Het toevoegen van een client-side scanner aan chatapps die allerlei bestandsformaten moet kunnen inspecteren maakt deze applicaties kwetsbaar voor aanvallen en het is de vraag hoe snel dergelijke kwetsbaarheden worden verholpen. Dat stelde beveiligingsexpert Bert Hubert afgelopen woensdagavond tijdens een rondetafelgesprek in de Tweede Kamer over client-side scanning.
De Europese Commissie wil client-side scanning invoeren, om zo alle chatberichten van gebruikers te kunnen controleren op bekend en onbekend misbruikmateriaal en grooming. Experts hebben hier grote zorgen over. Zo kan het leiden tot onterechte veroordelingen, tast het de privacy aan, ondermijnt het end-to-end encryptie en is het een vorm van massasurveillance. Er is echter ook nog een ander aspect dat Hubert benoemde, en dat is het beveiligingsrisico dat de client-side scanner introduceert.
"De EU-scanner die in onze Signal en WhatsApp geïnstalleerd moet worden, moet alle plaatjes kunnen analyseren. Plaatjes bestaan in een hoop verschillende bestandsformaten", merkte Hubert op, die daarbij wees naar het zerodaylek in WebP, dat gebruikt is om spyware te verspreiden. "Waarom noem ik dit voorbeeld? Deze speciale scanner-app moet alle soorten plaatjes kunnen bekijken." Een aanvaller zou vervolgens een speciaal geprepareerde afbeelding kunnen maken om zo smartphones via een kwetsbaarheid in de EU-scanner op afstand over te nemen.
Een bijkomend probleem is dat chatapps zoals Signal en WhatsApp kwetsbaarheden in hun eigen software snel kunnen verhelpen via updates, maar de EU-scanner wordt 'waarschijnlijk in een EU-tempo geüpdatet', aldus Hubert. "Als ik een statelijke actor was, zou ik dit een behoorlijk feestelijk stukje wetgeving vinden."
Een tweede probleem dat de expert benoemde was afpersing via gecompromitteerde chat-accounts. Criminelen kunnen mensen straks via bijvoorbeeld een gekaapt WhatsApp-account afpersen. Als het slachtoffer niet betaalt wordt er misbruikmateriaal via zijn account verstuurd. Maar ook als het om een false positive gaat kan onterecht gedetecteerd worden grote gevolgen hebben.
"Veel mensen denken dat het niet erg is als ze onderzocht worden. 'Dan ga ik naar het politiebureau en dan leg ik dat gewoon uit, dat het mijn kind in bad was', die illusie kun je gewoon helemaal vergeten", merkte Hubert op. "Op het moment dat die molen met het onderzoek begint heb je niets meer uit te leggen, maar sta je in allerlei databases."
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.