Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 135 reacties, 73.398 views •

De iPhone- en Android-versies van WhatsApp slaan alle ontvangen en verzonden berichten onversleuteld op. De Android-versie plaatst de berichten zelfs op de sd-kaart, waardoor ze voor alle andere aanwezige applicaties te benaderen zijn.

Beveiligingsonderzoeker ObAt ontdekte dat WhatsApp alle berichten onversleuteld opslaat en tipte Tweakers.net. De berichten worden opgeslagen in een sqlite-database, samen met onder andere telefoonnummers van contactpersonen en timestamps. Ook de url's van meegestuurde mediabestanden zijn in het sqlite-bestand opgeslagen, maar deze kunnen niet worden geopend; waarschijnlijk moet daarvoor eerst een autorisatieproces worden uitgevoerd.

In ieder geval de iPhone- en Android-versies van WhatsApp slaan berichten onversleuteld op, blijkt uit nader onderzoek van Tweakers.net. Onbekend is of de clients voor BlackBerry en Symbian hetzelfde doen. Het onversleuteld opslaan van berichten is een risico, zeker bij de Android-versie; daarbij worden alle chatlogs op de sd-kaart opgeslagen, waarbij altijd dezelfde url wordt gebruikt. Daardoor zouden kwaadwillenden eenvoudig een app kunnen schrijven die de chatlogs steelt, bijvoorbeeld om de telefoonnummers te bemachtigen.

Misbruik van de chatlogs op de iPhone is minder waarschijnlijk, omdat de logs worden opgeslagen in een directory die alleen voor de app zelf toegankelijk is. Alleen gebruikers met een jailbroken iPhone lopen risico; een applicatie met root-toegang zou de berichten alsnog kunnen ontfutselen.

Vorige week werd al bekend dat er een fout in het verificatieproces van WhatsApp zit, waardoor een WhatsApp-account aan een telefoon van een ander kan worden gekoppeld door de afzender van de verificatie-sms te spoofen. De nieuwe beveiligingskwestie doet denken aan een vergelijkbaar probleem met Skype, dat gegevens eveneens op de sd-kaart opsloeg. Skype heeft een nieuwe versie uitgebracht waarin het probleem is opgelost.

Update, 19:30: Ook de BlackBerry- en Symbian-clients van WhatsApp slaan chatlogs onversleuteld op. Beveiligingsonderzoeker ObAt ontdekte dat ook de BlackBerry-client kwetsbaar is. Tweaker Telefooncal kwam achter dezelfde ontdekking bij de Symbian-versie; bovendien worden bij Symbian ook het imei- en imsi-nummer van de gebruiker in plain-text opgeslagen.

WhatsApp lek

Reacties (135)

Reactiefilter:-11350125+177+28+30
Moderatie-faq Wijzig weergave
1 2 3 ... 7
En het probleem is....? Wie vertrouwelijke informatie via IM/SMS/WhatsApp en/of varianten daarvan verstuurd moiet zich überhaupt afvragen waar hij/zij mee bezig is.

Vertrouwelijk informatie verstuur je op een betrouwbare manier. Dus GPG en soortgelijke technieken.

Gisteren zag ik op een seminar naast me iemand vertrouwelijke onformatie over een sollicitant (NAW, huidige werkgever en gewenst salaris) via een Twitter DM versturen...

Het probleem zit hem (zoals altijd het geval is) niet in de gebruikte methode, maar bij de gebruiker.
Sinds het aantal gebruikers van ict techniek zo verschrikkelijk is toegenomen is het niet meer realistisch te verwachten dat al die gebruikers eigenlijk enig idee hebben van wat ze doen.
In mijn omgeving ken ik eigenlijk nauwelijks mensen die weten ze doen en wat de voorwaarden zijn. Ze weten alleen hoe het te gebruiker en wat ze er mee kunnen.
Als ik ze probeer op te voeding is het zo "mind blowing" dat ze in paniek er zo hard mogelijk tegenin gaan met drogredenering. Uiteraard pas ik daar tegenwoordig meer mee op, omdat het alleen maar tegen werkt.

Maar ik ben er van overtuigd geraakt dat er maar een uitweg is, mensen meer tegen zichzelf beschermen (zonder hun vrijheid in te perken).
Techniek moet dus het voortouw nemen en gewoon voor maximale veiligheid gaan. Dit kost geld, dus uiteindelijk zal het wel via regelgeving moeten worden afgedwongen.

Als iemand alternatieven weet... ik zou het graag horen.
Dit is sowieso echt al maanden/jaren bekend, als je ook maar een beetje de moeite hebt genomen om eens de algemene voorwaarden te lezen of gewoon eens rond te kijken op de SD-kaart van je Android kan dit echt niet als een verrassing komen. Als je dat niet hebt gedaan ben je per definitie al niet slim bezig.

WhatsApp is SMSoIP waarbij SMS de clou is, je moet het op eenzelfde manier behandelen. Je SMS'jes staan (op Android iig) ook gewoon in een uncrypted sqlitedb. Net zoals met SMS moet je over WhatsApp geen privacy-gevoelige dingen gaan delen, doe je dat wel tik dan jezelf op de vingers.

Er zijn talloze communicatiemedia die zonder encryptie werken, hell, wie hier die gebruik maakt van irc.tweakers.net verbindt daadwerkelijk over SSL en verifieert het certificaat wat de andere kant aanbiedt? E-mail, SMTP/IMAP/POP, same diff, daar wandelen net zoals bij FTP zelfs je credentials plain-text over de lijn. En zelfs al secure jij je zooi heb je nog geen garantie dat je mail beschermd door SSL/TLS wordt verstuurd want als de ontvangende partij geen SSL babbelt gaan we weer vrolijk plain-text over de lijn.

Toch denken mensen dat het om de een of andere manier prima is om gewoon gevoelige informatie of informatie die je niet met een derde partij wil delen over dit soort media te versturen en zijn vervolgens de aanbieders van de diensten de boosdoeners.

Het feit dat andere apps zomaar bij elkaars data kunnen op de SD-kaart is meer een security bug in Android dan in de desbetreffende app.
Voor BlackBerry gebruikers:
Je kunt dit bestand vinden via /Mediakaart/databases/WhatsApp/messageStore.db

Ik kan de telefoonnummers niet uitlezen, maar wel de berichten, id's van gebruikers en besturingssysteem van de ander.
Waarom wordt dit altijd zo opgeblazen in de media. We horen toch ook niemand over E-mail klagen dat het onversleuteld is?
Deze post wordt gemod als irrelevant, maar daar ben ik het niet mee eens. De media springt op dit moment op elke 'security breach', vaak niet gehinderd door enige vorm van technische kennis.

In dit geval weer het verzenden/opslaan van WhatsApp berichten. Nergens is vermeld dat dit een secure medium betreft. Berichten worden onversleuteld over een untrusted netwerk als het internet verzonden. Dit is gelijk aan het gedrag van e-mail, vrijwel iedere email die je ooit hebt verzonden is in cleartext over het hele internet verstuurd.

Daar lees je niets over. Mogelijk omdat mensen dit niet weten, of aannemen dat het wel veilig zal zijn. Het is dan ook irrelevant om dan WhatsApp maar negatief in het nieuws te brengen.

Het is beter om een totaal veilig en betrouwbaar medium in het nieuws te brengen, dan zijn we eerder klaar dan ieder niet-versleuteld medium uit te lichten.

Het is wél goed om mensen te informeren over de risico's van onversleutelde diensten.
Ik geef je volledig gelijk! Freedom of speech is goed, maar helaas heeft dat soms het effect dat mensen beginnen te zeuren en te klagen op dingen waar ze eigenlijk niet voldoende kennis over hebben. Veel mensen gaan van bepaalde dingen uit terwijl:
  • Ze de achterliggende 'processen' niet kennen/snappen.
  • Ze geen zicht hebben op het grotere geheel.
  • Ze onvoldoende inzicht hebben op de realiteit.
Ik vind dit gewoon minder erg als bijvoorbeeld dit: beveiligingslek-hotmail-maakte-stelen-e-mail-mogelijk.html. Mijn hotmail is bv. een paar maanden geleden gehackt geweest. Je bent gewoon je gehele account kwijt. (Heel leuk als PayPal enzovoort aan die account hebt gekoppeld...).

Ik gebruik gelukkig nog niet zo heel veel WhatsApp, en hetgene ik verstuur en ontvang mogen ze van mij lezen. Gevoelige data verstuurde ik zowizo al niet, en met dit bericht zal ik dat in de nabije toekomst ook niet doen.

Dus aan iedereen die dit schokkend vindt: Let op welke apps je gebruikt. Het kan zeker geen kwaad om even gebruikersvoorwaarden door te nemen of een beetje te googlen.

Het zou wel leuk zijn als je dat niet moest doen. Als communicatieapps nu eens verplicht worden duidelijk te vermelden wat er met de data gebeurd ipv dit in gebruikersvoorwaarden 'weg te moffelen'. Dan zullen we hopelijk al heel wat minder van dit soort berichten zien. Neemt niet weg dat zo'n berichten zullen blijven verschijnen. (*denkt aan locatiegegevens :P )

edit: typo's

[Reactie gewijzigd door Rinzler op 26 mei 2011 19:22]

Ik hoor ook niemand klagen over de onversleutelde chatlogs van Windows Live messenger, de onversleutelde PST files van Outlook... beide kunnen makkelijk met een virus geüpload worden naar een random server (nog veel makkelijker dan op een toch redelijk gesandboxte/dichtgetimmerde telefoon). Op je SIM-kaart staan ook onbeveiligde SMS'jes, wat is het verschil?, Beide zijn toegankelijk voor kwaadaardigen.

[Reactie gewijzigd door donny007 op 26 mei 2011 11:19]

WhatsApp staat de laatste tijden wel flink in het nieuws moet ik zeggen. Eerst is er ontdekt dat de bevestigingsSMS was te vervalsen, en nu komen ze met de onversleuteling.

Zulke berichten zijn niet echt goed voor zo'n programma naar mijn gevoel. Bijvoorbeeld voor iemand die op zoek is naar WhatsApp (ja, dat klinkt scheef - weet ik) komt dit soort berichten tegen.
Op deze manier zou het op mij aardig overkomen dat ze niet echt heel veel aan de beveiliging doen. Anders zou het dan ook denkbaar kunnen zijn dat ze dus niet veel waarde hechten aan de privacy.

Ben benieuwd of en hoe snel ze dit, toch wel ernstige probleem, gaan oplossen. Wel haast geboden lijkt mij!
Zijn alle chatlogs op jouw pc/chat diensten die je gebruikt versleuteld dan?
Ik betwijfel het sterk... eerst even in de spiegel kijken voor je die van een ander stuk gaat gooien.

Het is natuurlijk niet de bedoeling dat iedereen elk bericht van gelijk wie kan lezen en bijhorende telefoon# ziet, maar je moet toch nergens bang voor zijn?
Net zoals bij SMS ga je toch(hopelijk) slim genoeg zijn om geen vitale informatie via zo'n dienst te gaan sturen,...

Wat krijgen we morgen dan, een bericht "Beveiligingsonderzoeker ontdekte dat MSN Live Messenger alle berichten onversleuteld vestuurt en opslaat."?
Want dat is (indien ze dit niet laatste versie anders zijn gaan doen) al jaar en dag zo, en daar hoor ik hier geen van de criticasters iets over zeggen terwijl zij of iemand in hun buurt het waarschijnlijk wel gebruiken.

edit: Het lijkt mij gewoon ergens een fout in hun views die ze gebruiken.
Lokaal opslaan als plain is imo nog niet zo abnormaal.
Je gaat toch ook niet al je brieven in een safe stoppen, enkel de belangrijke.

[Reactie gewijzigd door -ETz-candyman op 26 mei 2011 11:51]

Sorry, maar dit is echt non-nieuws.

In de algemene voorwaarden van WhatsApp staat al dat al je contactpersonen + gegevens doorgestuurd worden naar hun servers en worden beschouwd als "public domain". Dat wil zeggen dat je al je vriendjes er bij lapt zodra je de app installeert.

Als een bedrijf duidelijk zo weinig om privacy geeft en puur zo veel mogelijk gegevens en data wil verzamelen, dan heb je toch als consument niet het recht om te verwachten dat de communicatie die je via zo'n bedrijf doet versleuteld wordt?

Eigen schuld, dikke bult. Moet je de algemene voorwaarden maar lezen. Staat nergens dat je gegevens veilig worden opgeslagen...

[Reactie gewijzigd door Mecallie op 26 mei 2011 11:14]

precies!

Hoe zit het met de standaard sms berichten op je telefoon dan? Deze worden toch ook niet enctypted op je toestel opgeslagen of wel soms. Helemaal met de oudere telefoons was dit het geval, daar durf ik kwart van mijn geld op te wedden!

Voor de SE toestellen had je een huge beheertool genaamd MyPhoneExplorer
Voor de Nokia toestellen had je bv Oxygen
Recente toestellen precies hetzelfde, Handcent voor Android of biteSms/iRealsms voor iPhone (jailbreak)
Om SMS berichten uit te kunnen lezen moet een applicatie expliciet toegang tot SMS berichten vragen, datzelfde geld voor contactpersonen. Dit kan je niet uitlezen zonder deze rechten en het is vrij duidelijk dat applicaties die in eerste instantie niks met SMS of contacten doen ook geen noodzaak hebben voor deze rechten. Echter SD rechten en internet rechten zijn voor veel applicaties noodzakelijk voor gewone werking, dat valt dus niet op als ze die rechten willen.
Leuk detail: MyPhoneExplorer is er nu ook voor android. Ik vind dit persoonlijk best handig en inderdaad - app haalt zó alle data van m'n telefoon af. Ik weet eerlijk gezegd niet eens of het ook naar internet mág versturen.. maar ja, ik zet niets vreemds op m'n telefoon...

On topic: Ik gebruik WhatsApp zelf sporadisch, maar toch vind ik wel dat ze het iets moeilijker mogen maken om de data te 'stelen'. Het is voor hen m.i. ook een relatief kleine moeite en het komt het vertrouwen van de gebruikers ten goede.
Goed dat je dit neerzet! Ik wist het nl. niet en ik denk dat heel veel mensen dit niet weten.

Op deze manier worden dus ook geheime nummers opgenomen in tel-databases.
Als je dus in je telefoonboek alle NAW gegevens opneemt, tel nummers en email adressen, dan kan je een aardig waardevolle database opzetten.

Kan dit verder zomaar? Ik had van Apple verwacht dat dit soort praktijken niet toegestaan worden.

Ben benieuwd welke apps nog meer dit soort praktijken erop nahouden.
Hoe kun je anders weten welke personen uit je adresboek ook whatsapp hebben?

Het lijkt mij dat je op zijn minst toch jouw nummer in hun db moeten gooien waarna jouw contactenlijst ook door hun db gaat om te controleren wie er voorkomt in die db van whatsapp.
Voor de werking is het natuurlijk nodig, al zijn er ook andere mogelijkheden (bijv. zoals MSN werkt).

Waar het mij om gaat is dat deze privacy gevoelige informatie in een mooie grote database van WhatsApp wordt opgeslagen.. En deze informatie wordt als public domain beschouwd en mag dus worden doorverkocht....

[Reactie gewijzigd door SqueakyClean op 26 mei 2011 12:15]

Ik heb zojuist de voorwaarden nog eens gelezen en ik haal de bewering dat contactpersonen + gegevens publiek worden er niet zo uit. Ik kan er overheen hebben gelezen en dan waardeer ik het als je het stukje dat jij bedoelt even boven water kan halen.

Wat er staat is dat je user status publiekelijk bekend kan worden en dat je telefoonnummer + je naam zoals dat bij anderen in hun telefoonboek staat bekend kan worden. Beide lijken mij nodig zoals WhatsApp je contacten + status zichtbaar maakt. Hieronder staat het zoals ik het op de website vond. Voor het volledige verhaal kan je het bovenstaande linkje volgen.


The Information WhatsApp Collects

User Provided Information: You provide certain personally identifiable information (such as your phone number and status information) to WhatsApp when choosing to participate in various uses of the WhatsApp Services such as updating your status or requesting status for your Contacts.

The Way WhatsApp Uses Information


If you submit personally identifiable information to us through the WhatsApp Sites, WhatsApp Software or WhatsApp Services, then we use your personal information to operate, maintain, and provide to you the features and functionality of the WhatsApp Sites, WhatsApp Software and WhatsApp Services.

Any personal information or status content that you voluntarily disclose becomes publicly available and can be collected and used by others. Your name (as it is saved in other people's Address Book) is displayed to other Users when you update your status messages through the WhatsApp Services or WhatsApp Software and other Users can contact you through your preferred communication method. Any status content that you submit to the WhatsApp Sites may be redistributed through the internet and other media channels, and may be viewed by the general public.

We do not use your phone number or email address or other personally identifiable information to send commercial or marketing messages without your consent or except as part of a specific program or feature for which you will have the ability to opt-in or opt-out. We may, however, use your email address without further consent for non-marketing or administrative purposes (such as notifying you of major WhatsApp Site or WhatsApp Service changes or for customer service purposes).

We use both your personally identifiable information and certain non-personally-identifiable information (such as anonymous User usage data, cookies, IP addresses, browser type, clickstream data, etc.) to improve the quality and design of the WhatsApp Sites, WhatsApp Software and WhatsApp Service and to create new features, promotions, functionality, and services by storing, tracking, and analyzing User preferences and trends. Hopefully we improve the site and service and don't make it suck worse.

When WhatsApp Discloses Information

Other users of WhatsApp Services and WhatsApp Software may see your status information in a way that is consistent with the use of the site. For example, a status of "Can't talk, please SMS instead" set by phone number +1 (408) 555-1212 will be available to every user of WhatsApp Services or WhatsApp Software who knows that phone number. In other words: If another WhatsApp Services User has your phone number stored in their Address Book, they will be able see your status information.

We do not share your personally identifiable information (such as name or phone number or email address) with other, third-party companies for their commercial or marketing use without your consent or except as part of a specific program or feature for which you will have the ability to opt-in or opt-out.

We may share non-personally-identifiable information (such as anonymous User usage data, referring / exit pages and URLs, platform types, asset views, number of clicks, etc.) with interested third-parties to assist them in understanding the usage patterns for certain content, services, advertisements, promotions, and/or functionality on the WhatsApp Sites.

We may release personally identifiable information and/or non-personally-identifiable information if required to do so by law, or in the good-faith belief that such action is necessary to comply with state and federal laws (such as U.S. Copyright Law) or respond to a court order, subpoena, or search warrant.

WhatsApp also reserves the right to disclose personally identifiable information and/or non-personally-identifiable information that WhatsApp believes, in good faith, is appropriate or necessary to enforce our Terms of Service, take precautions against liability, to investigate and defend itself against any third-party claims or allegations, to assist government enforcement agencies, to protect the security or integrity of our web site, and to protect the rights, property, or personal safety of WhatsApp, our Users or others.
Ik vind deze zaken uit de voorwaarden anders wel behoorlijk dubieus:
Any personal information or status content that you voluntarily disclose becomes publicly available and can be collected and used by others
Wat is hun definitie van Personal Information ? Wanneer is er sprake van voluntarily disclosure?
We do not share your personally identifiable information (such as name or phone number or email address) with other, third-party companies for their commercial or marketing use without your consent or except as part of a specific program or feature for which you will have the ability to opt-in or opt-out.
Opt-out betekend dat de 95% van de gebruikers het vaak niet door heeft en niet aan opt-out doet of ze de feature nu gebruiken of niet.

Whatsapp moet op de een of andere manier kijken wij in jouw telefoonlijst ook whatsapp heeft. Ze gaan heus niet de hele database met gebruikers naar iedere telefoon sturen, dus ze sturen al jouw telefoon nummers naar de server van whatsapp.
Jij lapt dus al je vrienden erbij, en je vrienden weten er niet van.

Overigens kan ik niet uitmaken of telefoonnummers in jouw telefoonboek nu volgens hen onderdeel zijn van personal informatie, of dat het gewoon data is waar ze niets over zeggen in hun voorwaarden...

In het mooiste geval houd whatsapp zich aan zijn voorwaarden en maakt geen gebruik van zijn zelf gegeven opt-out functies, maar heb je toch kans dat een kwaadwillende de informatie doorsluist. En de kennis van telefoonnummers en wie wie kent is heel veel geld waard, terwijl bij een concurrent alleen de dienst zelf gecompromitteerd is, is er hier veeeel meer risico.

Het stomme is dat we op tweakers regelmatig hoog opgeven over privacy, maar als het dan een populaire app betreft is privacy bij veel tweakers ineens niet meer belangrijk. Er is geen verschil meer tussen het een en het ander mensen, overheden en bedrijven kopen of stelen die informatie toch wel van elkaar. Je kunt dus alleen voor privacy vechten als je dat overal blijft doen.

Wat mij betreft mogen ze diensten die gebruik maken van identificatie van andere diensten (in dit geval een identificatie die van je telecom provider is) verbieden tenzij dit via de oorspronkelijke dienst gaat (een authenticatie mechanisme zeg maar).

/edit:
Iets meer ontopic:
Deze design fout maakt de privacy schending natuurlijk nog een gradatie erger, want de voorwaarden zijn ineens helemaal niet meer van belang. Bjina alle apps vragen toegang tot sd en internet. Terwijl voor toegang tot mijn telefoonboek ze toch echt eerst die toegang moeten vragen, kan ik bij deze toegang en wijze van opslaan niet controleren wat ze nog meer doen.
En idd dat geld ook voor foto's.

We hebben een beveiligingsmechanisme nodig waarmee je apps sd toegang kunt beperken tot hun eigen directorie en eventueel handmatig de foto's en video's.

[Reactie gewijzigd door cibrhusk op 27 mei 2011 09:17]

Waar haal je dat vandaan? Als ik bij WhatsApp kijk onder privacy dan staat dat er helemaal niet. Het enige dat er staat is dat jouw status tekst, en andere persoonlijke informatie die je zelf vrijgeeft, wordt beschouwd als public domain.

Zie Privacy
En waarom is dit een ongewenste post? Hij heeft gewoon gelijk

Whatsapp is bijna gratis, ze moeten ergens geld aan verdienen.

[Reactie gewijzigd door mokkol op 26 mei 2011 11:15]

Wat is dat toch met de beveiligingen deze tijd! Allemachtig!
Ik vind het niet zo heel kwalijk.
Het staat lokaal en dat is dus heel wat anders dan dat het ergens verweg op een publieke server staat.

Daarnaast, als ze mijn telefoon stelen, dan staan toch ook al mijn nummers icm smsjes unencrypted op mijn RAM?
Groot verschil is dat elke applicatie met SD kaart rechten en internet rechten zo je hele whatsapp geschiedenis kan uploaden naar externe partijen. Voor zaken zoals SMS toegang moeten aparte rechten aangevraagd worden, wat veel verdachter is. Immers een wallpaper app die internet rechten en SD kaart rechten wilt is niet vreemd, een wallpaper app die SMS toegang wilt, dat is wel wat vreemder.

Lijkt me trouwens vreemd als al je smsjes en telefoonnummers in unencrypted in het RAM geheugen bewaard worden, die zullen gewoon op de telefoon zelf opgeslagen worden en door middel van het rechten systeem kan moet een applicatie toestemming vragen om er bij te kunnen. Je kan er dan enkel bij als de eindgebruiker toestemming geeft voor toegang tot SMS gegevens of als je de daadwerkelijke telefoon in handen hebt.

[Reactie gewijzigd door Tsurany op 26 mei 2011 11:20]

En elke applicatie met SD kaart rechten kan ook je foto's uitlezen en die daarna uploaden naar een server.

Overdrijven is ook een kunst. Als je zelf een beetje oplet welke apps je installeert is er over het algemeen niet veel aan de hand.
Foto's uploaden merk je echt wel. Je telefoon slurpt data en is binnen no-time leeg.

Dit zijn echter wat teksten die geüpload moeten worden, wat veel minder aan data verstookt en dus ook niet zo opvalt.
Ik schrijf men app zodat de uploads om 5 uur 's morgends gebeuren of enkel wanneer het scherm uitstaat bijvoorbeeld. Laat jouw dat maar eens direct opmerken.
Foto's uploaden merk je echt wel. Je telefoon slurpt data en is binnen no-time leeg.
Welnee, als je slim bent, dan kun je dat zo tussen gangbare data door laten spoken. Met 5Kb/s merk je 't niet. Zeker niet als je 't alleen doet als er een WiFi verbinding is.
Dat betekent nog niet dat het handig programmeerwerk is. Het gaat er om dat WhatsApp in feite zo lek als een mandje is, het zit vol met fouten die eigenlijk niet in zo'n applicatie voor zouden mogen komen. Dat andere zaken ook niet goed beveiligd zijn betekent niet dat WhatsApp niet goed beveiligd hoeft te zijn.
Privacy beschermen zou nog steeds een van de uitgangspunten moeten zijn van programmeerwerk, dat hier erg ligt mee omgesprongen wordt en dat mensen dit ook totaal niet erg vinden vind ik een zorgwekkende vooruitgang.
Mijn ervaring is dat mensen niet eens kijken welke rechten een programma wil.

Een vriend van mij had laats een virusscanner geinstalleed op zijn (non-root) Android telefoon! Ik vroeg hem het nut ervan, en heb het daarna meteen eraf gegooid. Als hij nou een rooted telefoon had zou ik mij er nog iets bij kunnen indenken.

Maar dan nog: Een viruscanner is geen oplossing voor ongevraagd toegang tot data, dit is iets wat je moet controleren voordat (of tijdens) je een App installeert.

@ hieronder: Allemaal leuk en aardig, maar ipv. twijfelachtige programma's installeren, zou je er beter aan doen om te kijken WAT je installeert! Bijv. door opmerkingen te lezen die bij de App staan, en welke rechten zo'n App wil bij het installeren ervan.

[Reactie gewijzigd door Cybergamer op 26 mei 2011 13:39]

Het nut? Dat kan ik wel bedenken, juist verdachte applicaties aanwijzen die geïnstalleerd zijn zou een goed nut kunnen zijn van een virusscanner, immers applicaties die rare zaken uitvoeren op je systeem kan je in principe wel als 'virus' aanmerken.
Dan hoop ik dat jij ook de verantwoording op je neemt voor de Android van die vriend! ;)

Deze virusscanner behoedt je juist van ongewenste software op je mobiel, die je zelfs gemakkelijk in de Android Market kan tegenkomen.
Google heeft onlangs nog een twintigtal apps verwijderd.

Legitieme software wordt bijvoorbeeld gedownload en met virus weer geupload onder een andere naam. Zo is het dus niet makkelijk te achterhalen en kan je onbedoeld rechten geven aan het 'geïntegreerde' virus...

Edit: Lees hier meer met oa.een lijst met geinfecteerde apps:
http://www.androidpolice....r-data-and-open-backdoor/

[Reactie gewijzigd door Randal op 26 mei 2011 12:41]

Wel makkelijk voor toekomstige conucrrenten van Whatsapps.
Die kunnen zo integraal de complete berichten geschiedenis inkopieren
Groot verschil is dat elke applicatie met SD kaart rechten en internet rechten zo je hele whatsapp geschiedenis kan uploaden naar externe partijen.
Dan heb je daar ook toestemming voor gegeven door de algemene voorwaarden te accepteren.
Wist iemand het niet, dan is het simpel: de algemene voorwaarden is niet (goed) doorgenomen door de persoon in kwestie.

[Reactie gewijzigd door CptChaos op 26 mei 2011 12:50]

Naar mijn meening doen ook ander telefoons een manier van opslaan op telefoon/ sd. buiten what's app dus zo schokkend vind ik het nou ook niet bv SE

Je kunt het zelf aanvinkenj wat je prettig vind.
Zelfs kun je het gewoon op je pc nalezen.

offtopic. tja wat voor onzin mensen tegenwoordig versturen :o (plaatje)
VInd het ook niet zo kwalijk, alsof tegenwoordig alles op en top beveiligd moet zijn.
Wanneer hier moeilijk over gedaan gaat worden, tsjah, dan had je maar moeten smsen... of gewoon dingen niet via WhatsApp bespreken die niemand mag weten ;)
VInd het ook niet zo kwalijk, alsof tegenwoordig alles op en top beveiligd moet zijn.
Wanneer hier moeilijk over gedaan gaat worden, tsjah, dan had je maar moeten smsen... of gewoon dingen niet via WhatsApp bespreken die niemand mag weten ;)
Het punt is dat tegenwoordig zoveel mensen Whatsapp gebruiken, dat ze hun eigen privacy
(en die van hun vrienden) opgeven voor toegang tot een ogenschijnlijk gratis applicatie.
Zie ook http://www.classity.nl/beveiligingsnieuws/Whatsapp-privacy-nachtmerrie
SMS is alleen encrypted als het door de lucht wordt verstuurd. Die beveiliging is al best een tijdje geleden gekraakt. SMS kan verder via routers worden onderschept. De opslag van SMSjes op een toestel of simkaart is ook niet beveiligd. In de iPhone backup naar iTunes zitten die SIMs dus ook ergens opgeslagen.

Kortom, naast WhatsApp is SMS niet erg veilig. Maarreh, dat is email ook niet.
de iphone (iOS) versleuteld dacht ik alles.
daar was laatst nog een bericht over:

nieuws: Bedrijf claimt encryptie iOS 4 gekraakt te hebben
Daarin staat dat alle systeembestanden versleuteld zijn. Voor bestanden die applicaties maken is de applicatie zelf verantwoordelijk
Dan nog. Hackers zijn echt niet crimineel genoeg om jou telefoon te stelen. Hackers zijn digitaal bezig. Echte criminelen die jou telefoon hebben gestolen hebben dan ook geen flauw ID hoe en waar deze berichten staan.

Maak je maar geen zorgen.
Hackers schrijven gewoon een simpele wallpaper app die vervolgens al je tekstberichten upload naar hun eigen server. Het probleem is juist dat elke applicatie op je telefoon met rechten op de SD kaart deze gegevens kan uitlezen, koppel daar rechten op internetgebruik aan vast en het kan ook geupload worden. Dus SD rechten + internet rechten = mogelijkheid WhatsApp geschiedenis up te loaden.
Warning rant coming:
Ik snap niet dat mensen tegenwoordig hun eigen privacy niet boeiend vinden, de manier waarop er laconiek gereageerd wordt op alle beveiligs issues. Ach ik heb niks te verbergen, komt wel een update voor, als ze mn telefoon pikken kunnen ze het ook zien. De gelatenheid, laconieke houding en acceptatie onder de gebruikers waardoor bedrijven met alles wegkomen. Schending van privacy, persoonlijke data, onvolledige en niet werkende versies. En alles wordt geaccepteerd, maar als ik aan iemand vraag weat verdien je is de wereld te klein, terwijl dit soort praktijken dit soort info en veel gedetailleerder feilloos doorstuurd.
Einde rant.

ontopic:
Hopelijk fixen ze dit in een update ;)
Je hebt privacy en je hebt paranoide gedrag....
SMSjes stonden altijd al onversleuteld op je mobieltje.....en dat gebruikte ook iedereen.
Ik zelf zie geen verschil, het gaat om een chatlog....
En ja, ik ben een groot voorstander van privacy, maar je moet niet denken dat alles achter een kluisdeur moet. Als ik op straat iets tegen een ander zeg ga ik toch ook niet eerst alle omstander checken, hun oren dicht stoppen en dan fluisteren?

Als iets niet toe te vertrouwen is aan je telefoon (inclusief de apps DIE JE ZELF INSTALLEERD) dan moet je het misschien maar eens niet op je telefoon zetten?
Maar was er voor die sms een app actief die de inhoud van je smsjes doorstuurde met telefoonnummers, locatie, tijden en frequentie en alle andere zaken die je op je telefoon doet/deed. SMS vergelijken met de huidige apps gaat natuurlijk niet op. Heeft niks met paranoia te maken imo
Hoe willen ze het fixen? Het is onmogelijk te fixen.

Ja je kan het versleutelen, en je wilt ook nog dat die app de mogelijkheid heeft om je chat geschiedenis te bekijken (anders is het nogal doelloos die te bewaren), dus heeft die app ook de decryptie sleutel. Dat is net zo iets als een deur op slot doen en dan de sleutel naast de bel vasttapen, het schiet geen drol op.
Dat is gewoon niet waar. WhatApp kan echt wel voor iedere telefoon een unieke sleutel aanmaken en die ergens stoppen waar andere apps er niet bij kunnen. (intern)

http://developer.android....cs/security/security.html
Mijn redenatie om WhatsApp niet op mijn telefoon te zetten krijgt steeds meer gegronde redenen. Een dergelijk product mag zich eerst bewijzen voordat ik mijn (gevoelige) gegevens er aan overdraag/koppel.
Bovendien zie ik het nut van WhatsApp niet, ondanks dat zo'n beetje de helft van mijn vriendenkring al een aantal keer mij op het bestaan ervan heeft gewezen. Echter bestaat er al jaren een systeem wat precies hetzelfde kan en op zo'n beetje elk apparaat met internettoegang beschikbaar is. Welke techniek ik bedoel? E-mail.
Je kunt er zo ongeveer infinite tekens in kwijt, attachments kunnen er aan, koppelen aan contactpersonen, kost geen drol en wanneer je GMail, of een andere server/client welke aan pushmail doet, gebruikt dan komt het ook instantaan aan ook nog.

[Edit]
Ik kijk met verbazing naar sommige reacties hier. :o
"Who cares?"
"Ach, ik wissel toch geen gevoelige info uit via Whatsapp."
"Ik heb toch niets te verbergen."

Geen wonder dat bedrijven met dit soort praktijken wegkomen... Er zijn er blijkbaar genoeg die niets geven om hun privacy, zo lijkt.
Ik wou dat ik eigenaar van een dergelijk app was... De mogelijkheden zijn eindeloos!

[Reactie gewijzigd door Ultraman op 26 mei 2011 11:37]

En jij denkt dat je emails versleuteld worden bewaard?
Een deel van mijn emails zijn inderdaad versleuteld, bijvoorbeeld die van mijn werk.
Maar er zijn er ook genoeg die dat niet zijn. Die zitten echter achter een username+password combinatie en zijn dus niet vrij beschikbaar voor derden.

De ontwikkelaars van WhatsApp hebben besloten om de gesprekken onversleuteld op de SDkaart te zetten. Dat is hun beslissing, maar wel een die een risico introduceert.
Elke andere applicatie met SDkaart toegang (en dat zijn er genoeg) kan nu bij de data en daardoor potentieel bij contactgegevens en inhoud van de berichten.

Dit risico in combinatie met het feit dat het in mijn ogen geen meerwaarde heeft over e-mail leidt tot mijn beslissing om geen gebruik te maken van WhatsApp.
Wie er wel gelukkig mee is moet lekker WhatsApp gebruiken als hij/zij dat wilt.

[Reactie gewijzigd door Ultraman op 27 mei 2011 09:41]

Gelukkig maar dat jij alles was naar je SDcard eerste versleuteld, Ultraman. Want dat doe je toch wel he? Anders is je argwaan tegen WhatsApp niet erg terecht.
Gelukkig heb ik jou om mij hier aan te herinneren :)
Ik wist al dat ze onversleuteld waren, maar dat lijkt me niet zo'n groot probleem? Ze staan toch gewoon lokaal en niet op een server..
Het probleem is dat iedere andere app er nu ook bij kan.

Dus jij installeert een game en hoppa, die trekt je hele database leeg en stuurt het op naar Noord Ossetie of Zuid Oezbekistan waar handige jongens vast leuke dingen kunnen doen met de gegevens van miljoenen mensen.

Stonden de gegevens maar op een server, die is vaak een stuk beter beschermd dan 10tallen miljoenen smartfones waar iederen 3 keer per dag een app op zet en weer weg smijt

[Reactie gewijzigd door Ortep op 26 mei 2011 11:22]

Het probleem is dat iedere andere app er nu ook bij kan.
En die apps bewaren de bestanden wél versleuteld op de SD kaart hoop je? ;)
Dus jij installeert een game en hoppa, die trekt je hele database leeg en stuurt het op naar Noord Ossetie of Zuid Oezbekistan waar handige jongens vast leuke dingen kunnen doen met de gegevens van miljoenen mensen.
Ja, verkopen bijvoorbeeld, om gericht te kunnen adverteren, omdat ze alles van je weten. En dat is dan nog maar het begin.
Stonden de gegevens maar op een server, die is vaak een stuk beter beschermd dan 10tallen miljoenen smartfones waar iederen 3 keer per dag een app op zet en weer weg smijt
Ja, want onversleutelde data op een server met bestanden / gegevens duizenden mensen tezamen is goed secure... ;) Waarom denk je dat DropBox gratis is?
Ja, want onversleutelde data op een server met bestanden / gegevens duizenden mensen tezamen is goed secure... ;) Waarom denk je dat DropBox gratis is?
Je suggereert dat DropBox de opgeslagen data bekijkt om er geld mee te verdienen? Ik weet dat er ophef was over de wijze hoe ze de data opslaan maar je suggestie gaat veel verder. En verstoort de belangrijke discussie over beveiliging en privacy!

Ik denk dat DropBox geld verdient door de de verkoop van hun betaalde accounts.
Je suggereert dat DropBox de opgeslagen data bekijkt om er geld mee te verdienen?
Je suggereert dat een bedrijf 'zomaar' een gratis dienst levert? Dan mag ik hopen voor je dat je heel gauw ontwaakt. Voor niets gaat de zon op, maar dat is het enige wat gratis is in deze wereld.
Ik weet dat er ophef was over de wijze hoe ze de data opslaan maar je suggestie gaat veel verder. En verstoort de belangrijke discussie over beveiliging en privacy!
Ik gaf DropBox even als voorbeeld, wellicht misschien de verkeerde, maar het gaat mij om het principe: Ik wil ermee zeggen dat bestanden opslaan op een server ook geen 100% garantie geeft dat je spullen beveiligd zijn. Steker nog: als een kwaadwillende dáár binnenkomt, liggen de gegevens van vele gebruikers op straat. Maar volgens jou heeft dat dus niets te maken met beveiliging en privacy? :? Als het jou niet uitmaakt best, maar anderen dan wellicht wel.
Ik denk dat DropBox geld verdient door de de verkoop van hun betaalde accounts.
En zo ook met de "gratis" accounts voor DropBox.

[Reactie gewijzigd door CptChaos op 26 mei 2011 17:55]

1 2 3 ... 7

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True