Whatsapp is een populaire messagingdienst met wereldwijd enkele honderden miljoenen gebruikers. Het succes van Whatsapp is te danken aan een lekker lage aanschafprijs van € 0,89 (voor de iPhone variant) en het feit dat het via de databundel werkt. Daardoor is het een perfect alternatief voor de relatief dure sms. Daarnaast kunnen gebruikers ook foto’s, video’s en geluidsbestanden verzenden en ontvangen (MMS).

Naar aanleiding van de wijze waarop Whatsapp functioneert en de gebruikersrechten die de app vraagt, heeft het Nederlandse CBP in samenwerking met de Canadese OPC een onderzoek uitgevoerd naar de app. Blijkens het onderzoek was Whatsapp in overtreding van zowel Nederlandse als Canadese privacyregelgeving. Naar aanleiding van het onderzoek zijn op moment van schrijven al enkele wijzigingen aangebracht aan de app.

Het onderzoek:
Het CBP is bij het onderzoeken van het functioneren van Whatsapp bijzonder grondig te werk gegaan. Het CBP heeft digitaal onderzoek verricht naar de app. De privacy policy en de voorwaarden zijn forensisch vastgelegd. De app is geïnstalleerd op smartphones op naam van het CBP en er zijn foto’s/screenshots gemaakt van het installatieproces en de gebruiksmogelijkheden van de app. Er zijn berichten uitgewisseld tussen de smartphones en de beveiliging van het berichtenverkeer is geanalyseerd met packet analyse software. Dit is gedaan met tal van besturingssystemen waaronder iOS, Android en Symbian.

Bevindingen:
In het kader van overzichtelijkheid blijft dit overzicht beperkt tot de belangrijkste bevindingen van het onderzoek. Voor zover de bevindingen van het onderzoek al tot aanpassingen hebben geleid, zal dat hier meteen worden meegenomen.

  • Voor het gebruikt van Whatsapp moet verplicht toegang worden gegeven tot het volledige elektronische adresboek. Deze functionaliteit wordt gebruikt om te tonen wie van de contactpersonen ook Whatsapp gebruikt. Whatsapp bewaart daarbij ook de mobiele telefoonnummers van niet-gebruikers. Dit is bovenmatig gebruik van persoonsgegevens en derhalve in strijd met zowel Nederlands als Canadees recht. Om het verzenden van berichten mogelijk te maken, hoeft WhatsApp namelijk niet alle telefoonnummers uit hun adresboek te bewaren. Daarbij moet overigens worden opgemerkt dat gebruikers van iOS 6 de mogelijkheid hebben om handmatig contacten met wie zij willen whatsappen toe te voegen in plaats van dat zij verplicht toegang moeten geven tot hun volledige adresboek.
  • WhatsApp verwerkte en verstuurde de berichten op onversleutelde wijze. Dat maakte het onderscheppen van berichten in leesbare vorm door derden mogelijk. Inmiddels is het berichtenverkeer via Whatsapp versleuteld.
  • WhatsApp genereerde voor het inloggen met de app op de server wachtwoorden door gebruik te maken van het gehashte wifi-MAC-adres op iPhones en van het gehashte IMEI-toestelnummer op andere typen smartphones. Bij hashen kan de juistheid van een ingevoerd wachtwoord kan worden gecontroleerd door de hashwaarde van de invoer te vergelijken met de hashwaarde van het wachtwoord zoals die reeds in de database is opgeslagen. Voor zo’n controle hoeft men het
    wachtwoord zelf niet te kennen. Met de implementatie zoals Whatsapp die had gekozen, lopen gebruikers het risico dat hun wachtwoord wordt nagemaakt c.q. achterhaald waarna namens hen berichten zouden kunnen worden verstuurd en gelezen. Inmiddels heeft Whatsapp een nieuwe methode om wachtwoorden te genereren. Gebruikers dienen een update te installeren om een nieuw wachtwoord toegewezen te krijgen. Voor degenen die dit niet doen blijft het risico bestaan.

Wat volgt:
In Nederland zal de handhavingsfase ingaan. Het CBP zal hierin bekijken in hoeverre de geconstateerde overtredingen voortduren en beslissen of handhavende maatregelen nodig zijn. Het Canadese OPC heeft geen mogelijkheid om sancties op te leggen maar de ervaring leer dat bedrijven over het algemeen netjes meewerken. Overigens heeft heeft WhatsApp naar aanleiding van het onderzoek aangekondigd dat het restrisico in de wachtwoordbeveiliging aangepakt zal worden voor degenen die niet updaten naar een recentere versie. Er zal betere informatie komen over de bewaartermijnen van persoonsgegevens en het toevoegen van een waarschuwing/pop-up over de verspreiding van statusberichten – als gebruikers hun statusbericht aanpassen – staat ook op de agenda voor productontwikkeling. Daarbij heeft Whatsapp nog geen termijnen genoemd over wanneer implementatie verwacht kan worden.

Bron:
Rapport ‘De verwerking van persoonsgegevens door WhatsApp’ via cbpweb.nl

Comments closed.