Recentelijk is er opnieuw aandacht voor de veiligheidsrisico’s van populaire berichtenapplicaties zoals WhatsApp en Signal, ondanks dat hun kernfunctie – end-to-end encryptie – nog steeds effectief is voor de inhoud van berichten. Het gevaar ligt vooral in de metadatatypes en de timinginformatie die de systemen onbedoeld kunnen vrijgeven en zo inzicht geven in gebruikersactiviteiten.
Deze bezorgdheid kwam naar voren na de publicatie van een proof of concept (PoC) op GitHub, gebaseerd op het academische onderzoek getiteld Careless Whisper, uitgevoerd door onderzoekers verbonden aan de Universiteit van Wenen en SBA Research. Het experiment toont aan dat door het meten van de round-trip time (RTT) van intern gegenereerde bevestigingen – die technische reacties van de app zijn die synchronisatie en statusupdates mogelijk maken – het mogelijk is te bepalen of een apparaat actief is, in rust, of offline.
Het echte probleem bevindt zich niet in het zien van het “gelezen” vinkje, maar in de signalen die de infrastructuur onzichtbaar achterlaat. Tijdens het gebruik van WhatsApp en Signal geven bevestigingen – zoals leveringsbevestigingen – subtiele timingverschillen prijs. Bijvoorbeeld, wanneer een gebruiker de app actief gebruikt met het scherm aan, worden bevestigingen meestal sneller verzonden; in rust of met het scherm uit duren deze langer, wat door een aanvaller kan worden afgelezen en geanalyseerd.
Daarnaast spelen meerdere apparaten, zoals webversies en desktopsessies, een rol. Het gelijktijdig actief zijn op verschillende platforms geeft meer mogelijkheden om het gedrag van de gebruiker af te leiden.
De impact van deze methoden is aanzienlijk. De aanvaller zou deze timinginstrumenten op grote schaal kunnen inzetten, bijvoorbeeld door herhaaldelijk in te breken op of te “pingen” naar gebruikers zonder dat deze dat merken. Dit kan leiden tot vormen van stalking, sturing of gerichte surveillance, zelfs zonder dat de aanvaller toegang heeft tot de accountgegevens zelf.
Verder waarschuwen de onderzoekers voor de mogelijkheid dat zulke technieken het apparaat kunnen belasten. Door onder constante condities honderden interacties uit te voeren, kunnen bijvoorbeeld batterij en datagebruik aanzienlijk toenemen. Signal lijkt in experimenten een hogere drempel in te bouwen tegen deze vorm van misbruik dan WhatsApp, dat minder restricties toonde.
Reagerend op deze bevindingen hebben zowel WhatsApp als Signal laten weten dat ze de waarschuwing serieus nemen, maar concrete maatregelen of tijdschema’s blijven onduidelijk. De kern van het probleem ligt niet in de encryptie, maar in de systematische signalen die worden gegenereerd door metadata en de timing van bevestigingen. Om dit aan te pakken, zullen de platforms waarschijnlijk hun ontwerp moeten aanpassen door bijvoorbeeld de timing van bevestigingen te “randomiseren”, rate-limiting strenger toe te passen, en interacties van onbekenden minder voorspelbaar te maken.
Voor eindgebruikers en beveiligingsteams betekent dit dat ze niet te veel vertrouwen mogen stellen in het uitschakelen van gelezen-bevestigingen of extra privacy-instellingen, aangezien deze niet alle risicovolle signalen neutraliseren. Wel kunnen maatregelen zoals het voorkomen van grote hoeveelheden berichten van onbekende contacten helpen om de aanval te bemoeilijken.
Voor organisaties geldt dat het niet alleen gaat om het aanpassen van privacy-instellingen, maar ook om bewustwording rond het belang van metadatabeheer en het minimaliseren van onbedoelde signalen die uit de communicatie kunnen worden afgeleid.
Kortom, deze ontwikkelingen onderstrepen de voortdurende uitdaging om een combinatie van sterke encryptie, systeemveiligheid en metadatareductie te realiseren. De strijd voor echte privacy op messaging-platforms vereist niet alleen technologische innovatie, maar ook grondige revisie van ontwerpkeuzes die het mogelijk maken dat metadata en timinginformatie niet langer een kwetsbaar punt vormen.