image

WhatsApp-account voortaan op meerdere telefoons tegelijk te gebruiken

dinsdag 25 april 2023, 16:22 door Redactie, 9 reacties

WhatsApp heeft een nieuwe optie toegevoegd waardoor gebruikers hun account op meerdere telefoons tegelijk kunnen gebruiken. In totaal is het mogelijk om vier extra apparaten aan het account te koppelen. Elke gekoppelde telefoon maakt afzonderlijk verbinding met WhatsApp. Wanneer de primaire telefoon langere tijd niet in gebruik is zal de gebruiker automatisch bij de aanvullende apparaten worden afgemeld.

De update die het koppelen van accounts mogelijk maakt wordt momenteel wereldwijd uitgerold en is in de komende weken voor alle gebruikers beschikbaar. Ook wordt in de komende week een alternatieve manier geïntroduceerd om aanvullende telefoons en andere apparaten te koppelen. Gebruikers kunnen straks op WhatsApp Web hun telefoonnummer invoeren, om zo een eenmalige code te krijgen. Deze code is vervolgens te gebruiken om de andere apparaten aan het account te koppelen, zonder dat dit via een qr-code moet zoals nu het geval is.

Reacties (9)
25-04-2023, 16:34 door Anoniem
Was al mogelijk met root rechten. Nu tracken ze dus al je aparaten.
25-04-2023, 17:08 door majortom
dan moet je de private keys ook op die andere toestellen zetten. Is toch wel een dingetje (ook qua security) om private keys te kopieren. Vraag me af hoe dat wordt gedaan als je alleen maar een code hoeft in te voeren en niet bijvoorbeeld een QR code hoeft te scannen.
25-04-2023, 18:43 door Anoniem
nou nee dankje ik pas
25-04-2023, 22:39 door Anoniem
Door majortom: dan moet je de private keys ook op die andere toestellen zetten. Is toch wel een dingetje (ook qua security) om private keys te kopieren. Vraag me af hoe dat wordt gedaan als je alleen maar een code hoeft in te voeren en niet bijvoorbeeld een QR code hoeft te scannen.

Ik beschouw communicatie over Whatsapp niet als private.
26-04-2023, 10:36 door _R0N_
Door majortom: dan moet je de private keys ook op die andere toestellen zetten. Is toch wel een dingetje (ook qua security) om private keys te kopieren. Vraag me af hoe dat wordt gedaan als je alleen maar een code hoeft in te voeren en niet bijvoorbeeld een QR code hoeft te scannen.

Bij WhatsApp beheer jij de private keys niet, dat doet WhatApp. Je kunt je berichten ook op je computer (web based) en je telefoon lezen dus beide devices kennen de keys al.
26-04-2023, 11:35 door majortom - Bijgewerkt: 26-04-2023, 11:35
Door _R0N_:
Door majortom: dan moet je de private keys ook op die andere toestellen zetten. Is toch wel een dingetje (ook qua security) om private keys te kopieren. Vraag me af hoe dat wordt gedaan als je alleen maar een code hoeft in te voeren en niet bijvoorbeeld een QR code hoeft te scannen.

Bij WhatsApp beheer jij de private keys niet, dat doet WhatApp. Je kunt je berichten ook op je computer (web based) en je telefoon lezen dus beide devices kennen de keys al.
Oef, maar goed dat ik dat dan niet gebruik. End-2-end encryptie bestaat dus niet binnen WhatsApp, aangezien WhatsApp zelf als een MitM kan acteren (deze heeft immers controle over de sleutels). En het woord "private" kunnen we dan weglaten, want echt prive zijn deze sleutels dan niet.
26-04-2023, 14:42 door Anoniem
Is er in WhatsApp wel een duidelijk overzicht te zien van de gekoppelde apparaten?
26-04-2023, 17:09 door Erik van Straten
Door majortom: En het woord "private" kunnen we dan weglaten, want echt prive zijn deze sleutels dan niet.
Voor mijzelf, en vermoedelijk voor heel veel mensen, geldt dat de meeste van mijn chatberichten nauwelijks geheim zijn en dat ze, in elk geval voor cybercriminelen, totaal niet interessant zijn. Wellicht wel voor marketeers en AI-ontwikkelaars, maar die hebben er niet onbeperkt geld voor over om de speld in de chat-hooiberg te vinden: lastig te onderscheppen chats zijn al snel veilig genoeg, vooral als je geen VIP bent (of een verdachte zware crimineel).

Wel heel belangrijk vind ik dat als ik bijv. een (Threema, ik gebruik WhatsApp niet) bericht van mijn zoon krijg, ik behoorlijk zeker weet dat hij dat heeft gestuurd.

Het vaststellen van de authenticiteit van berichten gebeurt ook met een asymmetrisch sleutelpaar (de verzender signeert digitaal met diens private key, en de ontvanger controleert de digitale handtekening m.b.v. de bijpassende public key). Hoe groot de kans is dat een bericht authentiek is, wordt in elk geval bepaald door hoe zeker je weet dat een public key die jij hebt écht van de kennelijke afzender is, én hoe zeker je weet dat (een kopie van) de bijpassende private key van de afzender niet in verkeerde handen is gevallen.

Kortom, het gaat niet alleen om geheimhouding ("D2DE" = Device to Device Encryption), maar ook om authenticiteit: wie heeft het bericht verzonden en is het ongewijzigd sinds die verzending.

Terzijde
Overigens lijkt het mij verstandig (maar voor veel mensen wellicht te omslachtig) om op elk device er een unieke digitale identiteit (en dus sleutels) op na te houden. Dan kun je, als zo'n device gestolen wordt of gecompromitteerd raakt, hopelijk zonder ingewikkelde toestanden, de sleutels voor jouw identiteit op dat specifieke device intrekken.

Nb. dat vereist dan wel een betrouwbare revocation-oplossing die daadwerkelijk geraadpleegd wordt en niet tot grote privacy-risico's leidt, wat allesbehalve eenvoudig is.

Datzelfde zou ook voor accounts (banken, websites, ...) kunnen gelden. Bijv. op security.nl zou ik met de volgende accounts kunnen hebben (met elk een random gegenereerd wachtwoord):
• "Erik van Straten" vanaf A1 met wachtwoord1
• "Erik van Straten" vanaf A2 met wachtwoord2
• "Erik van Straten" vanaf A3 met wachtwoord3
waarbij A1..A3 apparaat-aliases zijn voor bijv. mijn PC, iPhone en Android telefoon. Met een soort van "OCSP-stapling" zou bij elke inlog het niet ingetrokken zijn kunnen worden aangetoond. Als bijv. mijn A2 gestolen wordt, hoef ik dat maar op 1 plaats te melden waarna niemand vanaf A2 als mij kan inloggen.

Voor WebAuthn met FIDO2 hardware keys (private keys niet exporteerbaar) is "meerdere credentials" al een voorwaarde, maar bij WebAuthn is -voor zover ik weet- revocation nog een "todo-dingetje" (hopen maar dat niemand jouw Yubikey pincode heeft afgekeken of gesnifft op een gecompromitteerd apparaat).
29-04-2023, 07:35 door Anoniem
mensen zouden er goed aan doen als ze op een andere chat dienst als session of matrix overstappen dan whatsapp aangezien massa surveilance bij whatsapp nu gewoon werkelijkheid geworden is. al je berichten worden gescanned tegen een algorithme waar jij geen weet van hebt.

https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019R1150

https://www.patrick-breyer.de/en/posts/messaging-and-chat-control/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.