Signaal wordt lange tijd beschouwd als de gouden standaard voor veilige, privécommunicatie. De kernbelofte is gebaseerd op end-to-end-encryptie, die ervoor zorgt dat alleen de afzender en de ontvanger een bericht kunnen lezen, en functies voor ‘verdwijnende berichten’ die ervoor zorgen dat er geen digitaal spoor achterblijft.
Een recent rapport van 404 Media heeft echter een aanzienlijke kwetsbaarheid aan het licht gebracht: de FBI kon de Signal-berichten van een verdachte lezen, zelfs nadat de gebruiker de app van zijn apparaat had verwijderd.
De kwetsbaarheid: een zijdeur via meldingen
Bij de inbreuk was er geen sprake van het ‘breken’ van de encryptie van Signal. In plaats daarvan maakten onderzoekers gebruik van een technisch neveneffect van de manier waarop smartphones met waarschuwingen omgaan.
Wanneer u een bericht ontvangt, gebruikt uw telefoon pushmeldingen om u te waarschuwen. Om deze meldingen nuttig te maken, slaat het besturingssysteem vaak een voorbeeld van de berichtinhoud op, zodat deze op uw vergrendelingsscherm kan worden weergegeven. In dit specifieke geval kon de FBI deze berichten uit de iPhone-database met pushmeldingen halen.
Dit onthult een cruciale realiteit van mobiele beveiliging: versleuteling beschermt alleen de gegevens terwijl deze worden verzonden of opgeslagen in de app zelf. Als het besturingssysteem van de telefoon een voorbeeld in platte tekst van dat bericht maakt om u een melding te tonen, wordt dat voorbeeld een afzonderlijk, niet-gecodeerd stukje gegevens dat zich in de systeembestanden van uw telefoon bevindt.
Waarom dit belangrijk is voor de privacy
Dit is niet alleen een signaalprobleem; het is een systemisch probleem dat vrijwel elke berichten-app treft die pushmeldingen gebruikt. Zelfs als een app wiskundig gezien ‘onhackbaar’ is, kan de manier waarop deze met het besturingssysteem van de smartphone (iOS of Android) communiceert, ‘lekken’ veroorzaken.
Voor privacybewuste gebruikers betekent dit dat juist de functie die is ontworpen voor gemak (de mogelijkheid om een fragment van een tekst te lezen zonder je telefoon te ontgrendelen) dezelfde functie is die kan worden gebruikt om de beveiliging op hoog niveau te omzeilen.
Hoe u uw signaalberichten kunt beveiligen
Het goede nieuws is dat deze fout gemakkelijk kan worden verholpen door een eenvoudige aanpassing van de instellingen. Om te voorkomen dat de inhoud van uw bericht wordt opgeslagen in de meldingendatabase van de telefoon, volgt u deze stappen:
- Open de Signaal -app.
- Tik op je profielfoto in de linkerbovenhoek om naar Instellingen te gaan.
- Selecteer de sectie Meldingen.
- Tik op Meldingsinhoud.
- Selecteer “Geen naam of inhoud.”
Als u deze instelling inschakelt, ontvangt u nog steeds waarschuwingen als u een nieuw bericht heeft, maar wordt niet weergegeven wie het bericht heeft verzonden of wat deze heeft gezegd. Om het bericht te lezen, moet u de app handmatig openen. Deze kleine verandering zorgt ervoor dat zelfs als een apparaat in beslag wordt genomen, de gevoelige inhoud achter de codering van Signal blijft vergrendeld in plaats van in een notificatielogboek te staan.
Conclusie
Hoewel end-to-end-encryptie een robuuste bescherming biedt voor gegevens die onderweg zijn, creëert de manier waarop mobiele besturingssystemen met meldingen omgaan een aanzienlijke maas in de wet. Het aanpassen van uw meldingsinstellingen om inhoud te verbergen is een cruciale stap om ervoor te zorgen dat uw ‘privé’-gesprekken echt privé blijven.
