Chat-app Signal experimenteert met gif-zoekmachines
De versleutelde chat-app Signal heeft een nieuwe functie aan de Android-versie toegevoegd waardoor gebruikers vanuit de app in zoekmachines voor gifjes naar afbeeldingen kunnen zoeken om die vervolgens aan berichten toe te voegen.
Signal ondersteunde al het versturen en ontvangen van gifjes, maar deze functionaliteit is nu met de ondersteuning van gif-zoekmachines uitgebreid. Volgens Signal-ontwikkelaar Moxie Marlinspike hebben gif-zoekmachines zoals GIPHY, Tenor en Guggy deze functionaliteit steeds populairder gemaakt. De zoekmachines bieden een programmeerinterface (api) waardoor apps eenvoudig zoekfunctionaliteit voor gifjes kunnen toevoegen.
Bij het zoeken naar gifjes wordt er echter informatie naar de zoekmachine verstuurd. Iets wat volgens Marlinspike enige reden tot zorg is. "Hoewel het misschien onbenullig lijkt om je zorgen over de vertrouwelijkheid van een gif-zoekopdracht te maken, zoek je op een bepaalde manier in de "inhoud" van je bericht. De inhoud van berichten is iets waar we altijd zorgvuldig over nadenken."
Om de privacy van Signal-gebruikers te garanderen wordt er gebruik gemaakt van een versleutelde verbinding waarbij Signal als een soort van vpn-proxy fungeert. Doordat de zoekopdracht van de gebruiker is versleuteld kan Signal de inhoud niet bekijken, terwijl de zoekmachine alleen maar verzoeken van de Signal-server krijgt en zo niet weet van welke gebruikers ze afkomstig zijn. "De Signal-service fungeert als een vpn voor GIPHY-verkeer: de Signal-service weet wie je bent, maar niet wat je zoekt of selecteert. GIPHY ziet de zoekopdracht, maar niet wie je bent", aldus Marlinspike.
De ontwikkelaar waarschuwt wel dat de zoekmachine subtiliteiten kan gebruiken om meerdere verzoeken te correleren die van dezelfde gebruiker afkomstig zouden kunnen zijn, ook als ze de herkomst niet weten. Daarnaast kan de Signal-service die het verkeer doorstuurt de hoeveelheid data meten om te bepalen welke gifjes de gebruiker bij GIPHY heeft gekozen. Marlinspike zegt dat er wordt gekeken om ook hier maatregelen tegen te nemen.
Reacties (17)
Om de privacy van Signal-gebruikers te garanderen...
ehm... waarom wil Signal dan toegang tot alles op mijn Android?
02-11-2016, 10:43 door
Erik van Straten
Los van de mogelijke privacy aspecten:
1) Plaatjes met copyright mag je mogelijk niet zomaar gebruiken. Met name Getty Images heeft in het verleden mensen voor de rechter gesleept [1] (OT: Getty is afgelopen zomer zelf "gesued" door een fotografe wiens foto's Getty verkocht zonder haar permissie en haar ook nog eens een claim stuurde omdat zij die foto's op haar persoonlijke website had staan... Google naar getty sued );
2) Regelmatig worden er kwetsbaarheden gevonden in graphics libraries. Als jij een plaatje downloadt waar een exploit in zit, is het best mogelijk dat dit geen uitwerking heeft op jouw device maar wel op dat van de ontvanger(s);
3) Vermoedelijk een non-issue, maar als een aanvaller weet welke content in een versleuteld bericht zit, is het denkbaar dat dit kan helpen bij het kraken van de versleuteling;
4) Meer een kwestie van smaak, maar persoonlijk zit ik niet te wachten op plaatjes die anderen "lollig" vinden, en ik ken verschillende mensen die ook die mening hebben maar daar liever niet voor uitkomen omdat ze niet als een zeikerd gezien willen worden. En hoewel GIFjes meestal klein zijn kosten ze bandbreedte, dat een issue kan zijn als je in het buitenland zit met een duur roamingtarief.
De eerste 3 punten zullen in de meeste huis-tuin-en-keuken scenario's nauwelijks van betekenis zijn, maar als je juist uit beveiligingsoverwegingen voor zo'n app gekozen hebt, is het verstandig om na te gaan welke risico's je loopt bij het gebruik ervan.
[1] https://en.wikipedia.org/wiki/Getty_Images#Controversial_practices_to_enforce_copyright
1) Plaatjes met copyright mag je mogelijk niet zomaar gebruiken. Met name Getty Images heeft in het verleden mensen voor de rechter gesleept [1] (OT: Getty is afgelopen zomer zelf "gesued" door een fotografe wiens foto's Getty verkocht zonder haar permissie en haar ook nog eens een claim stuurde omdat zij die foto's op haar persoonlijke website had staan... Google naar getty sued );
2) Regelmatig worden er kwetsbaarheden gevonden in graphics libraries. Als jij een plaatje downloadt waar een exploit in zit, is het best mogelijk dat dit geen uitwerking heeft op jouw device maar wel op dat van de ontvanger(s);
3) Vermoedelijk een non-issue, maar als een aanvaller weet welke content in een versleuteld bericht zit, is het denkbaar dat dit kan helpen bij het kraken van de versleuteling;
4) Meer een kwestie van smaak, maar persoonlijk zit ik niet te wachten op plaatjes die anderen "lollig" vinden, en ik ken verschillende mensen die ook die mening hebben maar daar liever niet voor uitkomen omdat ze niet als een zeikerd gezien willen worden. En hoewel GIFjes meestal klein zijn kosten ze bandbreedte, dat een issue kan zijn als je in het buitenland zit met een duur roamingtarief.
De eerste 3 punten zullen in de meeste huis-tuin-en-keuken scenario's nauwelijks van betekenis zijn, maar als je juist uit beveiligingsoverwegingen voor zo'n app gekozen hebt, is het verstandig om na te gaan welke risico's je loopt bij het gebruik ervan.
[1] https://en.wikipedia.org/wiki/Getty_Images#Controversial_practices_to_enforce_copyright
Volgens mij schieten ze hun doel een beetje voorbij daar het gewoon een simpele chat app moet zijn..als je dingen veilig wilt sturen naar elkaar kan ik het nog snappen maar smileys zijn de minst belangrijke items voor een veilige chat app denk ik..
Laat mensen met hun emoticon liefde lekker een andere chat app gebruiken..ik ben al blij als ik ;) kan gebruiken. Iedereen snapt het..
Laat mensen met hun emoticon liefde lekker een andere chat app gebruiken..ik ben al blij als ik ;) kan gebruiken. Iedereen snapt het..
02-11-2016, 12:54 door
Ignitem
Door Anoniem:
ehm... waarom wil Signal dan toegang tot alles op mijn Android?
Om de privacy van Signal-gebruikers te garanderen...
ehm... waarom wil Signal dan toegang tot alles op mijn Android?
Precies ook mijn bezwaar. De lijst is me echt te ziekelijk lang.
Ik wil gewoon een simpele veilige chat-app.
Versie 3.21.3 heeft toegang tot:
Apparaat- en appgeschiedenis
gevoelige logbestandsgegevens lezen
Identiteit
accounts op het apparaat vinden
je eigen contactkaart lezen
je eigen contactkaart aanpassen
Agenda
agenda-afspraken en vertrouwelijke informatie lezen
agenda-afspraken toevoegen of wijzigen en e-mails verzenden aan gasten zonder medeweten van de eigenaren
Contacten
accounts op het apparaat vinden
je contacten lezen
je contacten aanpassen
Locatie
geschatte locatie (netwerkgebaseerd)
precieze locatie (GPS- en netwerkgebaseerd)
Sms
je tekstberichten (sms of mms) lezen
tekstberichten (mms) ontvangen
tekstberichten (sms) ontvangen
SMS-berichten verzenden
je tekstberichten (sms of mms) bewerken
Telefoon
telefoonnummers rechtstreeks bellen
alle telefoonnummers rechtstreeks bellen
telefoonstatus wijzigen
uitgaande oproepen doorschakelen
gesprekkenlijst lezen
telefoonstatus en -identiteit lezen
gesprekkenlijst schrijven
Foto's/media/bestanden
de content van je USB-opslag lezen
de content van je USB-opslag aanpassen of verwijderen
Opslag
de content van je USB-opslag lezen
de content van je USB-opslag aanpassen of verwijderen
Camera
foto's en video's maken
Microfoon
audio opnemen
Informatie over wifi-verbinding
wifi-verbindingen weergeven
Informatie over apparaat-ID en oproepen
telefoonstatus en -identiteit lezen
Overig
melding over ontvangen WAP-PUSH-bericht verzenden
gegevens van internet ontvangen
netwerkverbindingen weergeven
accounts maken en wachtwoorden instellen
koppelen met Bluetooth-apparaten
sticky broadcast verzenden
netwerkverbinding wijzigen
wifi-verbinding maken en verbreken
je schermvergrendeling uitschakelen
volledige netwerktoegang
je audio-instellingen wijzigen
synchronisatie-instellingen lezen
uitvoeren bij opstarten
achtergrond instellen
accounts op het apparaat gebruiken
trilling beheren
voorkomen dat apparaat overschakelt naar slaapmodus
synchronisatie in- en uitschakelen
02-11-2016, 13:16 door
404_security_not_found
Door Ignitem:
Precies ook mijn bezwaar. De lijst is me echt te ziekelijk lang.
Ik wil gewoon een simpele veilige chat-app.
[/i]
Door Anoniem:
ehm... waarom wil Signal dan toegang tot alles op mijn Android?
Om de privacy van Signal-gebruikers te garanderen...
ehm... waarom wil Signal dan toegang tot alles op mijn Android?
Precies ook mijn bezwaar. De lijst is me echt te ziekelijk lang.
Ik wil gewoon een simpele veilige chat-app.
[/i]
Ik heb maar een toestemmings 'ding' moeten geven bij de installatie, namelijk toegang tot media bestanden. Net geupdate en geen extra toestemming nodig... hoe komen jullie aan zoveel permissies?
Door Ignitem:
Precies ook mijn bezwaar. De lijst is me echt te ziekelijk lang.
Ik wil gewoon een simpele veilige chat-app.
Versie 3.21.3 heeft toegang tot:
Apparaat- en appgeschiedenis
gevoelige logbestandsgegevens lezen
Identiteit
accounts op het apparaat vinden
je eigen contactkaart lezen
je eigen contactkaart aanpassen
Agenda
agenda-afspraken en vertrouwelijke informatie lezen
agenda-afspraken toevoegen of wijzigen en e-mails verzenden aan gasten zonder medeweten van de eigenaren
Contacten
accounts op het apparaat vinden
je contacten lezen
je contacten aanpassen
Locatie
geschatte locatie (netwerkgebaseerd)
precieze locatie (GPS- en netwerkgebaseerd)
Sms
je tekstberichten (sms of mms) lezen
tekstberichten (mms) ontvangen
tekstberichten (sms) ontvangen
SMS-berichten verzenden
je tekstberichten (sms of mms) bewerken
Telefoon
telefoonnummers rechtstreeks bellen
alle telefoonnummers rechtstreeks bellen
telefoonstatus wijzigen
uitgaande oproepen doorschakelen
gesprekkenlijst lezen
telefoonstatus en -identiteit lezen
gesprekkenlijst schrijven
Foto's/media/bestanden
de content van je USB-opslag lezen
de content van je USB-opslag aanpassen of verwijderen
Opslag
de content van je USB-opslag lezen
de content van je USB-opslag aanpassen of verwijderen
Camera
foto's en video's maken
Microfoon
audio opnemen
Informatie over wifi-verbinding
wifi-verbindingen weergeven
Informatie over apparaat-ID en oproepen
telefoonstatus en -identiteit lezen
Overig
melding over ontvangen WAP-PUSH-bericht verzenden
gegevens van internet ontvangen
netwerkverbindingen weergeven
accounts maken en wachtwoorden instellen
koppelen met Bluetooth-apparaten
sticky broadcast verzenden
netwerkverbinding wijzigen
wifi-verbinding maken en verbreken
je schermvergrendeling uitschakelen
volledige netwerktoegang
je audio-instellingen wijzigen
synchronisatie-instellingen lezen
uitvoeren bij opstarten
achtergrond instellen
accounts op het apparaat gebruiken
trilling beheren
voorkomen dat apparaat overschakelt naar slaapmodus
synchronisatie in- en uitschakelen
Door Anoniem:
ehm... waarom wil Signal dan toegang tot alles op mijn Android?
Om de privacy van Signal-gebruikers te garanderen...
ehm... waarom wil Signal dan toegang tot alles op mijn Android?
Precies ook mijn bezwaar. De lijst is me echt te ziekelijk lang.
Ik wil gewoon een simpele veilige chat-app.
Versie 3.21.3 heeft toegang tot:
Apparaat- en appgeschiedenis
gevoelige logbestandsgegevens lezen
Identiteit
accounts op het apparaat vinden
je eigen contactkaart lezen
je eigen contactkaart aanpassen
Agenda
agenda-afspraken en vertrouwelijke informatie lezen
agenda-afspraken toevoegen of wijzigen en e-mails verzenden aan gasten zonder medeweten van de eigenaren
Contacten
accounts op het apparaat vinden
je contacten lezen
je contacten aanpassen
Locatie
geschatte locatie (netwerkgebaseerd)
precieze locatie (GPS- en netwerkgebaseerd)
Sms
je tekstberichten (sms of mms) lezen
tekstberichten (mms) ontvangen
tekstberichten (sms) ontvangen
SMS-berichten verzenden
je tekstberichten (sms of mms) bewerken
Telefoon
telefoonnummers rechtstreeks bellen
alle telefoonnummers rechtstreeks bellen
telefoonstatus wijzigen
uitgaande oproepen doorschakelen
gesprekkenlijst lezen
telefoonstatus en -identiteit lezen
gesprekkenlijst schrijven
Foto's/media/bestanden
de content van je USB-opslag lezen
de content van je USB-opslag aanpassen of verwijderen
Opslag
de content van je USB-opslag lezen
de content van je USB-opslag aanpassen of verwijderen
Camera
foto's en video's maken
Microfoon
audio opnemen
Informatie over wifi-verbinding
wifi-verbindingen weergeven
Informatie over apparaat-ID en oproepen
telefoonstatus en -identiteit lezen
Overig
melding over ontvangen WAP-PUSH-bericht verzenden
gegevens van internet ontvangen
netwerkverbindingen weergeven
accounts maken en wachtwoorden instellen
koppelen met Bluetooth-apparaten
sticky broadcast verzenden
netwerkverbinding wijzigen
wifi-verbinding maken en verbreken
je schermvergrendeling uitschakelen
volledige netwerktoegang
je audio-instellingen wijzigen
synchronisatie-instellingen lezen
uitvoeren bij opstarten
achtergrond instellen
accounts op het apparaat gebruiken
trilling beheren
voorkomen dat apparaat overschakelt naar slaapmodus
synchronisatie in- en uitschakelen
Ik zou zeggen, lees het zelf:
http://support.whispersystems.org/hc/en-us/articles/212535858-What-are-all-these-permissions-
Ondanks dat blijf ik Signal gebruiken i.p.v. WhatsApp want feit blijft dat ze nauwelijks metadata opslaan en de code 100% open source en controleerbaar is op b.v. achterdeurtjes. Ook hebben ze niets met Facebook te maken gelukkig. Ze kunnen dus wel veel data uit je telefoon plukken maar die wordt nergens (centraal) opgeslagen.
Vanaf Android 6 kun je alle permissies per app ook eenvoudig zelf in en uit schakelen. Mijn Signal heeft alleen tot het hoogst noodzakelijke toegang.
GIHPY support hoeft van mij ook niet zo nodig maar als je wilt concurreren met andere messengers en mensen wilt overhalen op Signal over te stappen dan zul je wel wat extra's moeten bieden vrees ik, anders blijven ze eeuwig bij Whatsapp hangen.
Vanaf Android 6 kun je alle permissies per app ook eenvoudig zelf in en uit schakelen. Mijn Signal heeft alleen tot het hoogst noodzakelijke toegang.
GIHPY support hoeft van mij ook niet zo nodig maar als je wilt concurreren met andere messengers en mensen wilt overhalen op Signal over te stappen dan zul je wel wat extra's moeten bieden vrees ik, anders blijven ze eeuwig bij Whatsapp hangen.
02-11-2016, 15:39 door
johanw
Door Anoniem:
ehm... waarom wil Signal dan toegang tot alles op mijn Android?
Om voor de hand liggende redenen: adresboek om contacten te kunnen zoeken (op hun servers wordt alleen opgeslagen of een bepaald nummer Signal actief heeft of niet), positie om locatieberichten te kunnen versturen, sms berichten omdat het ook als sms client dienst kan doen, internet om voor de hand liggede redenen. Welke permissies vind je nog meer vreemd?Om de privacy van Signal-gebruikers te garanderen...
ehm... waarom wil Signal dan toegang tot alles op mijn Android?
Ik zou zeggen, lees het zelf:
http://support.whispersystems.org/hc/en-us/articles/212535858-What-are-all-these-permissions-
Dank aan anoniem 13:18http://support.whispersystems.org/hc/en-us/articles/212535858-What-are-all-these-permissions-
En toch moet ik er nog een nachte over slapen :-)
Door johanw:
Door Anoniem:
ehm... waarom wil Signal dan toegang tot alles op mijn Android?
Om voor de hand liggende redenen: adresboek om contacten te kunnen zoeken (op hun servers wordt alleen opgeslagen of een bepaald nummer Signal actief heeft of niet), positie om locatieberichten te kunnen versturen, sms berichten omdat het ook als sms client dienst kan doen, internet om voor de hand liggede redenen. Welke permissies vind je nog meer vreemd?Om de privacy van Signal-gebruikers te garanderen...
ehm... waarom wil Signal dan toegang tot alles op mijn Android?
Voor de hand liggende redenen, zeg je? "Calendar permissions are not used at the moment but they will be used in the future so you can share your calendar events by sending it as a message to your friends." Welja, laten we gewoon permissie vragen voor iets wat nu niet nodig hebben, maar misschien ooit ergens in de toekomst wel. Zo'n gemakzuchtige houding staat haaks op iedere serieuze security-minded benadering.
Begrijp me niet verkeerd -- Signal is een waardevolle app, maar het is niet de heilige graal. Er is veel ruimte voor verbetering.
zie https://conversations.im voor android opensource (gebruikt OMEMO) en gebruikt geen google push
of chatsecure voor ios en android ook opensource
of chatsecure voor ios en android ook opensource
Door Anoniem:
Voor de hand liggende redenen, zeg je? "Calendar permissions are not used at the moment but they will be used in the future so you can share your calendar events by sending it as a message to your friends." Welja, laten we gewoon permissie vragen voor iets wat nu niet nodig hebben, maar misschien ooit ergens in de toekomst wel. Zo'n gemakzuchtige houding staat haaks op iedere serieuze security-minded benadering.
Begrijp me niet verkeerd -- Signal is een waardevolle app, maar het is niet de heilige graal. Er is veel ruimte voor verbetering.
Helemaal mee eens. Ik heb deze onnodige permissies daarom uitgezet. (kan alleen vanaf Android 6). Al met al toch veel beter dan WhatsApp of Telegram enz. En ik wil niks met dat creepy Facebook te maken hebben.Door johanw:
Door Anoniem:
ehm... waarom wil Signal dan toegang tot alles op mijn Android?
Om voor de hand liggende redenen: adresboek om contacten te kunnen zoeken (op hun servers wordt alleen opgeslagen of een bepaald nummer Signal actief heeft of niet), positie om locatieberichten te kunnen versturen, sms berichten omdat het ook als sms client dienst kan doen, internet om voor de hand liggede redenen. Welke permissies vind je nog meer vreemd?Om de privacy van Signal-gebruikers te garanderen...
ehm... waarom wil Signal dan toegang tot alles op mijn Android?
Voor de hand liggende redenen, zeg je? "Calendar permissions are not used at the moment but they will be used in the future so you can share your calendar events by sending it as a message to your friends." Welja, laten we gewoon permissie vragen voor iets wat nu niet nodig hebben, maar misschien ooit ergens in de toekomst wel. Zo'n gemakzuchtige houding staat haaks op iedere serieuze security-minded benadering.
Begrijp me niet verkeerd -- Signal is een waardevolle app, maar het is niet de heilige graal. Er is veel ruimte voor verbetering.
Door Anoniem: zie https://conversations.im voor android opensource (gebruikt OMEMO) en gebruikt geen google push
of chatsecure voor ios en android ook opensource
Dat ziet er heel goed uit. Helaas is het al een hele klus om familie/vrienden over te halen naar Signal, laat staan dat ze gaan betalen voor een app. Persoonlijk betaal ik graag een paar euro voor een goed product.of chatsecure voor ios en android ook opensource
Het one size fits all staat mij ook tegen, je kunt niet zelf aangeven welke permissies je wel en niet wil geven. Terwijl het toch mijn eigen keuze zou moeten zijn om bepaalde features onbruikbaar te maken op godbetert mijn eigen toestel (don't get me started over alle bloatware op mijn Samsung... De volgende wordt zeker een ander merk). Een smartphone kopen lijkt wel wat op huren van een studentenkamer, het is niet van jou en je hebt niks te zeggen over de medebewoners.
Door Anoniem: Het one size fits all staat mij ook tegen, je kunt niet zelf aangeven welke permissies je wel en niet wil geven. Terwijl het toch mijn eigen keuze zou moeten zijn om bepaalde features onbruikbaar te maken op godbetert mijn eigen toestel (don't get me started over alle bloatware op mijn Samsung... De volgende wordt zeker een ander merk). Een smartphone kopen lijkt wel wat op huren van een studentenkamer, het is niet van jou en je hebt niks te zeggen over de medebewoners.
Vanaf Android 6 kun je per app aangeven welke permissies je geeft. Ik loop er na de installatie van een nieuwe app altijd even doorheen. Neemt niet weg dat ik ook liever direct na installatie geen onnodige permissies aan wil hebben die bedoeld zijn voor de toekomst.Ook Signal is niet 100% zoals ik het zou willen maar nog altijd stukken beter dan WhatsApp.
Door Anoniem:
Door Anoniem: zie https://conversations.im voor android opensource (gebruikt OMEMO) en gebruikt geen google push
of chatsecure voor ios en android ook opensource
Dat ziet er heel goed uit. Helaas is het al een hele klus om familie/vrienden over te halen naar Signal, laat staan dat ze gaan betalen voor een app. Persoonlijk betaal ik graag een paar euro voor een goed product.of chatsecure voor ios en android ook opensource
conversations is via f-droid gratis maar dat maakt het niet veel makkelijker voor familie/vrienden heb ik gemerkt :)
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
