en familie kunt laten doen. Misschien kun je ze dit verhaal laten zien en het eens worden over de beste app voor jullie allemaal.
–
Update 23 februari om 03:20 ET
Het probleem lijkt nu te zijn verholpen op Google, wat volgens mij te wijten zou kunnen zijn aan een stille wijziging die WhatsApp-eigenaar Facebook heeft doorgevoerd. Ik heb opnieuw contact opgenomen met beide bedrijven voor commentaar en zal meer updates geven zodra ik ze hoor.
Het probleem is er echter nog steeds bij gebruik van andere grote zoekmachines, en WhatsApp groepsmoderators moeten zeer voorzichtig zijn. Jordan Wildon raadt aan om naar de groepsinstellingen te gaan, te tikken op “Uitnodigen voor groep via link” en vervolgens op “Link resetten”.
Dit schakelt de link niet uit: het genereert een nieuwe, demonstreerde hij in een tweet.
Volg me op Twitter of LinkedIn.