Stelling: vroeger was alles beter. Neem bijvoorbeeld de zeggenschap die je tegenwoordig hebt over jouw online privécommunicatie. Vroeger, ten tijde van de “brievenbus”, kon je om van een gênante liefdesbrief af te komen deze daadkrachtig de openhaard in (laten) kegelen. Je kon er dan redelijk op vertrouwen dat je die niet meer terug zou zien. Hoe zit dat eigenlijk met de moderne vervangers van de brief, zoals bijvoorbeeld MSN-, Email-, WhatsApp-, Facebook- , Instagram- en Pinterest berichten? Niet al die berichten hoeven, wat mij betreft, teruggelezen te worden. De vraag is dus hier, of het hedendaags “verwijderen” van jouw berichten op je iPhone hetzelfde resultaat oplevert als de openhaard? Volgens Jonathan Zdziarski, iOS expert op het gebied van “digital forensics and security”, helaas niet.
Hoe zit dat eigenlijk bij WhatsApp?
Zdziarski heeft geconstateerd dat, ondanks het feit dat WhatsApp in april veelvoudig in het nieuws is geweest met mooie verhalen omtrent encryptie, er toch wederom enkele haken en ogen blijken te zitten aan de cyberveiligheid van deze communicatie-applicatie. WhatsApp schijnt namelijk de logs van conversaties te bewaren, dit betekent dat zelfs nadat jij al jouw WhatsApp berichten hebt verwijderd, er loggegevens achterblijven waarmee jouw berichten gereconstrueerd kunnen worden. Dit betekent overigens niet dat WhatsApp opzettelijk jouw berichten zit te bewaren. Het probleem zit hem in het feit dat WhatsApp gebruikmaakt van SQLite om data lokaal te kunnen opslaan. SQLite werkt op een dusdanige manier dat op het moment dat jij jouw berichten “verwijdert”, SQLite deze berichten eerst opslaat in een zogenaamde “freelist”. Pas bij een gebrek aan opslagruimte worden deze “freelists” overschreven. SQLite maakt bovendien back-ups van deze (log)gegevens in de iCloud en enig ander apparaat waar de applicatie op gebruikt wordt. Dit is hoofdzakelijk een probleem bij Apple applicaties, zoals iMessage, maar kennelijk dus ook bij Facebook-dochter WhatsApp. Volgens Zdziarski gaat het hier niet om een bewuste actie, maar slechts om een tekortkoming in de “design” van SQLite.
Rekening houdend met het feit dat de encryptie van WhatsApp zich alleen richt op de verzending van berichten (end-to-end) en dus niet op de opgeslagen (log)gegevens in de SQLite databank, is Zdziarski van mening dat de gebruikers hiervan op de hoogte moeten zijn. Volgens hem is het namelijk op dit moment erg gemakkelijk om deze loggegevens hieruit op te vragen, en dit gebeurt volgens hem dan ook veelvuldig door bijvoorbeeld Amerikaanse opsporingsdiensten.
Wat gaat er volgens Zdziarski nu precies fout?
1) WhatsApp bewaart de door jouw verwijderde berichten in de vorm van een log.
2) Geen van jouw back-ups in de iCloud, die dus ook een kopie van jouw log bevatten, zijn beveiligd met encryptie en daardoor relatief makkelijk te kraken (dit is tevens een tekortkoming van Apple).
3) Hetzelfde geldt voor back-ups opgeslagen op je MacBook of iPad. Raak je deze kwijt, besef dan dat het hiervoor geschetste zich kan voordoen.
4) Vindt iemand jouw iPhone op straat, dan kan deze persoon met enkele, niet al te lastige hacktechnieken jouw verwijderde berichten reconstrueren.
Moeten we ons zorgen maken?
Nee, zegt Zdziarski. Er is geen reden voor paniek, maar het is volgens hem wel goed dat gebruikers van WhatsApp op de hoogte zijn van deze informatie. Mocht je wel eens (bedrijfs)gevoelige informatie of (bijzondere) persoonsgegevens delen op Whatsapp, pas hier dan mee op. Raak je je iPhone namelijk kwijt, dan zou men aan de haal kunnen gaan met deze gegevens. Vooralsnog lijkt het volledig verwijderen van de applicatie, de enige “bulletproof” oplossing voor dit probleem. Gooi je jouw oude iPhone/MacBook/iPad weg of verkoop je deze, verwijder dan voor de zekerheid even alle applicaties. Tot op heden zijn Whatsapp en Apple nog niet met een reactie gekomen.
