Meegluren met andermans iMessages

Nu meer dan 60 procent van de Nederlanders een smartphone heeft, zijn gratis berichtendiensten als WhatsApp (voor elke telefoon) en iMessage (iPhone/iPad/OSX) niet meer weg te denken uit het dagelijks leven. Maar het gebruik is niet zonder risico.

Als er iets mis gaat met inloggegevens, kunnen vreemden meegluren in persoonlijke conversaties. Dat blijkt uit de ervaringen van de Amsterdamse vrouw, die honderden berichten ontving van tientallen vreemden. Het gebeurde in de periode januari tot begin mei. Toen meldde ze zich bij de redactie van NRC.

Het volledige verhaal staat woensdag in nrc.next en NRC Handelsblad. Dit is een samenvatting  van een zoektocht waarin NRC probeerde erachter te komen wat dit vreemde lek veroorzaakte en of het te herhalen was. We spraken met onafhankelijke Apple-experts, mobiele providers en speelden open kaart naar Apple. Het bedrijf bood een oplossing aan (volledig resetten, een nieuwe Apple ID en nieuwe iMessage account). Dat is ook gebeurd. Maar Apple hielp niet mee de oorzaak van dit individuele geval te achterhalen. De vrouw was dan ook - zie onder - bepaald geen modelgebruiker. Dat verklaart echter niet hoe berichten van tientallen vreemden op haar telefoon belandden.

De vrouw kocht eind december een nieuwe iPhone 4S, die standaard met iOS5 wordt geleverd. Zij voerde geen upgrade naar iOS 6 uit. Ook beantwoordde ze de verificatiemail van iMessage niet. Het toestel werd geregistreerd met een verzonnen naam. Desondanks werkte iMessage ogenschijnlijk naar behoren. Ze gebruikte het toestel samen met  meerdere sims en meerdere Apple ID’s. Apple staat het gebruik van meerdere Apple ID’s toe, bijvoorbeeld om software te delen binnen een gezin.

Waar kwamen de berichten vandaan?

Bij de iMessage-account van de vrouw werden talloze onbekende telefoonnummers toegevoegd. Ze kon alleen meekijken met andermans iMessage-berichten, niet met sms’jes of telefoongesprekken. Ze kende de mensen niet en had de indruk dat het locatie-afhankelijk was (‘berichten komen binnen op drukke punten’). Dat was niet met zekerheid vast te stellen.

Tien van deze vreemde telefoonnummers werden gecontroleerd om te kijken of het verhaal van de vrouw klopte. Deze personen bevestigden dat ze de berichten verstuurd te hebben met hun iPhones, weer naar compleet andere personen. Het ging om mensen die de vrouw, noch haar familie of vrienden kenden. Ze woonden veelal in een andere hoek van het land. Ze hadden verschillende providers, hoewel het merendeel lijkt T-Mobile te hebben - dezelfde provider als de vrouw.

Waarom lekten de berichten?

We hebben ons hoofd gebroken over een mogelijke oorzaak. Online zijn geen gevallen te vinden van een persoon die lukraak tientallen vreemden kan ‘afluisteren’. In de praktijk bleek de situatie ook niet te herhalen met een andere telefoon. Dan maar een paar theorieën:

1) Het probleem ontstaat door wisselende simkaarten. Dat is een iMessage-probleem in iOS 5 dat zich ook voor kan doen bij doorverkochte en gestolen telefoons: op het moment dat iMessage is geactiveerd met nummer A en vervolgens nummer B erin wordt geplaatst, verstuur je nog berichten onder nummer A. Bij zo’n simwissel kan één extra telefoonnummer toegevoegd worden, misschien een tweede als de gewisselde sim ook weer in een ander toestel wordt gebruikt. Maar geen tientallen. De sim-bug (door Apple nooit een bug genoemd) zou in iOS 6 opgelost zijn. Ook met haar andere sim deed het probleem zich voor.

2) Het probleem ontstaat bij de aanschaf van een nieuwe telefoon. Wellicht rouleert er een tijdelijk nummer bij de provider. De vrouw gebruikte naar haar weten geen tijdelijk nummer bij de aanschaf van de telefoon, maar een aantal van de mensen die ze kon volgen had wel net een nieuwe iPhone. Uit navraag bij de Nederlandse providers blijkt dat hun helpdesks geen klachten hebben gehad over een vermenging van Apple ID of iMessage-berichten vanwege tijdelijke nummers.

3) Het gaat ‘ergens’ mis met het Apple ID. Een bug. Wellicht is iMessage voor de gek te houden als je de verificatiemail niet beantwoordt - misschien waren er meerdere mensen die precies dezelfde Apple ID hadden aangemaakt. Maar omdat iMessage een gesloten technologie is - en Apple een gesloten bedrijf - blijft het gissen. Je zou verwachten dat de dienst blokkeert als een gebruiker te veel fouten maakt, maar dat is niet het geval. Apple zet blijkbaar ook geen rem op het aantal telefoonnummers dat aan één iMessage-account gekoppeld kan worden.

4) Een combinatie van de bovenstaande factoren of een reden die we over het hoofd zien. Wellicht herkennen anderen zich in het verhaal. Suggesties zijn welkom via de reacties.

Eén app voor sms en chat

iMessage onderscheidt zich van andere diensten doordat het geen aparte app is, maar een centrale berichtendienst voor zowel sms als chatberichten. De server controleert elke keer of er een  internetverbinding gebruikt kan worden - het bericht kleurt blauw. Is er geen internet beschikbaar, dan wordt het een sms-je (groen). Als gebruiker heb je hier geen omkijken naar: de iMessage-server regelt het allemaal. Alle berichten worden gesynchroniseerd over je Apple-apparaten.

iMessage is een belangrijk onderdeel van Apples iCloud. Dat is het vervolg op MobileMe, een webdienst die nogal wat problemen kende. In de woorden van wijlen Steve Jobs: het verschil met MobileMe is dat iCloud “gewoon werkt”. Maar chatdienst iMessage is wel erg complex - juist omdat het de gebruiker zo eenvoudig maakt - en dat vergroot de kans op fouten.  ”Apple is nu eenmaal geen webbedrijf”, zegt een kenner. Hij doelt op het geworstel  met het invoeren van nieuwe webdiensten. De fouten in Apple Maps, de online kaartendienst die vorig jaar geïntroduceerd werd, staan nog vers in het geheugen.

Maar dat is misschien te gemakkelijk. Het  populaire WhatsApp is ook niet foutenvrij: deze dienst kampte met een bug waardoor je de status van een andere gebruiker kon veranderen. Ook maakte WhatsApp fouten bij de verificatie van het telefoonnummer en sloeg het berichten onversleuteld op. En WhatsApp kopieert je hele adresboek, iets waar het CBP niet blij mee was.

 Tips

Op iPhoneclub.nl staat een uitleg over iMessage en een overzicht van alle diensten waarmee je via één Apple ID verbonden bent. Denk aan mail, synchronisatie, backups, aankopen in de Apple Store en aangeschafte  apps. Ook je creditcardgegevens zijn er vaak aan gekoppeld. iPhoneclub.nl adviseert  dat je het beste een onbekend mail-adres kunt gebruiken zolang Apple nog geen dubbele verificatie heeft ingevoerd in Nederland - een extra beveiliging om te voorkomen dat anderen toegang krijgen tot je Apple ID.

Tenslotte: hoe graag bedrijven als Apple, Google, Facebook en Microsoft ook al hun diensten samenballen in één ecosysteem, het kan geen kwaad om je digitale hebben en houden te verdelen over verschillende mandjes. Al was het alleen maar om te voorkomen dat één fout je hele personal cloud - foto’s, documenten, berichten, contacten, mail, media - platlegt.