In 2018 ontving Amazon-oprichter Jeff Bezos een WhatsApp-bericht van een opmerkelijke afzender: een videootje van 4,4 MB van niemand minder dan Mohammed Bin Salman, de Saoedische kroonprins. Het gevolg? In een rap tempo lekte de iPhone van de rijkste man op aarde een enorme hoeveelheid informatie.

Volgens de Britse krant The Guardian zou de kroonprins dit met opzet hebben gestuurd. Bezos is immers ook de eigenaar van The Washington Post, een Amerikaanse krant die zich geregeld kritisch uitlaat over Saoedi-Arabië. Intussen eisen de Verenigde naties (VN) dat er direct een onderzoek wordt gestart naar de betrokkenheid van Bin Salman. Ook raadt de VN medewerkers af de app te gebruiken, omdat het niet veilig zou zijn.

Nu rijst de vraag: hoe kon dit gebeuren? En hoe veilig is het eigenlijk om zelf WhatsApp te gebruiken?

De video besmette het WhatsApp-account van Bezos vermoedelijk met een virus
Volgens VN-experts zouden de Saoedi’s Pegasus-malware hebben gekocht. Dit virus leest af welke toetsen je gebruikt op je telefoon, luistert audio af, maakt screenshots en is ook in staat om e-mails te lezen. Oftewel, de ideale combinatie voor hackers om erachter te komen wat iemand bijvoorbeeld via WhatsApp, Facebook of Twitter verstuurt.

Nadat Bezos de video had ontvangen en geopend, kreeg het virus vrij spel. Zo kwam er voor de besmetting gemiddeld zo’n 430 kilobytes aan gegevens per dag uit Bezos’ telefoon, een normale hoeveelheid. In de maanden na de besmetting steeg dit naar gemiddeld 101 megabytes per dag, wat bijna 250 keer zoveel is en duidelijk wijst op een besmetting.

Is het nog wel veilig om zelf WhatsApp te gebruiken?
Ja, er is geen reden tot paniek. Ten eerste is het niet makkelijk om telefoons via Whatsapp binnen te dringen. Doordat de app versleuteld is met eind-tot-eindencryptie, worden je berichten veilig verzonden. Anderen kunnen niet zien wat jij stuurt; ook WhatsApp zelf niet.

Bovendien zijn gemiddelde huis-tuin-en-keukenhackers niet in staat om via WhatsApp binnen te dringen. De speciale hacktools waarmee dit mogelijk is, zijn namelijk erg duur. Bedrijven die zich hierin specialiseren om belangrijke doelwitten te hacken, zijn bijvoorbeeld het Israëlische NSO Group of het Italiaanse Hacking Team. De gemiddelde gebruiker hoeft zich dus geen zorgen te maken.

Dit wil niet zeggen dat WhatsApp 100 procent veilig is. Dit geldt eigenlijk voor geen een app, dus is ook WhatsApp niet onschendbaar. Versleuteling voorkomt namelijk niet dat hackers een code kunnen verstoppen in de app. Ook wordt er vaak automatisch een back-up gemaakt van je chats in de cloud – een plek waar deze wél onversleuteld zijn opgeslagen. Deze automatische kopie kun je zelf uitschakelen via instellingen binnen de app.

Wat je nog meer kunt doen om je account te beveiligen
Het is niet zeker of Bezos de video heeft geopend, of dat slechts het ontvangen voldoende was om de malware binnen te halen. Video’s worden namelijk automatisch gedownload vanwege de standaardinstellingen. Ook dit kun je zelf uitzetten. Daarnaast is het verstandig om een tweestapsverificatie in te stellen en om geen voor de hand liggende code voor je voicemail te gebruiken; ook via je voicemail kunnen hackers je account kapen.