image

Facebook zegt WhatsApp-encryptie niet te zullen verzwakken

donderdag 13 februari 2020, 09:50 door Redactie, 17 reacties

Sterke encryptie is vandaag de dag een noodzaak en daarom zal de versleuteling waarvan WhatApp gebruikmaakt niet worden verzwakt, zo laat Facebook weten bij de aankondiging dat het aantal gebruikers van de chatdienst de twee miljard is gepasseerd.

"Nu we meer van ons leven online doorbrengen, is het beschermen van onze gesprekken belangrijker dan ooit te voren", aldus Facebook. "Berichten worden alleen op je telefoon bewaard, en niemand kan je berichten onderweg lezen of je gesprekken afluisteren, zelfs wij niet. Je privégesprekken blijven privé." Al enige tijd claimen politici, opsporingsdiensten en sinds kort ook kinderorganisaties dat encryptie allerlei soorten criminaliteit en misbruik in de hand werkt en het opsporen en vervolgen van criminelen bemoeilijkt.

De Amerikaanse en Britse autoriteiten stuurden Facebook een open brief waarin werd gevraagd om encryptie niet uit te rollen voor Facebook Messenger en Instagram Messenger. Facebook ziet dat naar eigen zeggen niet zitten: "Sterke encryptie is vandaag de dag een noodzaak. We zullen niet op security toegeven omdat mensen zich hierdoor minder veiliger voelen."

Doordat verstuurde berichten niet onderweg zijn te onderscheppen zijn telefoons van gebruikers het doelwit geworden. In het verleden zijn er meerdere incidenten bekend geworden waarbij er via kwetsbaarheden in WhatsApp spyware op de telefoon van onder andere activisten werd geïnstalleerd. Daarmee kregen aanvallers toegang tot berichten en andere data die op de telefoon stond.

Reacties (17)
13-02-2020, 10:11 door Anoniem
Een paar backdoors vermomd als bug zijn natuurlijk veel makkelijker. En bij elke 'security update' zijn er nieuwe in te bouwen.
13-02-2020, 10:30 door Anoniem
Is ook niet nodig, de 3-letter diensten hebben toch al toegang via Google en de daar automatisch opgeslagen niet-versleutelde backup... omdat het makkelijk is. Gemak is ondergeschikt aan veiligheid, daarom dat volkstammen Whasapp en smoelenboek gebruiken.
13-02-2020, 10:31 door Anoniem
Euvel is dat we slecht uitleggen waarom we sterke encryptie willen. Die is niet primair gericht tegen overheden, hoewel een meerderheid van de overheden (laten we zeggen alles wat niet kan bewijzen in de (sub) top van de individual freedom scorelijst van de State of World Liberty Index (https://en.wikipedia.org/wiki/State_of_World_Liberty_Index) te kunnen blijven, van bovengenoemde statement uitgezonderd kan zijn. Encryptie is primair bedoeld tegen mensen en/of organisaties die schadelijke dingen met onze persoonsgegevens doen, in de breedste zin van het woord en ongeacht of het resultaat daarin per se hun bedoeling was. In een tijd van ICT moet je er van uitgaan dat deze groepen hooguit 1 of 2 jaar achterlopen op de meest efficiente overheid in middelen, en vermoedelijk op gelijke technologische voet uitgezonderd brute kracht staan.
13-02-2020, 10:42 door SecOff
Door Anoniem: Een paar backdoors vermomd als bug zijn natuurlijk veel makkelijker. En bij elke 'security update' zijn er nieuwe in te bouwen.
Het gebruik moeten maken van "backdoors" op individuele toestellen lijkt me niet echt "makkelijker" dan centraal alle gesprekken kunnen tappen en analyseren
13-02-2020, 10:46 door Anoniem
er mist een cruciaal woord: niet VERDER worden verzwakt.
het is namelijk al relatief eenvoudig te onderscheppen als je de juiste tools hebt.
13-02-2020, 10:49 door Anoniem
Het is gemakkelijk om pedofielen via metadata op te sporen. Gewoon oudere mensen die jongeren toevoegen flaggen en dan in de WhatsApp of Facebook client de gesprekken automatisch monitoren. Daar hoeft niets voor via de servers van Facebook te gaan, tot als er daadwerkelijk iets gevonden is.
13-02-2020, 10:55 door Anoniem
Berichten worden alleen op je telefoon bewaard

Hoe werkt dat dan bij Whatsapp Web?
13-02-2020, 11:48 door DLans
Door Anoniem:
Berichten worden alleen op je telefoon bewaard

Hoe werkt dat dan bij Whatsapp Web?

Je scant een QR code met je telefoon, en vervolgens maakt whatsappweb connectie met je telefoon. Schakel je internet maar eens uit op je telefoon, dan werkt whatsapp web ook niet meer.
13-02-2020, 11:54 door johanw
Door Anoniem: Euvel is dat we slecht uitleggen waarom we sterke encryptie willen. Die is niet primair gericht tegen overheden,
Spreek voor jezelf. Wat mij betreft is encryptie juist wel primair om overheden buiten te houden. Zeker als je politieke opvattingen hebt die actief bestreden worden door de zittende machten is dat noodzqkelijk. Ook in landen als Nederland waar regeringen zich actief bemoeien met het dwarsbomen van politieke tegenstanders als Geert Wilders.
13-02-2020, 12:00 door johanw
Door Anoniem: Het is gemakkelijk om pedofielen via metadata op te sporen. Gewoon oudere mensen die jongeren toevoegen flaggen en dan in de WhatsApp of Facebook client de gesprekken automatisch monitoren. Daar hoeft niets voor via de servers van Facebook te gaan, tot als er daadwerkelijk iets gevonden is.
Toevoegen? Op FB bedoel je? Leuk voor (groot)ouders die hun (klein)kinderen toevoegen, of mensen die nichtjes en neefjes of kinderen van goede bekenden als FB vriend hebben. Dan kun je net zo goed iedereen afluisteren. En WA is versleuteld, daar valt niks aan te monitoren en dat wil FB gelukkig zo houden ook.

What's next? Mensen die moslims of Russen als vriend toevoegen afluisteren?
13-02-2020, 13:17 door Anoniem
Waarom maakt Whatsapp sindskort eigenlijk gebruik van amazonaws.com en niet meer van sl-reverse.com?

Uiteraard verbindt Whatsapp ook met facebook.com, fbcdn.net en 1e100.net, maar die kun je blokkeren terwijl de app redelijk blijft werken. Alleen voor het ophalen van afbeeldingen e.d. zet je fbcdn eventjes aan.

Vertrouw Amazon niet zo, veel apps/sites gebruiken dit en zo wordt een uitgebreid profiel van je maken wel heel eenvoudig.
13-02-2020, 13:27 door Anoniem
Door Anoniem:
Berichten worden alleen op je telefoon bewaard

Hoe werkt dat dan bij Whatsapp Web?
Berichten worden NIET alleen op je telefoon bewaard.

Whatsapp backupt dagelijks je whatsapp gesprekken naar je google account TENZIJ je dit handmatig uitzet
13-02-2020, 18:09 door Anoniem
Men moet als het goed is ook al voldoende kunnen afleiden uit meta-data
en het voortgezet stalken Internet-breed waar weer Google toe in staat is.

Dan is er ook nog de eenzijdeige facebook site checking als bijkomend item.
facebook ondersteunt dus een specifieke agenda, waar niet iedereen mogelijk achterstaat.

Laten we eens hier kijken:
voor: -https://www.facebook.com/MomsStopTheHarm/posts/2717989018320298

-> een capped-C grade, security score 7: https://webcookies.org/cookies/www.facebook.com/29014275?476273

Zwakheden:
No base-uri allows attackers to inject base tags which override the base URI to an attacker-controlled origin. Set to 'none' unless you need to handle tricky relative URLs scheme

Policy that has script-src but not object-src allows script execution by injecting plugin resources. Please read our CSP guidance for more details for more details

The default-src data: origin allows bypassing CSP and execution of inlined untrusted scripts

The script-src data: origin allows bypassing CSP and execution of inlined untrusted scripts

The default-src data: origin allows bypassing CSP and execution of inlined untrusted scripts

Origin default-src 'unsafe-inline' allows bypassing of CSP and execution of inlined untrusted scripts. Use 'nonce-' or 'sha256-' instead

Origin default-src 'unsafe-eval' allows bypassing of CSP and execution of inlined untrusted scripts. Use 'nonce-' or 'sha256-' instead

The page loads 35 third-party JavaScript files and 48 CSS but does not employ Sub-Resource Integrity to prevent breach if a third-party CDN is compromised.

Dit om enkele zwakheden op te noemen, die het privacy & security rapportje voor facebook dot com aangeven.

Check CSP hier: https://csp-evaluator.withgoogle.com/hvTwhy#

luntrus
13-02-2020, 20:46 door Anoniem
1984 on steroids
wel grappig
we zitten erbij
wij kijken erna
we doen er niets aan
ik heb het wel zo ongeveer gehad met het internet social media smartphones en interconnectiviteit
I m going offline the internet does not need me
i don t need the internet
15-02-2020, 21:57 door Anoniem
Door Anoniem: Euvel is dat we slecht uitleggen waarom we sterke encryptie willen.
Ik denk niet dat "we" dat slecht uitleggen. De verschillende experts hebben duidelijk gemaakt dat 1) sterke encryptie een must is voor iedere burger in deze wonderlijke nieuwe wereld vol met kompjoeters en interwebbertubes, en 2) de wiskunde botweg niet toestaat om alleen de mensen die niets op de kerfstok hebben sterke encryptie te laten gebruiken, het is alles of niets. Achterdeurtjes, "wettelijke tapbevoegdheden", hoe je het ook noemt, het betekent allemaal *poef* weg sterke encryptie. En dan is de afweging doodsimpel. Zijn we meer gebaat met sterke encryptie voor iedereen, of alleen voor diegenen van wie je het niet wil maar die zich toch niet aan jouw wetjes houden? Want sterke encryptie bestaat en verdwijnt niet.

Dit is bekend en is dus ook precies niet wat de verschillende overheden bestrijden. Ze propaganderen hun eigen gelijk en roeptoeteren dan over emotioneel-geladen dingen, je kent het riedeltje wel, en dat ze dus daarom echt wel hun achterdeurtjes moeten hebben. En kijk maar, bij de telefoon kon het toch ook? Een valse vergelijking want de veiligheid van de telefoon bestaat uit kleine lettertjes, niet uit wiskunde. Maar dat ``vergeten'' ze Iedere. Keer. Weer. Daar kun je niet tegenop met je uitleggen.

Het is propaganda. Dat is ook precies hoe het opgezet is: De FBI roeptoetert wat, Gabberhausse mag opdraven om mee te doen (je ziet 'm al "jottem!" gaan), eurpol roeptoetert wat, interpol roeptoetert wat, een of andere club omhooggevallen digitale kinderbeschermers uit het VK roeptoetert wat, en zo voort, en zo verder.

Dus als je zegt, hier moeten we tegenin, dan moeten we een nog pakkendere propagandaboodschap verzinnen. En probeer dat maar eens te doen zonder "roverheid" en andere ammunitie aan je tegenstanders om je als geflipt aluhoedje weg te zetten. Maar let wel, dit is geen discussie die je op argumenten gaat winnen. Dat was met de clipper chip. Nu hebben ze bijgeleerd en gaan ze vol op het orgel van de propaganda. De inhoud winnen ze het niet mee, dat weten ze, dus proberen ze het niet eens meer.
16-02-2020, 00:00 door Anoniem
RC4 is toch ook zwak?
17-02-2020, 21:18 door Anoniem
Door Anoniem:
Door Anoniem:
Berichten worden alleen op je telefoon bewaard

Hoe werkt dat dan bij Whatsapp Web?
Berichten worden NIET alleen op je telefoon bewaard.

Whatsapp backupt dagelijks je whatsapp gesprekken naar je google account TENZIJ je dit handmatig uitzet
Fout, standaard staat backup naar google uit. Je moet het zelf inschakelen en je wordt gewaarschuwd dat de google backup onversleuteld is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.