Telegram, WhatsApp, Signal och Protonmail – så avslöjas din identitet trots kryptering

publicerad 7 februari 2021
- Sanja Juric

Trots att Telegram, Whatsapp, Signal och Protonmail är krypterade, är de inte så säkra att använda som de flesta tror, säger Rob Braxman, programvaruarkitekt, cybersäkerhetsexpert och hacker. Går det att undvika fallgroparna?

Text: Sanja R. Juric | Bild: Rob Braxman. Foto: eget verk

Oavsett om det gäller mobilappar som WhatsApp, Signal och Telegram, eller mail-program som Protonmail, är det mer eller mindre omöjligt att skydda din identitet om du inte vidtar rigorösa åtgärder och är väldigt noga med vilka du kommunicerar med.

I slutändan är det din umgängeskrets som avslöjar din identitet. Det är dessutom extra osäkert att använda sig av mobilapplikationer med krypteringsfunktion. Det är ofta dessa som blir föremål för riktad övervakning, berättar Rob Braxman i videon.

Andra faktorer som gör det osäkert att använda sig av dessa appar och tjänster, är det som underrättelsetjänster kallar för signals intelligence eller ”sig int”. Även om själva krypteringen inte bryts, är det oftast metadata som samlas in beroende på vilka vi kommunicerar med, som till slut avslöjar personen som använder sig av dessa appar.

”Signalspaning [signals intelligence] innebär att man genom avlyssning, pejling m.m. utforskar och övervakar data- och/eller teletrafik och på så vis inhämtar underrättelser. En variant av signalspaning är signalkontroll som dock inte har underrättelseinhämtning som uppgift.” – Wikipedia

Relationskarta – hur din umgängeskrets avslöjar din identitet

Ett av de största problemen med dessa och liknande appar är att de skapar något som Rob Braxman kallar för relationskarta. Vilket innebär att information om dig kan erhållas beroende på vilka du kommunicerar med. Anledningen till detta är att alla dessa appar och tjänster har en offentlig identitet, public identity, som krävs för att registrera ett användarkonto. För att till exempel skapa ett Signal-konto används oftast ett vanligt mobilnummer som du redan registrerat hos en telekomoperatör.

Hos Telegram, WhatsApp och Signal, är det alltså ditt mobilnummer som röjer dig. Dessutom har apparna tillgång till din kontaktlista och på så sätt går det att spåra dig utifrån den grupp av människor du kommunicerar med. Ett spionprogram kan lätt räkna ut vem du är i relationskartan. Om du använder dig av krypterade e-mailprogram är det istället din e-mail adress som är public identity. 

WhatsApp är en av de värsta

WhatsApp den mest integritetskränkande appen. Foto: Adem Ay Zs Licens: Unsplash
WhatsApp den mest integritetskränkande appen. Foto: Adem Ay Zs Licens: Unsplash

Den i överlag mest integritetskränkande appen enligt Braxman är WhatsApp, då både WhatsApp och Instagram ägs av Facebook. Det är dock själva telefonen som avslöjar informationen om dig, oavsett vilken Facebook-identitet eller plattform du använder avseende användarnamn. Det är enhetens fingeravtryck som registreras, säger Braxman.

Om du använder dig av WhatsApp, vet Facebook vem du är, eftersom det är samma enhet du använder dig av. I och med att du har ditt konto på Facebook under ditt riktiga namn, verifieras återigen din identitet genom din vänskaps- och familjekrets, område och märkning (relationskartan), för att inte tala om alla bilder där du blir taggad av dina vänner och familjemedlemmar.

Signal har liknande problematik även om det sker i mindre utsträckning, då du enbart ger ut ditt telefonnummer och kontaktlista. Detta i sig är ändå tillräckligt för att avslöja din identitet, förklarar Braxman.

Du kanske har vidtagit extra försiktighetsåtgärder, såsom VPN och pseudoanonymitet, men om du använder dig av olika sociala plattformar blir du återigen identifierad genom din bekantskapskrets (relationskartan). Även om du väljer att ha ett kontantkort, vilket kan komma att förbjudas redan 2022, skriver SvD, så är det personerna du kontaktar som avslöjar din identitet.

Ett enda klant-mail kan röja alla identiteter i hela gruppen

För de som använder sig av Protonmail, berättar Braxman, är det viktigt att inte göra sin e-mailadress offentlig. Som i fallet med WhatsApp och Signal är det din relationskarta, det vill säga dina kontakter, som slutligen kommer att avslöja vem du är.

Enda sättet att undvika att metadata att hamnar i fel händer är att tex använda Protonmail för avgränsad kommunikation inom en mindre grupp av betrodda kontakter. För att det ska fungera måste även dina kontakter göra samma sak och enbart skicka mail inom samma domän (från en protonadress till en annan protonadress), annars finns en risk att ditt mail kontamineras och du blir avslöjad.

Det räcker med ett enda misstag. Ett enda mail som skickas till en mottagare bortom Protonmail röjer hela gruppen och ni får börja om.

Sanja R. Juric

Relaterat

  • Rob Braxman (Brax.me) is Software Architect, Cybersecurity expert, Hacker, Full stack developer – Windows, iOS, Android, Linux. C/C++, PHP, Python,SQL, creator of Brax.Me and many enterprise systems.

Donera till NewsVoice

Du kan stötta Newsvoice via MediaLinq

  • [Kommentar nedan inskickad av Erik Forsman eftersom det är problem med att kommentera efter denna artikel av okända tekniska skäl / red]

    ”En bra artikel som sätter fokus på sådant som Svensson ofta förbiser, några korta kommentarer: för det första kan du enkelt installera t ex Kaspersky mobile antivirus – i första hand som ett administrativt verktyg för att reglera vad samtliga appar får och inte får göra i din mobil: t ex att Telegram inte får tillgång till dina kontakter. Med Telegram kan du dessutom öka säkerheten genom att välja nivåer i krypteringen och istället för krypteringskedjan mobil->molnet->mobil köra enbart kryptering mellan två mobiler, utan att gå via molnet, så kallat end-to-end-kryptering och välja automatisk destruktion av meddelanden t ex efter 24 timmar, på bägge mobilerna då. Bäst här är kanske appen Wickr me här.

    Det stämmer det att nästan är omöjligt att registrera en anonym mailadress (anonymt) inte ens hos Protonmail, då du antingen tvingas att få en kod via sms, för att kunna logga in eller betala för din epost med kreditkort. För att vara på säkra sidan bör du då använda en ”engångsmobil” med anonymt kontantnummer sedan göra dig av med både mobil och kontantkort samt sist inte använda mobilen under registreringen nära ditt hem, när du registrerar din e-postadress. Allt måste naturligtvis göras via TOR-nätverket. Lita inte på en windowsdator, utan kör Linux, hest då i virtualbox och dessutom köra TOR via en säker VPN.

    Det enklaste och tryggaste mailen är alla dar i veckan är countermail, men även där måste du betala och alla betalningar över nätet lämnar spår efter sig.

    Säkrast är att nöta skosulor och helst enkelt träffas IRL, kanske en promenad i skogen, utan att ta med mobiler då förstås.”

  • [Kommentar nedan inskickad av Erik Forsman eftersom det är problem med att kommentera efter denna artikel av okända tekniska skäl / red]

    ”En bra artikel som sätter fokus på sådant som Svensson ofta förbiser, några korta kommentarer: för det första kan du enkelt installera t ex Kaspersky mobile antivirus – i första hand som ett administrativt verktyg för att reglera vad samtliga appar får och inte får göra i din mobil: t ex att Telegram inte får tillgång till dina kontakter. Med Telegram kan du dessutom öka säkerheten genom att välja nivåer i krypteringen och istället för krypteringskedjan mobil->molnet->mobil köra enbart kryptering mellan två mobiler, utan att gå via molnet, så kallat end-to-end-kryptering och välja automatisk destruktion av meddelanden t ex efter 24 timmar, på bägge mobilerna då. Bäst här är kanske appen Wickr me här.

    Det stämmer det att nästan är omöjligt att registrera en anonym mailadress (anonymt) inte ens hos Protonmail, då du antingen tvingas att få en kod via sms, för att kunna logga in eller betala för din epost med kreditkort. För att vara på säkra sidan bör du då använda en ”engångsmobil” med anonymt kontantnummer sedan göra dig av med både mobil och kontantkort samt sist inte använda mobilen under registreringen nära ditt hem, när du registrerar din e-postadress. Allt måste naturligtvis göras via TOR-nätverket. Lita inte på en windowsdator, utan kör Linux, hest då i virtualbox och dessutom köra TOR via en säker VPN.

    Det enklaste och tryggaste mailen är alla dar i veckan är countermail, men även där måste du betala och alla betalningar över nätet lämnar spår efter sig.

    Säkrast är att nöta skosulor och helst enkelt träffas IRL, kanske en promenad i skogen, utan att ta med mobiler då förstås.”

  • Lämna ett svar