E2EAaE (of E2EA)
We zouden de afkorting E2EAaE moeten gaan gebruiken, voor End to End Authentication and Encryption.

Dat vind ik omdat veel te weinig mensen beseffen dat authenticatie de eerste voorwaarde is voor authenticiteit en vertrouwelijkheid. Het is zinloos om een verbinding met een impersonator te versleutelen.

En als E2EAaE te lang is, doe dan E2EA - authenticatie is belangrijker dan encryptie.

Immers, communiceren met een impersonator is altijd ongewenst. Als je, via internet, onversleuteld met de bedoelde persoon zou communiceren, bestaat er een kans dat dit wordt afgeluisterd, is die kans is weer onder te verdelen in wel- en niet-kwaadwillenden, en vervolgens, afhankelijk van de inhoud, de kans dat überhaupt iemand de speld in de hooiberg gaat zoeken en daar daadwerkelijk misbruik van wordt gemaakt. Als jouw briefkaart met none of your business-, maar niet top-secret-, informatie niet op het bedoelde adres maar bij een ander bezorgd wordt, is dat in de meeste gevallen onwenselijker dan dat een postsorteerder die briefkaart leest.

Oftewel: "ik heb niets te verbergen" is ongelofelijk naïef, maar alles willen verbergen is overdreven.

Nb. ik pleit niet voor WhatsApp (integendeel); dit geldt voor elke chat-app die fatsoenlijke wederzijdse authenticatie en encryptie ondersteunt.

Toename gecompromiteerde smartphones?
Zorgwekkend vind ik wel dat kennelijk ook Meta een toename van gecompromiteerde smartphones constateert waar kennelijk private keys vanaf gestolen worden. Zie ook de Quadream-spyware voor iOS in https://security.nl/posting/792793 en de Godfather trojan voor Android in https://tweakers.net/nieuws/207028/#r_18501974.

Bovendien lijkt een vergelijkbare rat-race als met anti-cheat software op gamer-PC's nu ook op smartphones "de normaal" te worden (of eerder al, wie herinnert zich de Sony-rootkit nog). Het checken of een device wel 'veilig' is, is an sich niet risicoloos - want als de bijbehorende gegevens (zoals welke apps en versies er op staan, en eventuele ongepatchte kwetsbaarheden in OS en hardware), in verkeerde handen vallen, is dat juist niet de bedoeling.

Bouwen op drijfzand
De heipalen onder internet krijgen steeds meer last van houtrot.

Tenzij je een politieagent bent en, in opdracht van de OvJ, dat doet met doel om de oplichter te ontmaskeren.

Duh, communicatie met een slachtoffer van impersonatie is altijd gewenst door de impersonator, ongeacht of die impersonator een neppe bankhelpdeskmedewerker of een opsporingsambtenaar is.

Laten het nou net de opsporingsdiensten zijn die op een transparante manier toegang hebben tot allerlei middelen om dingen te doen die gewone burgers niet mogen. Daar leggen ze daarna in het openbaar verantwoording over af. Dat heet nou 'Rechtsstaat'.

De gemiddelde crimineel zit toch echt anders in de wedstrijd.

n.b. geheime diensten mogen weer net wat meer en hoeven daar een stuk minder verantwoording over af te leggen. Maar ook zij moeten uiteindelijk alles openbaren (kan 75 jaar duren).

Oplichters? Die zaken worden toch geseponeerd wegens gebrek aan personeel. Het is veel dringender met politieke tegenstanders van de regering aan te pakken, of te zoeken naar verspreiders van "nepnieuws".

Oh daar zullen die vele gebruikers op mijn werk die hun telefoon kapot of in het water laten vallen vast heel blij mee zijn!
(je weet dat telefoons van de baas veel gemakkelijker kapot gaan dan privé toestellen)

En wat als je oude telefoon defect is of is gestolen ?

“onofficiële versies van WhatsApp” ?
Waar vind ik die?
Nooit geweten dat die ook bestaan.

Dan heb je geen last van de storing ;-)

Precies mijn gedachte. Je zou verwachten dat men over dit soort scenario's heeft nagedacht...

Mijn bank heeft mij onlang laten weten dat ik mij vanaf nu alleen nog met mijn smartphone kan identificeren. Ik heb hen precies deze vraag gesteld. In hun antwoord praatte men hier handig omheen, maar duidelijk was wel dat er geen oplossing is voor een dergelijk scenario. @Triodos

(Lacht in zijn vuistje) Gelukkig gebruik ik geen Whatsapp dus heb ik ook nergens last van.