Als u wilt voorkomen dat de overheid, hackers, uw internetprovider of wie dan ook uw privéberichten kan onderscheppen en lezen, doet u er goed aan een veilige berichten-app gebruiken. En vooral een die gebruikmaakt van versleutelde berichten.

Zoals u waarschijnlijk hebt opgemerkt (tenzij u onder een steen woont, wat misschien nog helemaal niet zo'n slecht idee is), is internetprivacy een van de meest besproken onderwerpen van deze tijd. Vorig jaar trok het Amerikaanse Congres wetgeving in die tot doel had gegevens te beschermen tegen verkoop door internetserviceproviders. In 2016 nam het Britse parlement de Investigatory Powers Act aan (ook wel bekend als "Snooper’s Charter"), die de bevoegdheid om persoonsgegevens te verzamelen van de Britse geheime diensten en politie uitbreidt. En ook op dit moment is internetprivacy volop in het nieuws. Weet u eigenlijk hoe veilig úw online communicatie is?

Wat maakt een berichten-app veilig?

Eind-tot-eindversleuteling

Wanneer u een berichten-app kiest, moet u allereerst controleren of de app gebruikmaakt van eind-tot-eindversleuteling. Eind-tot-eindversleuteling houdt in dat uw privéchatberichten door elkaar worden gehusseld en dat alleen de verzender en de ontvanger van de berichten over de "sleutels" beschikken waarmee ze kunnen worden gelezen. Zo kunnen alleen u en de persoon waarmee u communiceert de berichten ontcijferen.

Ironisch genoeg werd versleuteling aanvankelijk beschouwd als iets voor paranoïde mensen of mensen die iets te verbergen hadden, zoals dissidenten. Pas toen klokkenluider Edward Snowden geheime documenten openbaar maakte waarin de wereldwijde spionageactiviteiten van het Amerikaanse nationale veiligheidsbureau NSA werden onthuld, drong het belang van versleuteling en onlineprivacy tot de wereld door. Sindsdien hebben vele bedrijven (waaronder Facebook, Apple en Google) hun software in allerijl voorzien van versleutelingsfunctionaliteit.

Versleuteling als standaardinstelling

Dat een app is voorzien van eind-tot-eindversleutelingsfunctionaliteit wil nog niet zeggen dat dit de standaardinstelling is. Bij sommige berichten-apps moet u de versleutelingsfunctie zelf inschakelen in de instellingen. Andere apps versleutelen berichten alleen in bepaalde scenario's (bijvoorbeeld blauwe iMessages versus groene tekstberichten). Omdat we nog niet zo lang waarde hechten aan versleuteling, nemen veel mensen simpelweg aan dat een app veilig is, zonder te weten of en wanneer hun berichten worden versleuteld.

Open broncode

Hoewel het gezien de angst voor "reverse-engineering" of "achterdeurtjes" in de programmacode misschien niet zo voor de hand ligt om de broncode van een app prijs te geven, wordt dit nu algemeen beschouwd als een aanwijzing voor de integriteit van de app. Open broncode maakt de app toegankelijk voor controle door externe deskundigen, wat kan helpen om zwakke punten of kwetsbaarheden in de code aan het licht te brengen.

Gegevens verzamelen

Hoewel berichten-apps tegenwoordig vaak zijn voorzien van eind-tot-eindversleutelingsfunctionaliteit, verzamelen ze soms nog steeds gegevens over de gebruiker, de zogenaamde metadata. Metadata zijn een soort elektronische vingerafdruk en omvatten gegevens over de persoon met wie u communiceert (via uw contactenlijst), de duur en het tijdstip van het gesprek, naast informatie over het apparaat dat u gebruikt, uw IP-adres, uw telefoonnummer en meer. Het installeren van een VPN-app op uw mobiele toestel, zoals AVG Secure VPN voor Android of AVG Secure VPN voor iOS, is een eenvoudige en effectieve manier om dit soort informatie te beschermen.

Populaire berichten-apps in volgorde van veiligheid

1. Signal

Logo berichten-app Signal

Signal, voorheen TextSecure Private Messenger genaamd, wordt door cryptograaf Bruce Schneier en Edward Snowden aangeprezen als de gouden standaard voor berichtbeveiliging. Signal is verkrijgbaar als gratis berichten-app voor iPhone en Android-telefoons, maar wordt toch meer gezien als een berichtenplatform omdat berichten via de eigen gegevensinfrastructuur worden verzonden.

Beveiligingsfuncties van Signal

  • Eind-tot-eindversleuteling: Net als bij WhatsApp zijn berichten die via Signal worden verstuurd alleen zichtbaar voor verzender en ontvanger. Zelfs het bedrijf achter de app, Open Whisper Systems, kan de berichten niet ontsleutelen. Behalve expresberichten verzenden kan de gebruiker ook bellen, groepsberichten versturen en versleutelde videogesprekken voeren.
  • Opensource: Signal maakt gebruik van open broncode die iedereen kan bekijken. Dit type transparantie maakt routinematige controle mogelijk en zorgt ervoor dat de beveiliging van de app altijd up-to-date is.
  • Verdwijnende berichten: Voor extra veiligheid is het in Signal mogelijk verzonden en ontvangen berichten na een bepaalde tijd te laten "verdwijnen".
  • Gegevensopslag: In tegenstelling tot veel andere berichten-apps slaat Signal alleen metadata op die nodig zijn voor de werking van de app, zoals telefoonnummers, willekeurige sleutels en profielinformatie.
  • Wachtwoordbeveiliging: U kunt Signal ook met een wachtwoord vergrendelen. Uw berichten zijn dus zelfs veilig als uw telefoon in verkeerde handen valt.

Beveiligingsrisico's van Signal

Het mooiste van Signal is dat de app vrijwel geen beveiligingsrisico's kent. Zolang de ontwikkelaars van de app ijverig alle kwetsbaarheden blijven oplossen, prijkt Signal boven aan de lijst van veilige apps.

2. Wickr Me

Logo berichten-app Wickr Me

Wickr, dat verkrijgbaar is voor zowel iPhone als Android-telefoons, onderscheidt zich van andere apps door veilige berichtopties aan te bieden voor persoonlijk gebruik (Wickr Me) en voor bedrijven (Wickr Pro). Wickr Me is gratis, Wickr Pro is een betaalde dienst met een gratis proefperiode van 30 dagen.

Beveiligingsfuncties van Wickr Me

  • Eind-tot-eindversleuteling: Wickr heeft dit jaar aangekondigd dat de 'Me'-service zal worden uitgebreid met versleuteld bellen en gesproken berichten als aanvulling op versleutelde tekstberichten. Beide nieuwe functies waren al aanwezig in de Pro-versie.
  • Schermopnamedetectie: Wickr heeft onlangs aangekondigd dat het een nieuwe functie gaat aanbieden waarmee gebruikers het maken van schermopnames kunnen detecteren. Dit houdt in dat u een bericht ontvangt wanneer iemand een schermopname maakt van een bericht dat u verstuurt.
  • Bescherming tegen schermoverlays: Op Android-apparaten heeft Wickr een nieuwe functie uitgebracht waarmee gebruikers schermoverlays kunnen uitschakelen. Dit voorkomt dat gebruikers met de app communiceren wanneer er een overlay wordt gedetecteerd en beschermt de app tegen TapJacking.
  • Toetsenborden van andere fabrikanten: Bij iOS kunt u het gebruik van toetsenborden van andere fabrikanten in Wickr blokkeren. Op die manier wordt voorkomen dat toetsenborden van derden gebruikersnamen, wachtwoorden en andere informatie registeren die u in de app intoetst.
  • Secure Shredder: Deze functie voegt een extra beveiligingslaag toe door al verwijderde bestanden te versnipperen en zo te voorkomen dat deze worden hersteld met speciale tools of technologie. Wickr doet dit regelmatig voor u, maar u kunt informatie ook handmatig van uw telefoon verwijderen.

Beveiligingsrisico's van Wickr Me

Net als Signal wordt Wickr in het algemeen beschouwd als zeer betrouwbaar op het punt van beveiliging. Het programma is in het verleden bekritiseerd omdat het de broncode geheim hield, maar afgelopen jaar heeft Wickr zijn cryptografische protocol vrijgegeven op github. Raadpleeg voor meer technische informatie over de beveiliging van de app het document Wickr Customer Security Promises.

3. Dust

Logo berichten-app Dust

Dust, voorheen bekend onder de naam Cyber Dust, is het geesteskind van Mark Cuban en is verkrijgbaar voor zowel iOS als Android. Het belangrijkste doel van de app is het versturen van privéberichten (zogenaamde "Dusts") naar uw contactpersonen (ook het verzenden van foto's en video's is mogelijk). Zoals de naam van de app al aangeeft, vallen berichten binnen 100 seconden na lezing "tot stof uiteen" en verdwijnen ze volledig. Een ander type bericht, "Blasts", kan naar een groep worden gestuurd, maar wordt privé gelezen. Ten slotte kunt u groepschats starten ("Groups").

Beveiligingsfuncties van Dust

  • Eind-tot-eindversleuteling: Het versleutelingsmodel van Dust wordt uitgelegd op de website van Dust, hoewel u de programmacode zelf niet kunt inzien. U kunt versleutelde tekstberichten, foto's of videoberichten versturen, maar spraak- en videogesprekken zijn niet mogelijk.
  • Geen permanente opslag: Uw berichten worden niet bewaard op uw telefoon of de servers van het bedrijf (in plaats daarvan worden ze naar het RAM-geheugen van de app gestuurd totdat ze door de ontvanger worden geopend), en u kunt uw berichten ook verwijderen van de apparaten van anderen.
  • Waarschuwingen bij schermopnames: Wanneer iemand een schermopname van een bericht maakt op een Android-telefoon, wordt de naam van de afzender verwijderd, waarmee de context van de conversatie feitelijk wordt geëlimineerd. Op Apple-apparaten is het blokkeren van schermafbeeldingen niet mogelijk. Daarom ontvangen iPhone-gebruikers een bericht wanneer iemand een schermopname maakt van een verzonden bericht.
  • "Auto-Dust": Berichten worden automatisch gewist binnen 24 uur of zodra ze zijn gelezen. De keuze is aan u.

Beveiligingsrisico's van Dust

Dust kent op dit moment geen noemenswaardige beveiligingsrisico's, afgezien van het gebrek aan transparantie en de potentiële risico's die samenhangen met het feit dat de programmacode van de app niet openbaar is.

4. WhatsApp

Logo berichten-app WhatsApp

Met meer dan een miljard gebruikers is WhatsApp een van de populairste berichten-apps van dit moment. Die populariteit is beslist een van de sterke punten van deze app, samen met het feit dat WhatsApp gratis beschikbaar is voor zowel iPhones als Android-telefoons en geen advertenties toont. Het is heel eenvoudig om tekstberichten, foto's, korte video's en spraakberichten te versturen. Maar zijn WhatsApp-chats privé?

Beveiligingsfuncties van WhatsApp

  • Eind-tot-eindversleuteling: In april 2016 voerde WhatsApp op alle mobiele platforms een superveilig versleutelingsprotocol in dat was ontwikkeld door Open Whisper Systems (het bedrijf achter de berichten-app Signal). Dankzij dit protocol bezitten alleen de afzender en de ontvanger de sleutel om via WhatsApp verzonden berichten te ontsleutelen, wat betekent dat niemand anders toegang heeft tot de berichten of deze kan lezen. Ook spraak- en videoberichten worden versleuteld.
  • Controle van versleuteling: Via het contactinformatiescherm van WhatsApp hebt u toegang tot "Beveiligingscode controleren". Daarmee kunt u controleren of al uw gesprekken en tekstberichten versleuteld zijn met eind-tot-eindversleuteling. De code wordt getoond als QR-code en als 60-cijferig getal.
  • Tweestapsverificatie: Met deze optionele functie kunt u uw account extra beveiligen door een pincode in te stellen die nodig is om uw telefoonnummer te verifiëren op een ander apparaat.
  • Opslag van berichten: Het bericht staat alleen op een WhatsApp-server van het moment waarop u het verzendt tot het moment waarop het wordt afgeleverd bij de ontvanger. Als het bericht om welke reden dan ook niet kan worden afgeleverd, wordt het bericht na 30 dagen van de server verwijderd.

Beveiligingsrisico's van WhatsApp

  • Niet-versleutelde back-ups: WhatsApp-berichten kunnen niet worden onderschept tijdens de verzending, maar hoe zit het met back-ups van het bericht op iCloud of Google Drive? Het goede nieuws voor iPhone-gebruikers is dat iCloud-back-ups van WhatsApp-berichten sinds eind 2016 worden versleuteld. Maar back-ups van Android-berichten op Google Drive worden niet versleuteld en zijn dus potentieel kwetsbaar voor hackers, overheden die Google met de wet in de hand zouden kunnen dwingen uw berichten over te dragen of zelfs voor Google zelf. Dus hoe kunt u als Android-gebruiker uw privacy op WhatsApp beschermen? Gelukkig kunt u het maken van back-ups van WhatsApp-berichten op Google Drive uitschakelen.
  • Privacyproblemen van Facebook: WhatsApp werd in 2014 overgenomen door Facebook. Bestaande zorgen over het verzamelen door het socialemediaconglomeraat van informatie over zijn gebruikers gingen daarmee naadloos over op de berichten-app. Hoewel Facebook WhatsApp-gebruikers liet weten dat het versleutelde WhatsApp-berichten op geen enkele manier kan bekijken, kondigde WhatsApp aan dat het metadata van gebruikers zou delen met Facebook voor verschillende doeleinden, zoals gerichte advertenties.

5. Telegram

Logo berichten-app Telegram

Telegram heeft meer dan 200 miljoen gebruikers op iPhone en Android en wint sinds de start in 2013 gestaag aan populariteit. De app staat bekend om de unieke groepschatfunctie die tot 100.000 deelnemers ondersteunt. In 2018 leidde een conflict met de Russische regering over de weigering van de app-producent om de sleutels over te dragen tot een totaalverbod van de app in het land. Daarnaast is Telegram controversieel omdat het de voorkeursberichten-app van ISIS zou zijn, een twijfelachtige eer. Dit heeft het debat over de primaire verantwoordelijkheid van berichten-apps – meewerken met de autoriteiten of strikte bescherming van de gebruikersgegevens – verder aangewakkerd.

Beveiligingsfuncties van Telegram

  • Eind-tot-eindversleuteling: Telegram biedt de functie "Secret Chat", waarmee u uw berichten via eind-tot-eindversleuteling kunt beschermen. Deze functie is niet standaard actief en u moet dus weten hoe u deze inschakelt.
  • Vergrendeling met toegangscode: U kunt een code van vier cijfers instellen om te voorkomen dat indringers zich toegang verschaffen tot uw berichten. Dit kan nuttig zijn als u uw telefoon verliest of deze wordt gestolen.
  • Tweestapsverificatie: Bij tweestapsverificatie, een functie die u vindt in de instellingen, hebt u zowel een sms-code als een wachtwoord nodig om u aan te melden bij de app (weet wat u niet moet doen wanneer u een wachtwoord instelt). Daarnaast kunt u een e-mailadres voor herstel opgeven voor het geval dat u uw wachtwoord vergeet.
  • Open broncode: Om te waarborgen dat de broncode, het protocol en de API van Telegram naar behoren werken kan iedereen deze controleren.
  • "Cracking Contest": Telegram daagt hackers uit om de versleuteling van het bedrijf te kraken en berichten te ontcijferen en biedt iedereen die hierin slaagt een beloning van 300.000 dollar.
  • Zichzelf vernietigende berichten: Zoals veel andere berichten-apps is Telegram voorzien van een "zelfvernietigingstimer" (uitsluitend voor "Secret Chats") waarmee privétekstberichten en -media binnen een vooraf ingestelde tijdslimiet worden verwijderd.
  • Afmelden op afstand: Omdat u zich op meerdere apparaten tegelijk bij Telegram kunt aanmelden (internet, pc, tablet, smartphone, enz.), biedt de app u de mogelijkheid om u via het instellingenmenu op het apparaat dat u op dat ogenblik gebruikt af te melden bij andere sessies op andere apparaten. Op die manier kunt u ervoor zorgen dat uw berichten veilig zijn bij verlies of diefstal van uw apparaat.
  • Zelfvernietiging account: Als uw account gedurende een bepaalde tijd inactief is geweest (de standaardduur is zes maanden), wordt deze automatisch vernietigd, waarbij alle berichten en media volledig worden gewist.

Beveiligingsrisico’s van Telegram

  • Eind-tot-eindversleuteling is niet standaard: U moet de functie "Secret Chat" van Telegram handmatig inschakelen, anders worden chats alleen versleuteld tussen uw apparaat en de server van Telegram.
  • Mogelijke zwakke plekken in de versleutelingstechnologie: Telegram heeft een eigen MTProto-protocol ontwikkeld in plaats van een protocol te gebruiken dat zich al bewezen heeft, zoals het Signal-protocol. Veel deskundigen vragen zich af wat de reden hiervoor was en zijn sceptisch over het gebrek aan transparantie rond het protocol.

6. Apple iMessage

Logo app iMessage

iMessage, de expresberichtenservice van Apple Inc., wordt ondersteund door de Messenger-toepassing in iOS versie 5.0 en hoger. iMessage, waarmee tekst, documenten, video's, foto's, contactgegevens en groepsberichten kunnen worden verzonden via internet, is heel populair bij iPhone-gebruikers (en kan alleen worden gebruikt voor berichten tussen iPhone-gebruikers). We hebben al een aantal tips om de iPhone veilig te houden behandeld, maar is iMessage veilig?

Beveiligingsfuncties van iMessage

  • Eind-tot-eindversleuteling: Eind-tot-eindversleuteling beveiligt alleen berichten tussen iPhone-gebruikers (die blauw worden weergegeven). Als u bijvoorbeeld een bericht stuurt naar een Android-gebruiker, wordt dit verzonden als een normaal tekstbericht (groen weergegeven), dat niet is versleuteld. Anders dan bij veel van de andere apps in deze lijst lijkt Apple niet van zins een iMessage-versie voor Android uit te brengen. Hoewel spraak- en videogesprekken niet rechtstreeks mogelijk zijn in iMessage, biedt de zuster-app FaceTime die mogelijkheid wel (met versleuteling).
  • Zichzelf vernietigende berichten: Veel iMessage-gebruikers weten niet dat de app een functie bevat waarmee de gebruiker kan bepalen hoe lang foto's, video's en berichten zichtbaar zijn voordat ze verdwijnen. Daarnaast kan worden ingesteld hoe vaak iemand een bericht kan bekijken. Deze functie is echter alleen beschikbaar in iOS 10 en hoger.
  • Verwijdering van iMessages van servers: Uw versleutelde berichten blijven 7 dagen op de servers van Apple staan, waarna ze worden verwijderd.

Beveiligingsrisico’s van iMessage

  • Zwakke plekken in de versleuteling: In 2016 onthulden onderzoekers van de Johns Hopkins-universiteit een fout in de versleuteling van Apple, die iMessage mogelijk kwetsbaar maakt voor het ontsleutelen van iMessage-berichten. De fout werd snel opgelost, maar dit wierp niettemin vragen op over de veiligheid van het versleutelingsprotocol van de app, dat geheim is en niet door derden kan worden gecontroleerd.
  • Back-ups in iCloud: Als u een back-up van uw iMessages maakt in iCloud, worden deze berichten in iCloud versleuteld met een sleutel die onder de zeggenschap van het bedrijf valt. U hebt er niets over te zeggen. Dit betekent dat de berichten kunnen worden onthuld als uw iCloud-account wordt gehackt of als de rechter toegang tot de berichten eist. En hoewel Apple duidelijk stelt dat het geen "achterdeurtjes" in het systeem inbouwt of de versleuteling afzwakt, is in het verleden gebleken dat zij en andere technologiebedrijven keer op keer samenwerken met de autoriteiten waar het gaat om het overdragen van informatie die is opgeslagen in de cloud.

7. Facebook Messenger

Logo app Facebook Messenger

De berichten-app van Facebook is beschikbaar voor iPhones en Android-telefoons en is dankzij zijn populariteit een handig medium om in contact te blijven met vrienden en familie.

Beveiligingsfuncties van Facebook Messenger

  • Eind-tot-eindversleuteling: In 2016 voegde Facebook de functie Secret Conversations toe om berichten te beveiligen met het eind-tot-eindversleutelingsprotocol van Signal (dat ook wordt gebruikt door WhatsApp). Bij Signal en WhatsApp is deze functie echter standaard ingeschakeld, terwijl Secret Conversations moet worden geactiveerd.
  • Zichzelf vernietigende berichten: U kunt Facebook Messenger-berichten zo instellen dat ze zichzelf vernietigen na een bepaalde tijd (tussen vijf seconden en 24 uur).

Beveiligingsrisico's van Facebook Messenger

  • Versleuteling niet standaard: Zoals hierboven vermeld, moet de gebruiker eind-tot-eindversleuteling voor berichten zelf activeren. Wanneer de gebruiker het bericht zonder eind-tot-eindversleuteling verstuurt, wordt het bericht versleuteld wanneer het naar de Facebook-server wordt verstuurd en daarna opnieuw wanneer het naar de ontvanger gaat (terwijl het bericht bij eind-tot-eindversleuteling wordt versleuteld bij verzending en gedecodeerd bij ontvangst). Er blijft dus een kopie van het bericht achter op de servers van Facebook.

App om te vermijden: Google Hangouts

Logo van berichten-app Google Hangouts

Aan Google Hangouts, dat gratis verkrijgbaar is voor iOS en Android, kleven tal van privacy- en beveiligingsproblemen. Hoewel hangout-gesprekken worden versleuteld, maakt de app geen gebruik van eind-tot-eindversleuteling. In plaats daarvan worden de berichten "onderweg" versleuteld. Dit betekent dat ze alleen zijn versleuteld tussen uw apparaat en de Google-servers. Zodra ze daar zijn gearriveerd, heeft Google volledige toegang tot de berichten. Als Google hierom wordt gevraagd, kan het privécommunicatie aftappen en de informatie doorspelen naar overheidsinstellingen. En gezien het transparantierapport van Google, waarin wordt onthuld dat het bedrijf inderdaad verzoeken om klantinformatie ontvangt en hier vaak aan voldoet, is er echt reden tot zorg.

Bovendien worden afbeeldingen die via Hangouts worden verstuurd, gedeeld via openbare URL's, wat betekent dat vrijwel iedereen (die iets weet over URL's) uw privéafbeeldingen kan bekijken. Deze app moet u dus beslist niet gebruiken om... privacygevoelige... plaatjes te versturen.

Hoe blijf ik veilig?

Wij vinden dat iedereen recht heeft op onlineprivacy, maar soms moet dat recht met enige voortvarendheid worden beschermd tegen diegenen die graag onbelemmerde toegang willen tot uw privégegevens. In een ideale wereld gebruikt iedereen een superveilige berichten-app als Signal of Wickr om te communiceren. Maar gezien de populariteit van minder veilige of op privacygebied twijfelachtige apps als Facebook Messenger of WhatsApp, is dat niet altijd mogelijk en moet u soms voor een middenweg kiezen.

Besluit u een minder veilige berichten-app te gebruiken, combineer die dan met VPN-bescherming, zoals AVG Secure VPN, om uw informatie zo goed mogelijk te beschermen.

AVG Secure VPN GRATIS uit te proberen

 

AVG Secure VPN GRATIS uitproberen