WhatsApp on tänapäeval muutunud sama loomulikuks suhtlusvahendiks nagu hommikukohv või hambapesu. Üle kahe miljardi inimese üle maailma kasutab seda rakendust igapäevaselt, saates miljardeid sõnumeid, fotosid ja videoid. Kuna me usaldame sellele platvormile oma kõige intiimsemad vestlused, pangakonto numbrid ja perepildid, tekib paratamatult küsimus: kas see on tegelikult turvaline? Sageli kuuleme termineid nagu “krüpteering” ja “privaatsuspoliitika”, kuid mida need tehniliselt tähendavad ja kas need kaitsevad meid ka reaalse küberrünnaku või uudishimulike silmade eest? Et mõista oma andmete turvalisust, tuleb esmalt lahti võtta mehhanism, kuidas üks sõnum tegelikult sinu telefonist sõbra telefonini jõuab.
Mis tegelikult juhtub, kui vajutad “Saada”?
Et mõista WhatsAppi turvalisust, tuleb unustada vana SMS-sõnumite loogika. Kui SMS liigub läbi mobiilioperaatori võrgu ja on operaatorile loetav, siis WhatsApp kasutab andmesidet (internetti). Rakenduse arhitektuur põhineb serverite ja klientide (sinu telefon) vahelisel suhtlusel, kuid siin on oluline nüanss, mis eristab seda paljudest teistest sõnumirakendustest.
WhatsApp kasutab tuvastamiseks sinu telefoninumbrit, mis toimib justkui sinu digitaalne ID-kaart. Sisselogimisel luuakse ühendus sinu seadme ja WhatsAppi serverite vahel. See ühendus on küll püsiv, et teated jõuaksid kohale reaalajas, kuid serverid toimivad ideaalis vaid “postiljonina”. Nad võtavad paketi (sõnumi) vastu ja annavad selle edasi, ilma et nad (teoreetiliselt) paketi sisu näeksid. Kuid selle “postiljoni” usaldusväärsus sõltub täielikult tehnoloogiast nimega otsast lõpuni krüpteerimine (inglise keeles End-to-End Encryption ehk E2EE).
Otsast lõpuni krüpteerimine – sinu turvalisuse vundament
Kõige olulisem termin, mida WhatsAppi puhul teadma peab, on E2EE. WhatsApp võttis selle tehnoloogia kasutusele 2016. aastal, integreerides oma süsteemi kõrgelt hinnatud Signal Protocoli. Aga kuidas see “puust ja punaseks” selgitades töötab?
Kujuta ette, et igal WhatsAppi kasutajal on kaks võtit:
- Avalik võti (Public Key): See on nagu avatud tabalukk, mida kõik võivad näha. Sinu sõbra telefon kasutab seda lukku, et lukustada sõnum, mille ta sulle saadab.
- Privaatne võti (Private Key): See on ainus võti, mis suudab seda tabalukku avada. See võti asub ainult sinu telefonis ja ei lahku sealt kunagi.
Kui sõber saadab sulle sõnumi “Tere!”, siis tema telefon võtab sinu “avaliku tabaluku”, paneb sõnumi kasti, lukustab selle ja saadab teele. WhatsAppi serverid näevad ainult lukustatud kasti. Nad ei saa seda avada, sest neil puudub võti. Kasti saab avada ainult sinu telefon, kus asub vastav privaatne võti. See tähendab, et isegi kui häkkerid murraksid sisse WhatsAppi serveritesse või kui valitsus nõuaks Meta’lt (WhatsAppi emafirmalt) sinu sõnumeid, ei oleks neil tehniliselt võimalik sisu lugeda, sest see on matemaatiliselt šifreeritud.
Kas krüpteering kehtib kõigele?
Jah, WhatsAppi puhul on vaikimisi krüpteeritud:
- Tekstisõnumid
- Fotod ja videod
- Häälsõnumid
- Dokumendid
- Hääl- ja videokõned
See on suur eelis võrreldes näiteks Telegramiga, kus vaikimisi vestlused ei ole otsast lõpuni krüpteeritud (seda on vaid spetsiaalsed “Secret Chats”) või Facebook Messengeriga, kus see tuleb eraldi seadistada.
Metaandmed: Mida WhatsApp sinu kohta siiski teab?
Siin jõuame kohani, kus paljud kasutajad eksivad. Kuigi WhatsApp ei näe sinu sõnumi sisu, näeb ja kogub ta suures koguses metaandmeid. Metaandmed on andmed andmete kohta. See on justkui ümbrik, milles kiri asub – postiljon ei loe kirja, aga ta näeb, kes kirja saatis, kellele see läks, mis kell see postitati ja kui raske on ümbrik.
WhatsApp (ja seega Meta) teab sinu kohta järgmist:
- Kellega sa suhtled: Nad teavad täpselt, milliste numbritega sa sõnumeid vahetad.
- Suhtluse sagedus ja aeg: Nad teavad, kui tihti ja mis kellaaegadel sa kellegagi räägid.
- Asukoht (IP-aadress): Iga kord, kui ühendud, on teada sinu ligikaudne asukoht IP-aadressi kaudu.
- Seadme info: Millist telefoni ja operatsioonisüsteemi sa kasutad.
See informatsioon on kulla hinnaga reklaamijatele ja on äärmiselt kasulik ka profiilide loomiseks. Kuigi nad ei tea, millest sa räägid, võivad nad suhtlusmustrite põhjal järeldada, kas oled haige (suhtlus arstidega), otsid tööd (suhtlus värbajatega) või planeerid reisi.
Kõige suurem turvarisk: Pilvevarukoopiad
Kui rääkida WhatsAppi “nõrgast kohast”, siis on selleks ajalooliselt olnud varukoopiad (Backups). Sõnumid on sinu telefonis turvalised, aga kui sa kaotad telefoni, soovid sa tõenäoliselt oma vestlused taastada. Selleks pakub WhatsApp võimalust salvestada varukoopiaid Google Drive’i (Android) või iCloudi (iPhone).
Probleem seisneb selles, et pikka aega salvestati need varukoopiad pilveteenusesse krüpteerimata kujul või teenusepakkuja (Google/Apple) poolt hallatavate võtmetega. See tähendas, et kui õiguskaitseorganid said ligipääsu sinu Google Drive’ile, olid kõik sinu WhatsAppi vestlused neile loetavad, hoolimata sellest, et algne saatmine oli krüpteeritud. See on klassikaline tagauks.
Lahendus: Õnneks tõi WhatsApp hiljuti turule võimaluse lülitada sisse “End-to-End Encrypted Backups”. See tähendab, et varukoopia krüpteeritakse parooliga, mida tead ainult sina, enne kui see pilve saadetakse. Kui sa seda funktsiooni pole seadetest manuaalselt sisse lülitanud, on sinu pilvevarukoopia endiselt haavatav.
Füüsiline ligipääs ja pahavara
Ükskõik kui tugev on krüpteering, ei kaitse see sind olukorras, kus keegi saab füüsilise ligipääsu sinu lukustamata telefonile. WhatsAppi turvalisus lõpeb seal, kus algab sinu ekraan. Kui keegi haarab sinu telefoni, saab ta lugeda kõike.
Samuti on ohuks pahavara (malware). Kui sinu telefoni on installitud nuhkvara, mis salvestab ekraanipilte või klahvivajutusi (keylogger), siis loeb häkker sõnumeid samal ajal kui sina neid kirjutad, enne kui need jõutakse krüpteerida. Seega on WhatsAppi turvalisus otseses sõltuvuses sinu nutiseadme üldisest hügieenist ja turvalisusest.
Praktilised sammud oma konto kindlustamiseks
Selleks, et viia oma WhatsAppi konto turvalisus maksimumini ja vältida levinud rünnakuid (nagu konto kaaperdamine), tuleks astuda järgmised konkreetsed sammud:
- Aktiveeri kaheastmeline kinnitamine (2FA): See on kriitilise tähtsusega. Seadete alt (Account > Two-step verification) saad määrata 6-kohalise PIN-koodi. Kui keegi üritab sinu telefoninumbrit uues telefonis registreerida (näiteks SIM-kaardi kloonimise teel), küsib WhatsApp seda PIN-koodi. Ilma selleta on ründajal võimatu sinu kontot üle võtta.
- Lülita sisse krüpteeritud varukoopiad: Mine seadetesse (Chats > Chat Backup > End-to-end encrypted backup) ja lülita see sisse. Jäta meelde parool, sest kui selle unustad, ei saa ka WhatsApp sind aidata andmete taastamisel.
- Kasuta sõrmejälje või näotuvastuse lukku: WhatsApp võimaldab rakenduse avamiseks nõuda biomeetrilist tuvastust. Isegi kui annad oma lukustamata telefoni sõbrale helistamiseks, ei saa ta sinu vestlusi lugeda ilma sinu sõrmejäljeta.
- Kontrolli seotud seadmeid: Vaata regulaarselt menüüst “Linked Devices”. Kui näed seal arvutit või brauserit, mida sa ei tunne või mida kasutasid ammu, logi sealt koheselt välja.
- Lülita sisse kaduvad sõnumid (Disappearing Messages): Eriti tundlike vestluste puhul on mõistlik määrata sõnumite automaatne kustumine (nt 24 tunni või 7 päeva järel). See tagab, et isegi kui telefonid hiljem kompromiteeritakse, pole ajalugu enam saadaval.
Korduma kippuvad küsimused (KKK)
Siin on vastused kõige levinumatele küsimustele, mis kasutajatel seoses WhatsAppi turvalisusega tekivad.
Kas politsei saab lugeda minu WhatsAppi sõnumeid?
Otse WhatsAppilt andmeid küsides ei saa politsei sõnumite sisu, kuna WhatsAppil endal puudub neile ligipääs (tänu krüpteeringule). Küll aga saavad nad kätte metaandmed (kellega ja millal rääkisid). Samuti, kui sul on krüpteerimata varukoopiad Google Drive’is või iCloud’is, võib politsei nõuda ligipääsu nendele teenusepakkujatelt ja sealtkaudu sõnumeid lugeda.
Kas WhatsApp kuulab pealt minu kõnesid, et suunata reklaame?
See on levinud müüt. Tehniliselt on kõned samuti otsast lõpuni krüpteeritud, seega Meta ei saa sinu juttu analüüsida. Reklaamide täpsus tuleneb pigem sinu veebikäitumisest, asukohast ja metaandmetest, mis loovad sinust niivõrd täpse profiili, et reklaamid tunduvad vahel kõhe tekitavalt täpsed.
Kumb on turvalisem, kas WhatsApp või Telegram?
Vaikimisi sätetega on WhatsApp turvalisem, sest seal on E2EE (krüpteering) alati peal. Telegramis on vaikimisi vestlused serveripõhised ja krüpteeritud vaid transpordi ajal, mitte otsast lõpuni (vaid “Secret Chat” on E2EE). Siiski peetakse privaatsusspetsialistide poolt kõige turvalisemaks rakendust Signal, mis kogub oluliselt vähem metaandmeid kui WhatsApp.
Mis juhtub, kui ma kaotan oma telefoni?
Kui telefon on parooliga kaitsmata, on ligipääs sinu sõnumitele olemas. Kui telefon on kaitstud, on andmed raskesti kättesaadavad. Kõige olulisem on koheselt võtta ühendust oma mobiilioperaatoriga SIM-kaardi sulgemiseks ja seejärel aktiveerida WhatsApp uuel SIM-kaardil. Kuna WhatsApp saab korraga olla aktiivne vaid ühes telefonis, logitakse vana seade automaatselt välja.
Kas ma saan teada, kui keegi on minu kontole sisse murdnud?
Kui keegi registreerib sinu numbri uues seadmes, lakkab WhatsApp sinu praeguses telefonis töötamast ja sa näed vastavat teadet. Kui aga keegi on saanud ligipääsu sinu “Linked Devices” kaudu (nt WhatsApp Web), ei pruugi sa seda kohe märgata, kui sa ei kontrolli seotud seadmete nimekirja.
Digitaalse suhtluse tulevikuperspektiivid
Privaatsus ei ole enam ammu vaid tehniline omadus, vaid sellest on saamas inimõigus ja sotsiaalne valuuta. WhatsApp on teinud suuri edusamme, tuues sõjaväelisel tasemel krüpteeringu massidesse, muutes miljardite inimeste suhtluse turvalisemaks kui kunagi varem ajaloos. Siiski jääb alati õhku usalduse küsimus suurettevõtte vastu, mille ärimudel põhineb andmete analüüsil.
Tulevikus näeme tõenäoliselt veelgi suuremat rõhku detsentraliseeritud lahendustele ja metaandmete peitmisele. Kuni selle ajani on WhatsApp mõistlik kompromiss mugavuse ja turvalisuse vahel, eeldusel, et kasutaja on teadlik ohtudest ja on seadistanud oma konto turvameetmed korrektselt. Sinu sõnumid on kaitstud, kuid lukk on vaid nii tugev, kui hoolikas on selle omanik oma võtmete hoidmisel.
