
De bewuste chatdienst, IronChat hanteerde een sterke vorm van versleuteling. Daarbij hebben alleen de geprekspartners de wiskundige sleutel in handen waarmee berichten kunnen worden gelezen. Ook het populaire WhatsApp gebruikt die vorm van versleuteling.
Maar als die wiskundige sleutel stiekem wordt vervangen door een lopersleutel, kan een onbevoegde wel meelezen. Als de politie dat in dit geval had willen doen, was dat een goede ingang: de versie van de IronChat-app die de NOS onderzocht, waarschuwde zijn criminele gebruikers nauwelijks als de verbinding mogelijk werd onderschept.
Alleen criminelen die handmatig de wiskundige handtekening van hun geprekspartners controleerden, kunnen hebben gemerkt dat ze werden afgetapt. “Versleuteling is ingeschakeld, maar gesprekspartner is niet geverifieerd”, toonde de app bij een cryptografische sleutel die niet werd herkend.
“De gemiddelde gebruiker snapt zonder uitleg niet wat dit precies betekent”, zegt onderzoeker Rik van Duijn van beveiligingsbedrijf Dearbytes. “Je zou verwachten dat een app die zich zo duidelijk op encryptie richt, duidelijker is.”
Doordat de waarschuwing in een veel kleiner lettertype wordt gegeven dan de rest van het gesprek en er geen opvallende kleuren worden gebruikt, is de kans groot dat gebruikers er overheen lezen.
https://nos.nl/l/2258309