Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 113 reacties
Submitter: rubyn

WhatsApp voor Android, iOS, BlackBerry en Windows Phone krijgt op korte termijn ondersteuning voor end-to-end-encryptie bij telefoniegesprekken. Dat blijkt uit teksten die op de vertaalpagina van de chatdienst staan. Ook komt end-to-end-encryptie naar groepsgesprekken.

WhatsApp gaat zijn beveiligingsfunctionaliteit flink uitbreiden, blijkt uit teksten die vrijwillige vertalers voor de dienst voorgeschoteld krijgen. De dienst kondigde in 2014 aan end-to-end-encryptie te implementeren en is de beveiliging sindsdien aan het inzetten voor Android-instantmessaging, maar officieel zegt het chatbedrijf er nog niets over in zijn faq's.

Dat gaat binnenkort veranderen en er komt een speciale sectie om uitleg te geven over de beveiliging voor iOS, Android, Windows Phone en BlackBerry, waarbij de dienst benadrukt dat noch WhatsApp noch derde partijen de berichten kunnen inzien. Het gaat niet alleen om berichten, maar ook om bellen. "Indien dit wordt aangeven, maken uw oproepen en de berichten die u verzendt automatisch gebruik van end-to-end encryptie", staat bij de vertalingen.

WhatsApp end-to-end Android

De apps krijgen verder ondersteuning voor beveiligde groepsgesprekken, blijkt uit de te vertalen tekst: "This group is end-to-end encrypted. To verify, select a participant and choose the ...menu." Ook krijgen gebruikers een melding als een beveiligde chatsessie niet volledig end-to-end versleuteld is, omdat de ontvanger nog niet op een versie van WhatsApp zit die dit ondersteunt. De dienst gaat codes inzetten waarmee gebruikers de identiteit van hun gesprekspartner kunnen verifiëren, als beveiliging tegen man-in-the-middle-aanvallen. Als de securitycodes van gebruikers wijzigen, kunnen hun contacten daarvan een melding krijgen.

WhatsApp end-to-end Android 2

Bij de implementatie werkt WhatsApp samen met Open Whisper Systems, dat zelf de in securitykringen als veilig beschouwde app Signal ontwikkelt. Bij end-to-end-encryptie wordt de versleuteling rechtstreeks tussen de twee chattende partijen opgezet. De stap van WhatsApp zorgt ervoor dat de privacy van privégesprekken van miljoenen gebruikers wereldwijd beter beschermd wordt en het voor bijvoorbeeld inlichtingendiensten aanzienlijk moeilijker wordt de communicatie in te zien.

Update 16.00, aanvankelijk stond bij dit bericht alleen Android genoemd, maar ook bij de vertaalsecties voor iOS, BlackBerry 10 en Windows Phone zijn de betreffende teksten te vinden. Het bericht is hier op aangepast.

Moderatie-faq Wijzig weergave

Reacties (113)

Niet alleen Android hoor. :)
iOS, BlackBerry 10 en Windows Phone ook... ;)
Die krijgen alle vier volledige end-to-end encryptie voor chats, groepchats, verzendlijsten en WhatsApp-oproepen.

Als je de vertaalstrings zoekt om dat te checken, die staan hier:
iPhone: https://translate.whatsapp.com/nl/iPhone/edit/806453
BB10: https://translate.whatsapp.com/nl/bb10/edit/826806
WP: https://translate.whatsapp.com/nl/WP/edit/798560

Bij deze drie wordt, naast Android, uiteraard ook de Beveiligingsmeldingen functie toegevoegd en de Beveiligingscode controle ingevoerd.

Oudere versies van Blackberry zijn pas sinds gisteren de vertraalstrings online gekomen voor de encryptie, daar zit "calls" niet bij; enkel "messages". Of dat betekend dat oudere versies van BB helemaal geen E2EE ondersteunen voor telefoon gesprekken is onbekend.
Symbian ondersteund tot zover helemaal geen encryptie als we op de translate engine afgaan.

[Reactie gewijzigd door WhatsappHack op 26 februari 2016 15:24]

WhatsappHack, mooi en uitgebreid bericht weer :), +3. Ben benieuwd wanneer de nieuwe GUI style etc komt naar WhatsApp. Een aantal maanden geleden kondigde ze aan dat dit zeer binnenkort wordt uitgerold. Zal wel al in de bèta zijn.
Thanks! :)
Bedoel je voor iOS of Windows Phone? Android had de facelift al gekregen dacht ik.
Geen flauw idee wanneer dat uitkomt, maar gezien de volgende WhatsApp update waar de functionaliteit uitgemeten in dit artikel gigantisch groot is; zou je best kunnen stellen dat daar ook een GUI revamp bij inbegrepen kan zijn, gezien ze sowieso voor deze functies aardig wat zaken moeten aanpassen. :)
Voor Android denk ik (het meest voor de hand liggend)

Het is wel van NU.nl. Dus ik weet niet of ik dit nou moet geloven.

http://www.nu.nl/tech/418...ie-en-nieuw-ontwerp-.html

[Reactie gewijzigd door AnonymousWP op 26 februari 2016 16:43]

WhatsApp, fix dan eerst je authenticatie. Op het moment zijn de wachtwoorden zeer simpel te kraken:
Its an incredibly horrible implementation. As researcher found out, the username is the user’s phone number – an attacker would probably already knows the victim’s number.

On Android, the password is a md5 hash of the reversed IMEI number:

$imei = "112222223333334"; // example IMEI
$androidWhatsAppPassword = md5(strrev($imei)); // reverse IMEI and calculate md5 hash

On iOS, the password is generated from the devices WLAN MAC address:

$wlanMAC = "AA:BB:CC:DD:EE:FF"; // example WLAN MAC address
$iphoneWhatsAppPassword = md5($wlanMAC.$wlanMAC); // calculate md5 hash using the MAC address twice
Totdat dit wordt gefixt beschouw ik dit als schijnveiligheid.

Edit: http://geeknizer.com/how-to-hack-whatsapp-messenger/

[Reactie gewijzigd door Flippylosaurus op 26 februari 2016 14:27]

Onzin, dit gebruikt WhatsApp al sinds 2013 niet meer. Er wordt server-side een random wachtwoord gegenereerd (variable 'pw' in de response over SSL)

Bronnen:
https://blog.heckel.xyz/2...ord-and-restore-user-data
https://github.com/mgp25/...ation#number-registration
https://github.com/mgp25/...src/Registration.php#L187
http://www.techradar.com/...-using-whatsapp-1315610/2
etc.

[Reactie gewijzigd door P1nGu1n op 26 februari 2016 15:15]

Hoe vaak wordt het IMEI gecommuniceerd naar buiten? En is dat simpel af te vangen. Zo ja -> probleem. Zo nee -> valt wel mee
Definieer "buitenwereld". Het staat op de doos van je telefoon. Het staat vaak op of aan de binnenkant van je telefoon. Je operator kent het. Drie redenen genoeg om je imei niet als basis voor een "veilig" wachtwoord te nemen.

[Reactie gewijzigd door Odiebla op 26 februari 2016 22:51]

Dan moet je dus in 2 van de drie gevallen al fysiek toegang hebben tot de telefoon. Dan is natuurlijk de vraag in hoeverre de encryptie van Whatsapp nog het probleem is.
Het imeinummer is gewoon via de Phone uit te lezen. Zo gehackt als her moet.
Het laatste bericht dat ik hierover kon vinden dateert van ergens in 2013. Heb je een recente link waaruit blijkt dat dit nog steeds zo is?

Want de implementatie van end-to-end encryptie is van meer dan een jaar later en je zou er toch vanuit moeten kunnen gaan dat dat toen ook aangepakt is. Mede ook omdat ze behoorlijk gerespecteerde cryptografen hieraan hebben laten werken (Moxie Marlinspike).

[Reactie gewijzigd door wph op 26 februari 2016 15:18]

Het artikel waar jij naar linkt is van 2012. Weet je zeker dat dit nu nog van toepassing is?
Dit zou het wel heel erg makkelijk maken om WhatsApp gesprekken te onderscheppen binnen het netwerk.
Dit is uit 2012. Het protocol dat men nu gebruikt is al heel anders.

WhatsApp was totale bagger in die tijd, met eigen browsels, maar is nu hard op weg de beste te worden (op wellicht bepaalde heel exotische chat apps na).
In ieder geval veiliger dan SIP.
Als alles bij whatsapp daadwerkelijk P2P encrypted word, wat is dan nog het nut van Signal?

En haalt Signal hiermee niet zijn eigen fundering (privacy door veiligheid) onderuit?
Hun fundering halen ze sowieso niet onderuit natuurlijk. Signal blijft een gigantisch mooi product, en het door dezelfde makers ontwikkelde Axolotl (wat dus ook in WhatsApp is geimplementeerd) zit erin.

Toch zitten er natuurlijk verschillen in.
Een argument dat je hier vaak zal horen is "natuurlijk is er nut, want het is niet van Facebook!!".
Dat laat ik achterwege, want ik vind dat buitengewoon ongefundeerd; alsof de dienst Facebook hetzelfde is als het bedrijf Facebook en dus nooit iets goeds kan doen. Blinde irrationele haat vind ik dat. (Ik heb zelf ook een redelijke achterdocht voor de dienst Facebook, maar niet voor Facebook an sich. Same shit met Alphabet. Google weet bizar veel over je en gebruik ik voorzichtig, maar wat ze bijvoorbeeld doen bij Boston Dynamics is gewoon *geniaal*. Anyway, ik drijf af. :P)

Die onzin dus even terzijde, heeft Signal natuurlijk zeker nog bestaansrecht en zitten er kleine, maar voor sommige mensen fundamentele, verschillen in. Het zal sommige mensen, doch niet de massa, aantrekken omdat het opensource is. Sommige mensen hechten daar enorm veel waarde aan, en vertrouwen niets dat closed source is. Daar is Signal een oplossing voor.

Daarnaast is Signal op dit moment bezig (in beta) met een desktop client die op een andere manier werkt dan die van WhatsApp.
Zie:
https://github.com/WhisperSystems/Signal-Desktop
http://support.whispersys...Desktop-How-can-I-sign-up-

Het fundamentele verschil is dat, zonder de encryptie af te zwakken, de Signal desktop client meerdere keys per chat kan opzetten en zo de noodzaak dat je telefoon verbonden en online moet zijn (zoals bij WhatsApp het geval is) heeft geëlimineerd. (Nadeel: meer traffic, en meer berichten die lange tijd op de server blijven hangen. Dat is met E2EE geen privacy probleem, maar voor WhatsApp is dat wat lastiger want die hebben een miljard gebruikers versus een paar honderd tot paar duizend bij Signal. Dan spring je wat rustiger met je resources om. :P)
Sommige mensen vinden dat fijner. (Mij persoonlijk kan het geen reet boeien ;))
Bij WhatsApp kan dit om een aantal redenen op dit moment niet, zeker niet in het laatste geval omdat WhatsApp gewoon veel meer platforms ondersteund dan Signal en het dus iets lastiger is om op alle platforms dezelfde functionaliteit uit te rollen.

Heeft Signal dus nog nut? Zeker. Al is het alleen al vanwege de ontwikkeling van Axolotl en de prachtige cryptografische oplossingen die Open Whisper Systems eruit perst.

Verschilt de beveiliging veel met WhatsApp?
Nee, dat totaal niet. WhatsApp zal als de uitrol compleet is één van de veiligste platforms zijn, en als dat je enige afweging is dan is de keuze tussen WhatsApp en Signal enkel nog maar de afweging tussen wie de eigenaar is (immers is het wel correct dat er metadata verzameld kan worden (wie praat met wie), of de hele kleine verschillen; maar zullen de meeste mensen waarschijnlijk voor WhatsApp kiezen omdat die tig keer meer gebruikers hebben die je kan bereiken (mede omdat WhatsApp meer platforms ondersteund; sommige mensen kunnen Signal niet eens gebruiken.), en de gegevens die verzameld worden dusdanig kleinschalig zijn dat het nauwelijks tot totaal geen werkelijke inbreuk maakt op je privacy. (Die metadata bijhouden van telefoongesprekken bijvoorbeeld is gewoon een wettelijke plicht. Daar kunnen ze niet onderuit.)

WhatsApp en Signal zullen dus, op de meeste zo niet alle platforms waar ze beiden actief zijn, even veilig zijn qua encryptie. Het zijn de kleine verschillen, het aantal gebruikers, en het aantal platforms dat ondersteund wordt dat hen onderscheid.
... En voor beiden is een markt. :) Derhalve is er absoluut nog nut voor Signal, en hoop ik dat ze nog vele jaren goed aan de weg blijven timmeren zoals ze nu al doen.

[Reactie gewijzigd door WhatsappHack op 27 februari 2016 02:25]

"maar wat ze bijvoorbeeld doen bij Boston Dynamics is gewoon *geniaal*. Anyway, ik drijf af. :P)"

Geniaal is het zeker. Maar niet gewoon, dit gaat de hele wereld op zijn kop zetten de komende eeuw. Werd ook wel eens tijd, alleen hopen dat er iets goed uit rolt.

Ik voorzien een hele hoop "useless eaters(in de ogen van sommige wannabe dictators)" en psychopaten die dan geen steun meer nodig hebben van mensen om hun snode plannen uit te voeren. En de mogelijkheid hele legers te hacken. Want dat is het eerste wat er mee gaat gebeuren, legers maken. Droid legers, clone legers.

Die Atlas die Boston Dynamics de 23ste op YouTube toonde is behoorlijk bruut.
https://www.youtube.com/watch?v=rVlhMGQgDkY

[Reactie gewijzigd door The Reeferman op 27 februari 2016 15:03]

Waarom roept de NL politie dan dat WhatsApp berichten niet zo veilig zijn als men denkt? Of bluffen ze? Ik heb de opsporingsdiensten nog niet horen klagen over WhatsApp wat ik een beetje verdacht vind.
Dat heeft de NL politie niet geroepen, dat heeft de AIVD geroepen.
En dat was gebaseerd op het tijdperk vóór end-to-end encryptie, dat slaat niet op de huidige implementatie... Daar zal de AIVD niet blij mee zijn. (Over welke app heb je de Nederlandse opsporingsdiensten wel horen klagen dan, trouwens...?)
De politie kan het weinig boeien, die kunnen sowieso enkel de berichten inzien als ze ook werkelijk het toestel in handen hebben of als iemand het naar ze doorstuurt.
Als ik bijvoorbeeld via WhatsApp Web inlog dan zie ik mijn gesprekken. Dat betekent dat deze ergens centraal opgeslagen staan bij WhatsApp want anders kan dit niet werken. Dit betekent volgens mij dat de end-to-end encryption een wassen neus is.
Als je niet weet hoe het werkt, waarom trek je dan toch een conclusie...?
Die gesprekken komen vanaf je telefoon. Je telefoon en je computer doen een handshake, zetten end-to-end encryptie met elkaar op, en vervolgens upload je telefoon je berichten (voor een klein gedeelte, de eerste 10 in een gesprek ofzo) naar je PC en is de verbinding established.

Er staat dus niets opgeslagen bij WhatsApp, dat is helemaal niet vereist voor WhatsApp Web om te functioneren. Het enige dat vereist is, is dat je telefoon ingeschakeld is omdat enkel daar, en nergens anders, je berichten en de sleutels voor je gesprekken worden bewaard.

Als jij dus met WhatsApp Web een bericht stuurt, dan gaat dat eerst naar je telefoon en *daar* wordt het bericht verstuurd, enkel je toestel heeft de berichten én de E2EE codes.

[Reactie gewijzigd door WhatsappHack op 26 februari 2016 15:19]

Ik was zelf bij die bijeenkomst van de AIVD maar de dienst heeft daar helemaal niets over gezegd. Dat hele verhaal is naar buiten gekomen door een enkele opmerking van een AIVD-medewerker bij de borrel na afloop, die door RTL is opgevangen. Context, kennisniveau van de medewerker, enz. ontbreekt. Ik zou niet durven uitsluiten dat het kroegpraat is. En dan nog, de uitspraak is op vele manieren uit te leggen: ""Ik zou er niet op vertrouwen dat WhatsApp zo veilig is."

Oordeel zelf: http://www.rtlnieuws.nl/e...et-zo-veilig-als-je-denkt

[Reactie gewijzigd door Olaf op 26 februari 2016 16:19]

Zo dan. Dat is best leip eigenlijk. :/
Media manipulatie ten top. :) Het bericht is behoorlijk overtuigend geschreven en komt over alsof de AIVD dat inderdaad formeel als standpunt had ingenomen... Maar blijkbaar ontbreken er dus wat cruciale details over de context en de situatie waarin het gezegd is.

Dank voor de extra achtergrond informatie! :)
Dat plaatst die opmerkingen wel in een ander daglicht ja. :/

[Reactie gewijzigd door WhatsappHack op 27 februari 2016 02:05]

Dat kan niet, want als ik het zo zie is dat artikel uit November 2015. Als de AIVD dan commentaar levert op E2EE zouden ze daar al onderzoek naar gedaan moeten hebben, maar dat kan niet gezien pas in September Android en iOS encrypt werden (met fallback optie) en de rest pas ergens in November zelf langzaam met axolotl is versleuteld.
(Android was al wat langer versleuteld trouwens, echt sinds eind 2014/begin 2015 al; maar als de rest van de markt totaal niet versleuteld is en oude Android versies nog niet ondersteund werden, was die E2EE implementatie niet betrouwbaar omdat er te vaak teruggegrepen werd op de fallback.)

De AIVD kan daar dus helemaal geen commentaar op gehad hebben op die datum.
Axolotl is niet te kraken, ook niet door de AIVD.

Dus, of 1.) Die man van de AIVD lult uit z'n nek, 2.) Die man van de AIVD baseert zich op de situatie waar dus nog geen volledige E2EE uitrol actief was; en gebruikte dat voor zijn antwoord (hij heeft het immers lekker vaag verwoord met "ik zou er niet op vertrouwen" Ja wanneer niet? Nu niet of als E2EE actief is?)) of 3.) Ze hebben een gat gevonden in Axolotl, wat me *bijzonder* stug lijkt.

Als de AIVD Axolotl heeft weten te kraken op dit moment, dan zijn ze de koning van de inlichtingendiensten. Daar geloof ik geen reet van. ;)
Ik denk eerder dat het Marketing is, wat eigenlijk dom is... Je kan dan twee dingen krijgen:
1.) Mensen gaan WhatsApp minder gebruiken en kiezen voor een dienst als Signal; waardoor de AIVD verder van huis is (gezien die nu al 100% encryptie hebben, sommige oude WhatsApp clients nog niet...)
2.) Mensen gaan WhatsApp niet minder gebruiken, maar worden wel voorzichtiger; ALS de AIVD dan toegang zou hebben tot de chats schieten ze zichzelf daar mee in de voet.

Het gewenste resultaat is natuurlijk dat men naar onveilige alternatieven gaan in zo'n geval.


Anyway... ja de AIVD zal vast wel het een en ander met WhatsApp hebben kunnen uithalen als ze een toestel in bezit hadden, en heel misschien wat communicatie kunnen uitlezen via een MITM aanval. Maar met end-to-end encryptie met Axolotl is dat gewoon *onmogelijk*. Het bestaat gewoon niet... En dus is het pure onzin wat de AIVD daar uitkraamt als het gaat om E2EE.

[Reactie gewijzigd door WhatsappHack op 26 februari 2016 15:55]

los van de datums, het artikel suggereerd dat end-to-end encryptie _claimen_ niet gelijk staat aan bewezen veiligheid, en daar hebben ze een punt. of heb jij de broncode van whatsapp (en die van de server) kunnen inzien ?
Dat is zeker waar. Iedereen kan claimen dat E2EE geimplementeerd is.
Echter, bij dat verhaal moet één ding even onthouden worden: WhatsApp claimt helemaal geen end-to-end encryptie. ;) Mensen weten dat WhatsApp bezig is met het implementeren ervan, maar WhatsApp heeft nog nergens gezegd dat het ook daadwerkelijk actief is. Het *is* actief, maar WhatsApp wil daar niets over kwijt. Juist omdat WhatsApp niet wil dat mensen er op gaan vertrouwen terwijl dat nog niet helemaal aan de orde is.

Het is bij de kringen die toegang hebben tot de bron gechecked, Axolotl zit inderdaad in WhatsApp ingebouwd.
je kunt het niet checken, maar het *is* ingebouwd... je spreekt jezelf een beetje tegen ;)

ik blijf sceptisch en zal nooit een oplossing als veilig accepteren als-ie niet open source is.
Nee, jan en alleman kunnen het niet zelf controleren; maar verschillende onafhankelijke organisaties wel; en die melden dat het er in zit. Dan kun je ervoor kiezen die natuurlijk allemaal niet te vertrouwen, dat is iets persoonlijks. :)
de wereld is een nogal donkere plek momenteel, keer op keer wordt bewezen dat je 'onafhankelijke organisaties' niet kunt vertrouwen. zeker als het om iets cruciaals gaat als end-to-end encryptie vertrouw ik persoonlijk inderdaad vrijwel niemand, en facebook al helemaal niet.

een gratis dienst die end-to-end encryptie heeft is niet te gelde te maken, er zit geen data achter waar facebook iets aan heeft, want ze kunnen er niet bij. waarom zou facebook die dienst dan gratis verlenen ? uit de goedheid van hun hart ?
de wereld is een nogal donkere plek momenteel, keer op keer wordt bewezen dat je 'onafhankelijke organisaties' niet kunt vertrouwen. zeker als het om iets cruciaals gaat als end-to-end encryptie vertrouw ik persoonlijk inderdaad vrijwel niemand, en facebook al helemaal niet.
Misschien maken we het extra donker door alles als evil te zien, achter elke deur nog een backdoor te zien (ook als die er niet is), niemand meer te vertrouwen en een ieder die nog wel wat vertrouwen heeft, zeker als er nul bewijzen zijn dat dat vertrouwen onterecht is, af te doen als naïef.

Facebook is qua programmeren behoorlijk goed. Maar WhatsApp heeft haar eigen developers, en qua end-to-end encryptie is het Open Whisper Systems dat het bij WhatsApp verzorgt, niet Facebook; en WhatsApp zelf ook niet want die hadden geen zin om het wiel opnieuw uit te vinden. (En dat is maar goed ook... Zelf in elkaar gedraaide crypto == vragen om problemen.)

Ik denk dat er wel degelijk onafhankelijkheid zit bij belangengroepen, maar ook bij sommige overheidsinstanties.
Je moet je ook bedenken dat open-source niet de heilige graal is. Open-source kan super onveilig zijn terwijl er tienduizend man zitten te reviewen; en closed source kan super veilig zijn met maar een paar man die reviewen. (En dan niet door security by obscurity, maar omdat het goed in elkaar zit.)

En vice versa natuurlijk!
Open-source staat niet per definitie gelijk aan veilig.
Closed source staat niet per definitie gelijk aan onveilig.
een gratis dienst die end-to-end encryptie heeft is niet te gelde te maken, er zit geen data achter waar facebook iets aan heeft, want ze kunnen er niet bij. waarom zou facebook die dienst dan gratis verlenen ? uit de goedheid van hun hart ?
Nee nee, er zit wel degelijk een verdienmodel aan te komen.
Dit model is echter zo ingericht dat datamining niet noodzakelijk is. Bedrijven krijgen toegang tot WhatsApp, en krijgen dan een total solution (dus met software en alle shit erbij), om toegang te krijgen tot een API en om bijvoorbeeld een helpdesk te starten op WhatsApp (gekoppeld aan meerdere werknemers met sessies), of om internationale SMS te vervangen voor internationaal WhatsApp verkeer; voor bijvoorbeeld updates over je vlucht; wanneer een taxi aankomt, et cetera; maar ook geautomatiseerde processen (via de API) voor bijvoorbeeld het kunnen boeken van een restaurant.

Elk bedrijf zal voor die toegang moeten betalen.
Men betaald bij WhatsApp dus niet voor advertenties, maar om uberhaupt toegang te krijgen tot het platform met 1 miljard gebruikers... Dat is dus niet eens een advertentie, maar gewoon een compleet andere service. En natuurlijk, een bedrijf *kan* dat gebruiken om reclame te versturen. Dat kan immers met SMS ook; eg "Ontvang leuke nieuwtjes per SMS" zal dan "Ontvang leuke nieuwtjes via WhatsApp" worden. Maar dat mag enkel als de gebruiker zijn gegevens geeft. Het is dus niet zo dat je targeted reclame kan versturen, of dat je telefoon nummer van WhatsApp/een bepaalde doelgroep binnen WhatsApp kan kopen.
Nee, net als met SMS of bellen moet de klant *eerst* zijn telefoonnummer aan jou geven (opt-in) voordat je contact kan opnemen; of moet het contact geïnitieerd worden vanuit de klant, immers geef je dan als gebruiker ook je nummer weg aan dat bedrijf, en daar kies je dan zelf voor... Net als... Wanneer je een SMS stuurt. ;)

En het mooie is dat er geen data verzameld hoeft te worden van de gebruikers, er niets gemined hoeft te worden, et cetera, et cetera.
Om eerlijk te zijn... Denk ik dat ze dat *bakken* met geld gaat opleveren gezien de enorme grootte van WhatsApp.

En dus hebben we een win-win situatie... Gebruikers blij, want een van de veiligste apps die er maar is (mét 1 miljard+ gebruikers, dus iedereen zowat bereikbaar. Op een paar kleine uitzonderingen na.) en hun gesprekken worden niet bekeken/opgeslagen/geanalyseerd/doorverkocht; en Facebook blij want die halen enorme knaken binnen via WhatsApp.

En zo zit dat dus in elkaar. :)
Dit kan je trouwens ook teruglezen op Tweakers enzo, is in het nieuws geweest.

[Reactie gewijzigd door WhatsappHack op 27 februari 2016 02:54]

Inderdaad.
Dit soort berichten over hoe veilig whatsapp wel niet is.
Wat denkt men nou werkelijk?
Een door Facebook overgenomen app die om je privacy geeft.
Bijna grappig.
Encyptie gaat verder dan alleen het protocol.
Nog belangrijker is hoe sleutels worden gegenereerd en uitgewisseld.

Zie bijvoorbeeld https://nadim.computer/2015/06/10/whatsapp-encryption.html
Dat is raar, WhatsApp heeft helemaal nergens geclaimed dat ze encryptie actief hebben; Open Whispers heeft enkel gezegd dat zij er aan werken.

Hoe het protocol werkt, en dus ook hoe de key-exchange in z'n werk gaat, is hier te vinden in de Axolotl repos:
https://github.com/WhisperSystems
Veilig != Compliance

Doordat bedrijven die persoonsgegevens ver/bewerken gehouden zijn aan de bescherming ervan middels de Wbp, is het in de regel zo dat verwerking van de gegevens door een partij buiten de EU zelden een juridische grondslag kent.

Whatsapp is niet per definitie onveilig. Er is alleen geen volledig zeggenschap voor de persoon die Whatsapp gebruikt t.a.v. de gegevens die verwerkt worden. Ergo, Whatsapp kan niet gebruikt worden voor het verwerken van persoonsgegevens. Als Whatsapp technologisch niks zou veranderen, anders dan haar spullen naar EU verhuizen en losgaan van Facebook, dan zou Whatsapp zeer mogelijk wel gebruikt mogen worden.
Omdat de politie gewoon een backdoor heeft, de encryptie is enkel nuttig om criminelen en dergelijke buiten de deur te houden. Facebook en overheidsdiensten kunnen gewoon je data inzien als het moet. Closed source dus niet te controleren en met facebook's staat van dienst is het redelijk zeker dat whatsapp niet veilig is.

Anders kon facebook nooit geld verdienen aan whatsapp en het is echt niet zo dat facebook een liefdadigheids organisatie is.

[Reactie gewijzigd door Skull88 op 27 februari 2016 00:29]

Web WhatsApp gaat via je telefoon en daar staan je gesprekken op. Zonder telefoon geen web WhatsApp.
Ik vraag mij af waar gewone burgers bang voor moeten/kunnen zijn mochten de gesprekken niet end-to-end encrypted zijn.
Landen waar de vrijheid van meningsuiting wat minder vrij is dan in Nederland?

Daarnaast hoeft de overheid, ook de Nederlandse, helemaal niet te weten waar ik met iedereen over chat.
Dit gaat niet over chat maar over bellen.
Dit gaat niet over chat maar over bellen.
Wat jij wilt:
Daarnaast hoeft de overheid, ook de Nederlandse, helemaal niet te weten waar ik met iedereen over communiceer.
Dit kan je natuurlijk nog verder doortrekken. Anders dan degene waarmee ik communiceer, gaat het niemand wat aan wat ik communiceer.

Ben ik bang/zou ik bang moeten zijn als anderen die communicatie zouden zien? Mogelijk, mogelijk niet. Toch denk ik er liever niet over na. Immers ben ik lui, dus waarom geen beveiliging gebruiken als het wel kan?

[Reactie gewijzigd door The Zep Man op 26 februari 2016 15:07]

Nergens voor. Dat is namelijk niet het punt.
Vooral tegen massa-surveillance. Target-surveillance is noodzakelijk voor de uitvoer van taken t.a.v. opsporing en criminaliteit. Echter zijn sleepnet technieken onwenselijk en dat voorkom je hiermee.

Ik ga er vanuit dat met end-to-end encryptie gericht afluisteren nog steeds kan, daar de sleutels niet at-random door de gebruiker wordt ingevoerd.
Het is natuurlijk allemaal prachtig dat whatsapp je gesprekken end to end versleuteld maar ze blijven gewoon op de telefoon staan en zijn voor elke app die je installeert inzichtelijk. Kortom het heeft weinig zin als de rest van het operating systeem en de software die er op staat zo lek is als een vergiet.
Dat klopt niet helemaal. WhatsApp back-ups an sich zijn sowieso versleuteld (.crypt8 bestand).

Volgens mij zijn alle berichten die op je telefoon zelf staan, ook encrypted, en kunnen andere apps die dus niet inlezen.
Op Android misschien, op WP/W10M niet.
Het is natuurlijk allemaal prachtig dat whatsapp je gesprekken end to end versleuteld maar ze blijven gewoon op de telefoon staan en zijn voor elke app die je installeert inzichtelijk

Ze zijn encrypted, en jij beschrift de situatie op Android. iOS en Windows Phone hebben uberhaupt ook zonder WhatsApp encryptie afscheiding tussen processen.

Kortom het heeft weinig zin als de rest van het operating systeem en de software die er op staat zo lek is als een vergiet.

Als de politie langhskomt en je telefoon meeneneemt wel, maar niet als men enkel kan afluisteren op de kabels. O-)
Iets wat in Telegram al lang ingebakken is.
Gezien het Telegram protocol (MTProto) als onveilig wordt gezien zou ik daar niet te hard op vertrouwen.
http://security.stackexch.../49782/is-telegram-secure

[edit] Waarmee ik niet wil zeggen dat WhatsApp beter is. WhatsApp is nog minder te vertrouwen als het op privacy en security aankomt.

[Reactie gewijzigd door Vich op 26 februari 2016 14:30]

WhatsApp is nog minder te vertrouwen als het op privacy en security aankomt.
Want?
WhatsApp heeft tenminste een goede privacy policy, en daarnaast een E2EE protocol dat uitermate goed getest is en door alle experts als extreem veilig is bestempeld.

Dus waarom zou je niet op hun privacy en security kunnen vertrouwen?
Je kan er juist beter op vertrouwen dan bij bepaalde "concurrenten".
WhatsApp een goede privacy policy? Waar haal je dat vandaan?
http://www.independent.co...ping-report-10328539.html
https://www.eff.org/secure-messaging-scorecard
Om nog maar te zwijgen van de slechte track record van Facebook.

Wat betreft e2ee:
Zolang we niet kunnen meekijken in de broncode kunnen we niet garanderen dat de Open Whisper Systems implementatie correct gebruikt wordt en dat de e2ee bijvoorbeeld niet uitgezet kan worden op vraag van de WhatsApp servers.

"beter dan bij bepaalde concurrent" zegt helemaal niks. Er zijn concurrenten zat die beter zijn dan WhatsApp als het om privacy en veiligheid gaat. Threema, Signal, TextSecure, etc.
WhatsApp een goede privacy policy? Waar haal je dat vandaan?
Heb je hem wel eens gelezen...? :)
Iedereen, inclusief het CBP (onze privacywaakhond), de FTC en alle partijen vinden dat WhatsApp een uitermate sterke privacy policy hebben.
Als je hem leest, en "legal" kan spreken (dus niet vrij geïnterpreteerd ;)), kun je ook zien waarom zij dat vinden.

Het is natuurlijk wel de vraag of deze policy zo sterk blijft.
Er komt een nieuwe policy binnenkort, tegelijk met de E2EE functies en de optie om te koppelen met Facebook als je dat wilt (is niet verplicht, en opt-in), en dat is even de vraag hoe die eruit gaat zien.
Ik hoop even sterk of nog sterker, maar dat is afwachten. :)
Is er nou echt niemand te vinden op Tweakers die de disclaimer leest!? ;( Bovendien ook sterk verouderde bron, gezien de nieuwe iteratie nog plaats moet vinden en de beoordeling is gebaseerd op een situatie van 1.5 jaar geleden. Maar dat terzijde.

Ik doe de moeite niet meer, en link wel ff naar een oude reactie:
WhatsappHack in 'nieuws: Providers en Google presenteren Android-client voor opvolger sms'
Daar vind je de uitleg en reactie van EFF mbt de scorecard en WhatsApp's score tijdelijk expres laag houden uit verschillende, correcte, overwegingen.
De EFF weet wel dat WhatsApp bijna geheel encrypt is met Axolotl, een tot zover onkraakbaar systeem, maar houdt dit even niet in gedachten bij de Scorecard omdat WhatsApp zelf heeft aangegeven dat ze dat niet willen totdat het 100% af is... Om mensen geen vals gevoel van veiligheid te geven, zoals sommige anderen wel doen. En dat is goed van zowel WhatsApp als de EFF. :)
Om nog maar te zwijgen van de slechte track record van Facebook.
Die boeit niet. WhatsApp is een compleet andere entiteit.
Bovendien, hoe wil Facebook mee gaan lezen met gesprekken tijdens E2EE? Kom op zeg.
Zolang we niet kunnen meekijken in de broncode kunnen we niet garanderen dat de Open Whisper Systems implementatie correct gebruikt wordt en dat de e2ee bijvoorbeeld niet uitgezet kan worden op vraag van de WhatsApp servers.
Jawel, de broncode wordt gewoon door allerlei onafhankelijke bronnen getest. Dat ze niet willen dat *iedereen* er met hun ideetjes vandoor kan gaan: dat is hun goede recht.

Je verwijst eerder naar de EFF, de EFF is een van de partijen die de broncode van WhatsApp mag inzien.
Jammer dat je ook zo enorm weinig vertrouwen hebt in Moxie van OWS, en denkt dat hij een brak product zou implementeren... Als je hem niet vertrouwt, waarom vertrouw je Signal/TS dan wel? Die implementatie is dik in orde.

Je kan wantrouwend zijn, maar er wordt keer op keer bewezen bij WhatsApp dat dit volkomen onterecht is.
"beter dan bij bepaalde concurrent" zegt helemaal niks. Er zijn concurrenten zat die beter zijn dan WhatsApp als het om privacy en veiligheid gaat. Threema, Signal, TextSecure, etc.
Signal en TextSecure zijn hetzelfde product, en gebruiken dezelfde encryptie als WhatsApp. Het enige verschil is dat WhatsApp eerder unencrypt was... Dat gooide een barriere op.

[Reactie gewijzigd door WhatsappHack op 26 februari 2016 15:51]

WhatsApp privacy voorwaarden:
We may share your Personally Identifiable Information with third party service providers to the extent that it is reasonably necessary to perform, improve or maintain the WhatsApp Service.
Lekker vaag die "reasonably necessary" in combinatie met "perform, improve or maintain".
We are not fans of advertising. WhatsApp is currently ad-free and we hope to keep it that way forever. We have no intention to introduce advertisement into the product, but if we ever do, will update this section.
Reclame kan als inkomsten worden beschouwd en dus zeker "reasonably necessary" om de dienst aan te bieden. Dus met hun eigen policy kunnen ze je data (in de toekomst) delen met reclame-aanbieders.
The WhatsApp Site and Service are hosted in the United States and are intended for and directed to users in the United States. If you are a user accessing the WhatsApp Site and Service from the European Union, Asia, or any other region with laws or regulations governing personal data collection, use, and disclosure, that differ from United States laws, please be advised that through your continued use of the WhatsApp Site and Service, which are governed by California law, this Privacy Policy, and our Terms of Service, you are transferring your personal information to the United States and you expressly consent to that transfer and consent to be governed by California law for these purposes.
Da's leuk met de bekende gag orders en FISA court.
This Privacy Notice was last modified July 7th, 2012
De links die ik plaatste lijken dus toch wel relevant?
Die boeit niet. WhatsApp is een compleet andere entiteit.
Facebook stuurt toch WhatsApp aan?
Jawel, de broncode wordt gewoon door allerlei onafhankelijke bronnen getest. Dat ze niet willen dat *iedereen* er met hun ideetjes vandoor kan gaan: dat is hun goede recht.
Ik kan het niet inzien. Dus ik hoef het niet vertrouwen.
Jammer dat je ook zo enorm weinig vertrouwen hebt in Moxie van OWS, en denkt dat hij een brak product zou implementeren... Als je hem niet vertrouwt, waarom vertrouw je Signal/TS dan wel? Die implementatie is dik in orde.
Ik zei dat er betere alternatieven zijn - niet dat die alternatieven perfect zijn of 100% te vertrouwen zijn.
Zoals ik al zei, je moet het lezen vanuit juridisch oogpunt; niet uit de losse pols geïnterpreteerd.
Lekker vaag die "reasonably necessary" in combinatie met "perform, improve or maintain".
Niet echt. Er staat uitgelegd wat die data inhoudt, en wat de afbakening is.
You provide certain Personally Identifiable Information, such as your mobile phone number, push notification name (if applicable), billing information (if applicable) and mobile device information to WhatsApp
Dat is het enige, op de verdere informatie die iets naar boven gedefinieerd staat na; zoals je IP adres.
Dat zijn allemaal zaken waar ze eigenlijk niet omheen kunnen die te verzamelen. En waar ze ook niet omheen kunnen dat het bij bijvoorbeeld hun provider, Softlayer, opgeslagen wordt op de servers.
Reclame kan als inkomsten worden beschouwd en dus zeker "reasonably necessary" om de dienst aan te bieden. Dus met hun eigen policy kunnen ze je data (in de toekomst) delen met reclame-aanbieders.
Nee, om verschillende redenen.
Ten eerste is het geen service provider die vereist is voor het leveren van de WhatsApp dienst, en ten tweede omdat:
We do not use your mobile phone number or other Personally Identifiable Information to send commercial or marketing messages without your consent or except as part of a specific program or feature for which you will have the ability to opt-in or opt-out
Dat laatste is zelfs zo'n sterk punt, dat ze zelfs het delen van data met Facebook opt-in moeten maken. Verplicht, vanuit de overheid...
(https://www.ftc.gov/news-...bligations-light-proposed)

Maar stel *dat* ze het zouden doen zoals jij zegt, dan kunnen ze enkel die summiere data delen (hun database van telefoonnummer + naam (indien bekend!!) + IP adres); en daar schiet een adverteerder niets mee op behalve dat ze weten dat jij een WhatsApp account hebt. Dat is niet zo schokkend.
Metadata mag niet worden doorverkocht.

Maar let ook; als je dan toch die link met Facebook perse wilt leggen: Facebook verkoopt ook totaal geen data aan adverteerders... Die bewaren alles intern, en adverteerders kunnen enkel advertenties kopen en het algoritme naar hun wensen africhten om zo dicht mogelijk bij hun doelgroep te komen. Maar *wie* die mensen in die doelgroepen zijn: dat kunnen ze niet inzien totdat ze geliked worden.
Waarom zouden ze dan met WhatsApp opeens wel die info gaan verkopen aan reclame bureaus? Dat zou waanzin zijn. Zeker als je even kijkt naar WhatsApp's plannen voor inkomsten te genereren, waar alles opt-in is en er uitdrukkelijk vermeld is dat persoonlijke gegevens *niet* doorverkocht zullen gaan worden of op andere wijze ter beschikking gesteld kunnen worden. De "klant" moet dat *zelf* aan zo'n bedrijf geven wil het bedrijf contact opnemen met de WhatsApp gebruiker, maar kan niet van WhatsApp gekocht worden.

Lijkt me dus allemaal prima geregeld zo. :)
Da's leuk met de bekende gag orders en FISA court.
En dat is nou precies waarom ze end-to-end encryptie gaan inbouwen, waardoor ze zelf ook geen data meer kunnen inzien; zelfs als ze het tappen. ;)
Natuurlijk kan de FBI klaarblijkelijk wel claimen dat ze een speciale WhatsApp client met een backdoor voor ze moeten schrijven die ze naar een telefoon kunnen pushen. :')

Nee zonder dollen, ik hoop dat het congres in de USA daar nu dus van gaat zeggen dat dat niet mag in de FBI v Apple zaak.
Als daar de uitspraak is dat het inderdaad niet mag, zal WhatsApp niet gedwongen kunnen worden een backdoored client te bouwen.
Whatsapp zelf is trouwens fel voorstander van het standpunt van Apple.
De links die ik plaatste lijken dus toch wel relevant?
Nee.
Je moet je eigen link ook even wat beter lezen. Er staat niet dat er iets mis is met de privacy van WhatsApp.
Er staat dat WhatsApp slecht scoort omdat ze niet bekend maken hoeveel verzoeken ze vanuit de overheid krijgen, en hoe ze daar mee omgaan.
Ze weten dus niet precies wat WhatsApp ermee doet, en kunnen geen conclusie trekken. Derhalve krijgen ze geen pluspunt toegekend die anderen die het wél publiceren wel krijgen.

Dat is een groot verschil tussen "hun privacy is kut" en "hun communicatie laat te wensen over."
Facebook stuurt toch WhatsApp aan?
Nee, WhatsApp stuurt WhatsApp aan.
WhatsApp wordt nog steeds gerund door Jan Koum en Brian Acton, daar is niets aan veranderd.
Facebook mag echter alle inkomsten die WhatsApp gaat genereren hebben.
Ik kan het niet inzien. Dus ik hoef het niet vertrouwen.
Nee, dat hoef je niet.
Maar dat jij het niet vertrouwt zegt niets over of het wel of niet betrouwbaar is. ;)

Laat open source je trouwens geen vals gevoel van veiligheid geven. Dat je het kan inzien, maakt het niet opeens spontaan veilig.
(*kuch* heartbleed, poodle, shellshock, venom *kuch*)
Ik zei dat er betere alternatieven zijn - niet dat die alternatieven perfect zijn of 100% te vertrouwen zijn.
Nee, je zei dat je de implementatie van WhatsApp niet kan vertrouwen.
Die implementatie is geheel door Moxie en co (Open Whisper) gedaan. Als je denkt dat ze backdoors hebben ingebouwd, en dus hun ziel hebben verkocht, kan je eigenlijk Signal dus ook niet meer vertrouwen.

[Reactie gewijzigd door WhatsappHack op 26 februari 2016 16:43]

Niet per definitie elk gesprek heeft E2E-encryptie. Van de gewone chats wordt alles (gesprekken, media en documenten) opgeslagen.
Secret Chats daarentegen gebruiken wel E2E-encryptie.
Bron: https://telegram.org/privacy

OT: Het is goed dat WhatsApp nu met deze functionaliteit komt. Juist omdat privacy zo onder het vuur ligt door de FBI, NSA en dergelijke zal het meer mensen aanspreken dan dat het een jaar geleden deed.
Hou er rekening mee dat berichten in Telegram alleen end-to-end versleuteld zijn als je dat expliciet aangeeft. De standaard is dat berichten niet versleuteld zijn.
Hoe kan iets ingebakken zijn als de functie (telefoneren) geheel ontbreekt? Ik gebruik zelf dagelijks Telegram, maar ben de bel functie nog nooit tegen gekomen.
Kun je dan bellen met Telegram?
Voor een bedrijf in Amerikaanse handen heeft encryptie toch geen enkele zin, kijk maar wat er binnenkort met die ifoon van die terrorist gebeurt.
Welk protocol of encryptie er dan ook gebruikt wordt, het is altijd te omzeilen of te ontcijferen natuurlijk.
Als je iets 100% veilig wilt communiceren dan moet je het, heel zachtjes, in iemands oor fluisteren.
En dan natuurlijk ook hopen dat diegene het niet doorverteld.
Voor een bedrijf in Amerikaanse handen heeft encryptie toch geen enkele zin
Geen enkele zin is een groot woord. Immers als de geheime diensten kunnen meeluisteren (daar kun je maar beter vanuit gaan) dan wil dat nog niet zeggen dat de politie, een wildvreemde, je buurman of je moeder mee kan luisteren. Als je je affaire met de buurvrouw voor je echtgenote verborgen wil houden kan versleuteld communiceren handig zijn maar is het geen probleem dat als de NSA dat wil ze mee kunnen lezen.
En wat als die affaire ineens gebruiken om de moord van je vrouw op te lossen? Omdat je geen alibi had?
Privacy is een groot goed maar het dient nogal nadrukelijk niet om met criminaliteit weg te komen. Dus in zo'n geval dient er onderzocht te worden en kun je maar beter je relatie met de buurvrouw bij de politie op biechten.
Ik ben juist heel blij dat ze dit gaan invoeren. Het is prachtig om je prive echt prive te houden
En dan te bedenken dat we al heel lang zo'n veilige omgeving hebben.... Volledig open en volgens standaarden zodat je iedereen in de wereld kunt bereiken ongeacht of ze nu een speciale app gebruiken of niet. Slechts een telefoon die aangesloten is op een netwerk en je kunt communiceren. Je kunt zelfs mensen bereiken die een hele ouderwetse analoge telefoon hebben.
Dat is zeer goed nieuws voor doctoren en natuurlijk voor hun patienten. Want zoals deze week in de media al verscheen, gebruiken doctoren de Whatsapp app vaak om om hun college om hun mening of advies te vragen als zijzelf iets niet helemaal vertrouwen, 2 (of meerdere) personen weten tenslotte meer dan 1. Nu is het nog wachten op dat ook sms en foto's standaard versleuteld worden; dan is de circkel rond wat Whatsapp betreft! Ik hoop dat implementatie van de encryptie niet te langop zich laat wachten ... want zelf was ik al naar een andere mogelijkheid om info te delen aan het kijken (Signal
).
Als jij als gebruiker inderdaad kunt aantonen dat het beveiligd is komen er inderdaad ineens meer toepassingen te voorschijn. Als ook:
-De telefoon encrypted is (bij verlies)
-Er een pincode of vingerafdruk op telefoon zit.
-Je data niet op een andere manier van de telefoon af lekt. ( geen crappy birds die toegang tot fotos heeft)

Op dit item kan niet meer gereageerd worden.



Samsung Galaxy S7 edge Athom Homey Apple iPhone SE Raspberry Pi 3 Apple iPad Pro Wi-Fi (2016) HTC 10 Hitman (2016) LG G5

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True