Beveiligingsonderzoeker: 'anonieme' dienst Whisper verzamelt data gebruikers

Whisper kan wel degelijk gebruikers traceren. Dat zegt de bekende beveiligingsonderzoeker Jonathan Zdziarski vrijdag nadat Whisper ontkende dat dit het geval was. Dat deed Whisper na een kritisch artikel van The Guardian.

Zdziarski mengt zich daarmee in een felle discussie die donderdag ontstond na de publicatie van het artikel door The Guardian. The Britse krant schreef dat onder meer het Amerikaanse ministerie van Defensie soldaten zou volgen die hun ongenoegen via de Whisper-app uiten.

Volgens The Guardian kan Whisper individuele gebruikers volgen door locatiedata op te slaan. Daarvoor zou een mapping tool in de app zijn ingebouwd. Die tool staat naar verluidt toe om Whisper-gebruikers die het delen van de locatie toestaan, te traceren door middel van gps. Wie de locatiefunctie heeft uitgeschakeld, kan volgens The Guardian alsnog worden gevonden door ip-adressen van wifi-netwerken te analyseren.

De Britse krant meldde verder dat de locatiedata via een doorzoekbare database met het Amerikaanse ministerie van Defensie wordt gedeeld. In die database zou Whisper de locaties koppelen aan berichten en tijdstippen, waarmee iemand die de app gebruikt feitelijk niet meer anoniem is.

Beveiligingsonderzoeker Zdziarski, die vooral bekend is van het melden van kwetsbaarheden in iOS, bevestigt nu na eigen onderzoek dat Whisper aan iedere gebruiker een uniek nummer koppelt. Dat gebeurt volgens hem al op het moment dat iemand de applicatie voor het eerst start. Daarnaast kan de app volgens hem wel degelijk de locatie met gps achterhalen, tot op een afstand van minder dan honderd meter van de exacte locatie.

Ondanks de bevindingen ontkent Whisper stellig dat het gebruikers volgt. In een verklaring die topman Neetzan Zimmerman vrijdag via Twitter verspreidde, maakt het bedrijf duidelijk dat er wat Whisper betreft nagenoeg niets waar is van alle beschuldigingen. Hoewel het de locatie inderdaad voor een bepaalde tijd kan opslaan, zou het bedrijf die niet koppelen aan iemand. Ook zou het geen persoonlijke gegevens delen met overheidsinstanties.

Overigens paste Whisper de gebruikersvoorwaarden deze week wel aan. Daarin staat nu dat het gebruikers mag volgen, ook als de locatiediensten zijn uitgeschakeld. Volgens The Guardian gebeurde dit nadat redacteuren het bedrijf vertelden dat ze met een artikel over Whisper bezig waren.

Door Yoeri Nijs

Nieuwsposter

Feedback • 17-10-2014 17:57 24

17-10-2014 • 17:57

24

Lees meer

Apple neemt beveiligingsonderzoeker Jonathan Zdziarski in dienst
Apple neemt beveiligingsonderzoeker Jonathan Zdziarski in dienst Nieuws van 14 maart 2017
Nederlandse politie mag een smartphone niet zomaar doorzoeken
Nederlandse politie mag een smartphone niet zomaar doorzoeken Nieuws van 30 april 2015
'Facebook komt met mobiele app voor anoniem gebruik'
'Facebook komt met mobiele app voor anoniem gebruik' Nieuws van 8 oktober 2014
Beveiligingsonderzoeker: passcode iOS 8 is te omzeilen
Beveiligingsonderzoeker: passcode iOS 8 is te omzeilen Nieuws van 19 september 2014
Meer producten en artikelen
Smartphones Beveiliging en antivirus Politiek en recht

Reacties (24)

-Moderatie-faq
24
24
13
2
0
4
Wijzig sortering

Sorteer op:

Weergave:
Matthijs8 17 oktober 2014 19:29
Er wordt hier overal gepraat over berichten opslaan en WhatsApp, maar Whisper is helemaal geen private messenger, maar meer een soort van sociaal netwerk waar je 'anoniem' publieke berichten kan posten die op een kaart weergegeven worden.

Nog even om eventuele onduidelijkheid te voorkomen, deze Whisper van WhisperText LLC heeft niets te maken met de beveiligde communicatie apps van Open Whisper Systems.
Verwijderd @Matthijs817 oktober 2014 19:45
Aha! Goed dat je het zegt. Dat mag dan best wat duidelijker uit het artikel blijken. Dit gaat ten koste van een ander goed product.
Verwijderd 17 oktober 2014 18:00
Ik vond het al zo vreemd dat er opeens een wildgroei van 'prive messengers' was, het kan toch niet zo zijn dat iedereen opeens meneer snowden gelijk gaf, en dat blijkt dus wel, grote kans dat deze app gewoon gemaakt is met oog op het volgen van personen die graag anoniem blijven.

Mensen die zich verstoppen hebben immers wat te verbergen.
DeBierVampier @Verwijderd17 oktober 2014 18:05
Mensen die zich verstoppen hebben immers wat te verbergen.
M'n sarcasme-detector is kapot, dus vandaar de vraag om duiding; dit is sarcastisch bedoeld toch?
Verwijderd @DeBierVampier19 oktober 2014 14:18
Dat is geen sarcasme maar een diepe waarheid.

Voor overheden of machthebbers in wat voor zin dan ook, zijn zelfbewuste mensen een vloek. Mensen die opkomen voor rechten, zoals mensenrechten, waaronder privacy, zijn per definitie 'staatsgevaarlijk' omdat macht geen concurrentie toelaat. Kennis is macht en streven naar kennis en daarmee naar burgerrechten en mensenrechten is niet in het voordeel van machthebbers.

Machthebbers willen het liefst onwetende, naïeve burgers, die gewoon een voorspelbaar leven leiden. Die mensen kun je het makkelijkst controleren. Voor hun eigen bestwil natuurlijk, dat spreekt vanzelf...

Wie daarom opkomt voor rechten door zichzelf, ook als het niet nodig is of nodig wordt geacht, te beschermen tegen inbreuken op rechten, die is verdacht. Gewoon het feit dat je voor je rechten opkomt maakt je tegenwoordig al verdacht.

Iedereen kan zelf bedenken hoe ernstig dit eigenlijk is in een ICT wereld. Want, wat kun je nog als burger?

Het feit dat ik geen mobiele telefoon heb, maakt mij steeds meer verdacht. Alles wat buiten het gemiddelde valt wordt automatisch interessant? Ben ik een sleeper cel, waarom wil ik 'off-grid'?

Er kan een tijd komen waarin er hard geklopt wordt op mijn deur en of ik even mee wil komen om te verklaren waarom ik als laatste 3%, straks, in ons land, weiger een mobieltje te nemen?
Verwijderd @DeBierVampier17 oktober 2014 18:07
Ja en nee, ik denk zeker niet zo, maar de gemiddelde geheime diensten wel.
Pietervs @Verwijderd18 oktober 2014 10:25
Nee hoor: de gemiddelde geheime dienst wil gewoon iedereen kunnen volgen, ongeacht of die persoon zich wel of niet probeert te verbergen... :(
Verwijderd @Verwijderd17 oktober 2014 18:01
De doelgroep die je wilt hebben voor het 'afluisteren' is mensen die actief moeite doen, om niet afgeluisterd te worden, want die weten dat ze wat informatie te beschermen hebben.
brunoj 17 oktober 2014 18:08
Eigenlijk zou iets als Whatsapp plugins moeten toestaan. Dan zou iets als http://nonopticon.com (digital input - gewone taal output) geintegreerd kunnen worden in b.v. Whatsapp, . Als de "veilige modus" dan uit staat, leert zo'n app JOUW taalgebruik, en als je dan de "veilige modus" aanzet voor meer gevoelige berichten, ziet de geencrypteerde en verborgen data er precies hetzelfde uit als wat JIJ normaalgesproken zou zeggen; alleen de partijen met wie je de codeboek deelt kunnen uberhaupt bepalen dat het om een encryptie gaat, en dan alleen op basis van het gegeven dat ze het kunnen decrypteren.

Edit: typo

[Reactie gewijzigd door brunoj op 24 juli 2024 04:52]

Verwijderd @brunoj17 oktober 2014 18:35
je doet alsof whatsapp alleen bij je ingetypte tekst kan.
Whatsapp vraagt op het populairste mobiele platform ook gewoon schaamteloos toegang tot: je foto's, je sms, je email, microfoon en camera.
Bovenstaande allemaal met functionele reden,
Maar als je whatsapp niet vertrouwd is zijn de mogelijkheden Informatie te onderscheppen veel groter dan alleen je im berichtjes.
Verwijderd @Verwijderd17 oktober 2014 18:57
Eigenlijk zou je een sandbox moeten hebben waarin je WhatsApp laat draaien zodat enkel je berichten worden verzonden en ontvangen. WhatsApp kan verder niets doen.
Verwijderd @Verwijderd17 oktober 2014 19:43
Dat is allang mogelijk in Android. Dat heet Security Guard en daarmee kun je selectief rechten toekennen aan apps. Whatsapp draait bij mij in die 'sandbox'. Toegang tot camera, phone, record audio, sms, kalender en call log staan alle op 'denied' of' always ask' en geen van alle is al door whatsapp geprobeerd.

Helaas moet whatsapp wel toegang hebben tot de contactenlijst. Dat doen die telefoonnummer gebonden diensten handig. Een vaste username zou 100% sandboxed kunnen draaien. Maar klantinformatie is geld waard dus er is goed over het systeem nagedacht.
William_H @Verwijderd18 oktober 2014 02:59
Welkom BBM!! ;)
Don Kedero @Verwijderd18 oktober 2014 14:26
Ik maak gebruik van xPrivacy, het is niet echt een sandbox, maar je kan wel heel veel rechten beheren.

http://forum.xda-develope...roid-privacy-app-t2320783
http://www.xprivacy.eu/
https://crowd.xprivacy.eu/
Verwijderd @brunoj19 oktober 2014 14:20
Eigenlijk moet je gewoon stoppen met messengers gebruiken.
Verwijderd @Verwijderd20 oktober 2014 09:03
Niet helemaal mee eens, als het client-side encryptie heeft (en open source, zodat het controleerbaar is in plaats van dat je zo'n bedrijf op hun blauwe ogen moet vertrouwen) kan je in principe prima veilig communiceren.

En ik heb goede hoop op Bittorrent Bleep, en Telegram (mits secret chat mode) lijkt mij ook veilig.
kimborntobewild 18 oktober 2014 04:30
Elk bedrijf met een programma die GPS of andere locatiegegevens op kan slaan, zal op een gegeven moment door een veiligheidsdienst gedwongen kunnen worden dat het bedrijf zijn gegevens moet delen met die dienst. Hoe wijdverspreider/veelgebruikter het programma, hoe groter de kans dat ze al lang samenwerken met zulke diensten.
Verwijderd 17 oktober 2014 18:06
Gewoon gesponsord door NSA, Defensie etc, om de klokkenluiders de mond te snoeren voordat ze echt lekken. |:(
HMC 17 oktober 2014 18:56
Belangrijker dan waar men is als men wat zegt, is het opslaan van WAT men zegt.
Wordt dat ook opgeslagen? Nee dus.
Whisper mag dan MISSCHIEN wel een gaatje hebben en daaardoor weten zij, dus iedereen, WAAR je bent, maar weten ze ook wat je zegt?
Dat kan ik na een snelle read niet zo snel terugvinden.
Elmo_nl @HMC17 oktober 2014 19:27
De Britse krant meldde verder dat de locatiedata via een doorzoekbare database met het Amerikaanse ministerie van Defensie wordt gedeeld. In die database zou Whisper de locaties koppelen aan berichten en tijdstippen, waarmee iemand die de app gebruikt feitelijk niet meer anoniem is.

Je leest (iets) te snel.
HMC @Elmo_nl17 oktober 2014 19:47
Hmm,. dus niet.
Ze kunnen het inderdaad koppelen aan berichten, zoals jij zegt, maar de inhoud van het bericht is (na wat langer in de bronnen gelezen te hebben) NIET meegenomen.

Toch na langer lezen niet te snel gelezen.
arcadios2007 @HMC17 oktober 2014 20:32
Toch wel, vrees ik. Lees .
het bronartikel in The Guardian maar eens even door. En vooral deze passage:
User data, including Whisper postings that users believe they have deleted, is collated in a searchable database. The company has no access to users’ names or phone numbers, but is storing information about the precise time and approximate location of all previous messages posted through the app. The data, which stretches back to the app’s launch in 2012, is being stored indefinitely, a practice seemingly at odds with Whisper’s stated policy of holding the data only for “a brief period of time”.
edit: typo

[Reactie gewijzigd door arcadios2007 op 24 juli 2024 04:52]

HMC @arcadios200718 oktober 2014 12:05
Zucht...

Nogmaals dus....

De inhoud van het bericht zelf is niet bekend!
Matthijs8 @HMC18 oktober 2014 20:09
Lees allebei even mijn bericht hieronder, Whisper is geen private messenger en de postings zijn voor zover ik weet redelijk publiek en kan iedereen postings van iemand in de buurt zien.

[Reactie gewijzigd door Matthijs8 op 24 juli 2024 04:52]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq