CBP: WhatsApp schendt privacy op diverse punten
WhatsApp, de populaire berichtendienst voor smartphones, schendt privacyregels, zo stellen privacywaakhonden uit Nederland en Canada in een gezamenlijk onderzoek. De app zou onder meer alle contactgegevens uitlezen, ook van personen die geen Whatsapp gebruiken.
Het Nederlandse College bescherming persoonsgegevens heeft samen met de Canadese privacytoezichthouder Office of the Privacy Commissioner naar eigen zeggen diepgaand onderzoek gedaan naar de privacyaspecten van WhatsApp, een berichtendienst die wereldwijd honderden miljoenen gebruikers telt. Het Amerikaanse bedrijf achter de software zou hebben meegewerkt aan het onderzoek.
Volgens het CBP maakt WhatsApp zich op vrijwel alle mobiele platforms schuldig aan privacyschending, doordat de applicatie standaard alle personen uit de contactenlijst binnenhaalt. Omdat in de lijst vrijwel altijd ook contactgegevens staan van personen die geen WhatsApp gebruiken, handelt de applicatie in strijd met zowel Nederlandse als Canadese privacyregels. WhatsApp biedt de gebruiker in iOS 6 wel de mogelijkheid om handmatig de contacten te selecteren.
De privacywaakhonden melden verder dat verzonden tekstberichten van WhatsApp ook eenvoudig te onderscheppen waren, omdat er geen enkele vorm van versleuteling werd toegepast. In latere versies van de berichtenapp heeft de Amerikaanse ontwikkelaar wel encryptie toegepast op het berichtenverkeer. Ook de implementatie voor het genereren van wachtwoorden was volgens de twee organisaties ondermaats. De wachtwoorden werden gegenereerd op basis van een hash van het imei-nummer of het wifi-mac-adres. Het Amerikaanse bedrijf zou ook deze kwetsbaarheid inmiddels hebben verholpen.
Het CBP stelt dat het op basis van dit internationale onderzoek zal bepalen of er eventueel verdere stappen tegen WhatsApp worden ondernomen. Tegenover de Canadese zusterorganisatie zou WhatsApp hebben aangegeven ook aan de nog openstaande bezwaren tegemoet te zullen komen.
Reacties (149)
Waarom is hier onderzoek naar gedaan? Het staat gewoon duidelijk in de machtigingen vermeld...
UW PERSOONLIJKE GEGEVENS
UW CONTACTEN LEZEN
Hiermee kan de app gegevens over uw contacten lezen die zijn opgeslagen op uw tablet, waaronder hoe vaak u bepaalde mensen heeft gebeld, hen een e-mail heeft gestuurd of op andere manieren met hen heeft gecommuniceerd. Dit betekent dat apps uw contactgegevens kunnen opslaan en dat schadelijke apps contactgegevens kunnen delen zonder uw medeweten. Hiermee kan de app gegevens over uw contacten lezen die zijn opgeslagen op uw telefoon, waaronder hoe vaak u bepaalde mensen heeft gebeld, hen een e-mail heeft gestuurd of op andere manieren met hen heeft gecommuniceerd. Dit betekent dat apps uw contactgegevens kunnen opslaan en dat schadelijke apps contactgegevens kunnen delen zonder uw medeweten.
UW PERSOONLIJKE GEGEVENS
UW CONTACTEN LEZEN
Hiermee kan de app gegevens over uw contacten lezen die zijn opgeslagen op uw tablet, waaronder hoe vaak u bepaalde mensen heeft gebeld, hen een e-mail heeft gestuurd of op andere manieren met hen heeft gecommuniceerd. Dit betekent dat apps uw contactgegevens kunnen opslaan en dat schadelijke apps contactgegevens kunnen delen zonder uw medeweten. Hiermee kan de app gegevens over uw contacten lezen die zijn opgeslagen op uw telefoon, waaronder hoe vaak u bepaalde mensen heeft gebeld, hen een e-mail heeft gestuurd of op andere manieren met hen heeft gecommuniceerd. Dit betekent dat apps uw contactgegevens kunnen opslaan en dat schadelijke apps contactgegevens kunnen delen zonder uw medeweten.
De belangrijkste bevindingen van de beide privacytoezichthouders zijn:
Je geeft toch toestemming om je contactpersonen uit te lezen... dus wat is het probleem? Volgens mij heb je als developer geen optie om handmatig te laten controleren... of wel? Zie hier iig geen probleem.Wie whatsapp wil gebruiken, moet verplicht toegang geven tot zijn volledige elektronische adresboek. WhatsApp kan vervolgens andere whatsapp-gebruikers uit het adresboek herkennen en de gebruiker tonen wie van zijn contacten ook whatsapp gebruikt. Het onderzoek wijst uit dat WhatsApp ook de mobiele telefoonnummers van niet-gebruikers bewaart. Dit is in strijd met Canadees en Nederlands privacyrecht. Om gebruikers in staat te stellen met elkaar te whatsappen, hoeft WhatsApp namelijk niet alle telefoonnummers uit hun adresboek te bewaren. Doordat WhatsApp gebruikers niet de mogelijkheid biedt om te kiezen of zij al hun contacten aan WhatsApp ter beschikking willen stellen, is een groot deel van de uit het adresboek verzamelde mobiele telefoonnummers bovenmatig. Alleen gebruikers met een iPhone met besturingssysteem iOS 6 hebben de mogelijkheid om handmatig contacten met wie zij willen whatsappen toe te voegen in plaats van dat zij verplicht toegang moeten geven tot hun volledige adresboek.
Was al bekend... working on it?Bij aanvang van het onderzoek constateerden de privacytoezichthouders dat WhatsApp de berichten via de app op onversleutelde wijze verstuurde. Hierdoor konden anderen de inhoud daarvan in leesbare vorm onderscheppen. Naar aanleiding van het onderzoek heeft WhatsApp het berichtenverkeer inmiddels versleuteld.
----------------------------------Tijdens het onderzoek bleek dat WhatsApp wachtwoorden genereerde voor het inloggen met de app op de server door gebruik te maken van het gehashte wifi-MAC-adres op iPhones en van het gehashte IMEI-toestelnummer op andere typen smartphones. Daarmee stelde het bedrijf whatsapp-gebruikers bloot aan het risico dat anderen hun wachtwoord konden namaken, en daarmee namens hen berichten konden versturen en lezen. WhatsApp heeft naar aanleiding van deze constatering een nieuwe methode gekozen om wachtwoorden aan te maken. Gebruikers moeten actief een nieuwe update installeren opdat zij een nieuw wachtwoord krijgen toegewezen. Voor inactieve gebruikers die hun app niet updaten, blijft het risico bestaan.
Het probleem is hier dat stel jij hebt mijn telefoonnummer in jouw telefoonboek, en WhatsApp gebruikt, je dan _mijn_ nummer upload naar de servers van WhatsApp. Omdat WhatsApp niet de toestemming heeft van mij daarvoor, schenden ze mijn privacy, omdat ze nu mijn nummer opslaan.
Het probleem is dat gegevens van jouw contacten die géén WhatsApp hebben óók op de servers komen te staan, en blijven staan. Dat is het grote punt waar het hier om gaat.
Nee, dat is niet zo.
Van de mensen die geen Whatsapp hebben staat er alleen een hash van het telefoonnummer op de servers. Daar wordt meer informatie aan toegevoegd als het betreffende persoon een account aanmaakt.
Ik zou liever zien dat iemand controleert wat precies de hash-forule is, en Whatsapp dwingen SHA-1 oid te gebruiken, waarvan is bewezen dat het onmogelijk is om dit terug te hashen naar plain-text:
Van de mensen die geen Whatsapp hebben staat er alleen een hash van het telefoonnummer op de servers. Daar wordt meer informatie aan toegevoegd als het betreffende persoon een account aanmaakt.
Ik zou liever zien dat iemand controleert wat precies de hash-forule is, en Whatsapp dwingen SHA-1 oid te gebruiken, waarvan is bewezen dat het onmogelijk is om dit terug te hashen naar plain-text:
Edit: Offtopic? Hoezo?!In haar zienswijze (inclusief daaropvolgende e-mailcorrespondentie en de conference
call van 4 januari 2013) stelt WhatsApp zich op het standpunt dat ‘out-of-network'
telefoonnummers op de whatsapp servers worden geanonimiseerd en gehasht op een
manier die het extreem moeilijk maakt voor WhatsApp (of derden) om de originele
telefoonnummers te achterhalen. 97 Het CBP heeft in paragraaf 2.2 van dit rapport
vastgesteld dat WhatsApp kan beschikken over de hashing formule
[VERTROUWELIJK: (...)] en het oorspronkelijke gegeven. WhatsApp kan de gehashte
‘out-of-network' nummers daardoor zonder onevenredige inspanning opnieuw
berekenen en bijvoorbeeld een opzoektabel maken van alle ‘out-of-network' nummers
in leesbare (plain text) en gehashte vorm. Van anonimiseren door middel van onder
andere hashen is daarom geen sprake. Datzelfde geldt voor het gehashte unieke IMEI-
toestelnummer dan wel het gehashte MAC-adres van de iPhone van whatsapp-
gebruikers. De zienswijze van WhatsApp leidt daarom op dit punt niet tot aanpassing
[Reactie gewijzigd door ik.ben.iemand. op maandag 28 januari 2013 20:08]
Hashing werkt niet omdat de complete range binnen de hash-range valt. Je hebt 0 collisions dus elke hash vertegenwoordigt maar max 1 nr, het is dan alleen nog maar de vraag wie de rainbowtable gaat maken (en met enkel numerieke range is die zo gemaakt)
Ik denkt dat dit het probleem is:
"Er is kritiek op het feit dat de app toegang vereist tot het gehele adresboek, ook de contacten die de dienst niet gebruiken. Deze contacten worden ook opgeslagen. "Dit is in strijd met het Canadees en Nederlands privacyrecht", aldus het CBP."
bron nu.nl en het nieuws op de radio.
Het kan zijn dat Tweakers die statement heeft uitgezocht en erachter kwam dat dit geen goede informatie is, maar ik wil het niet voor jullie lezers achter houden
Eventueel is het delen van het adresboek te verhelpen via bepaalde apps. Het kwaad is dan vaak als geschied doordat het adresboek er toch al naartoe is gekopieerd.
Gelukkig heb ik dit programma trouwens standaard geïnstalleerd op mijn telefoon staan.
"Er is kritiek op het feit dat de app toegang vereist tot het gehele adresboek, ook de contacten die de dienst niet gebruiken. Deze contacten worden ook opgeslagen. "Dit is in strijd met het Canadees en Nederlands privacyrecht", aldus het CBP."
bron nu.nl en het nieuws op de radio.
Het kan zijn dat Tweakers die statement heeft uitgezocht en erachter kwam dat dit geen goede informatie is, maar ik wil het niet voor jullie lezers achter houden
Eventueel is het delen van het adresboek te verhelpen via bepaalde apps. Het kwaad is dan vaak als geschied doordat het adresboek er toch al naartoe is gekopieerd.
Gelukkig heb ik dit programma trouwens standaard geïnstalleerd op mijn telefoon staan.
Uit het rapport blijkt dat WhatsApp alleen telnr's opslaat, en niet de bijbehorende naam. Van nummers die geen WhatsApp gebruiken, wordt boven alleen een hash en niet het nummer zelf opgeslagen. CBP vindt dat onvoldoende omdat dmv een rainbow table de oorspronkelijke nummers achterhaald kunnen worden.
CBP snapt het verschil tussen euro's en centen niet. Uit het rapport:
CBP snapt het verschil tussen euro's en centen niet. Uit het rapport:
Aanschaf van whatsapp voor de iPhone kost eenmalig 0,89 (bij aanvang van het
onderzoek: 0,79) eurocent.
Diepgaand onderzoek door CBP en canadese tegenhanger? Is toch een kwestie van een uurtje de Terms of Service doorlezen? Staat er letterlijk in.
http://www.whatsapp.com/legal/
WhatsApp will periodically access your address book or contact list on your mobile phone to locate the mobile phone numbers of other WhatsApp users (“in-network” numbers), or otherwise categorize other mobile phone numbers as “out-network” numbers, which are stored as one-way irreversibly hashed values.
Het is belangrijk dat een instantie als CBP bestaat, maar als ze jaren achter de feiten aanlopen is het een beetje kansloos.
http://www.whatsapp.com/legal/
WhatsApp will periodically access your address book or contact list on your mobile phone to locate the mobile phone numbers of other WhatsApp users (“in-network” numbers), or otherwise categorize other mobile phone numbers as “out-network” numbers, which are stored as one-way irreversibly hashed values.
Het is belangrijk dat een instantie als CBP bestaat, maar als ze jaren achter de feiten aanlopen is het een beetje kansloos.
Geweldig, dus mijn telefoonnummer staat ook in een database van een amerikaans bedrijf?
Ik heb nooit toestemming gegeven om mijn nummer voor zulke doeleinden te gebruiken.
Sterker nog, ik gebruik de software niet, enkele van mijn contacten echter wel dus nemen ze zich het recht mijn gegevens ook maar op te slaan?
Ik heb nooit toestemming gegeven om mijn nummer voor zulke doeleinden te gebruiken.
Sterker nog, ik gebruik de software niet, enkele van mijn contacten echter wel dus nemen ze zich het recht mijn gegevens ook maar op te slaan?
Tja, het doorzoeken van gegevens van contactpersonen vind ik discutabel. Het ligt er aan wat ze er mee doen. Ik wil wel graag de synchronisatie tussen mijn contactpersonenlijst en whatsapplijst houden. Het is erg irritant als je iedereen moet gaan vragen wat hun Whatsapp is. Doe mij maar een automatisch systeem. Als de gegevens enkel worden bijgehouden om te onthouden welke nummers Whatsapp gebruiken, dan vind ik het prima. Maar voor deze automatische functionaliteit moet natuurlijk de lijst met contactpersonen en hun nummers worden doorzocht, want hoe anders kan Whatsapp erachter komen welke contactpersonen van jou nu eigenlijk wel of niet Whatsapp gebruiken, en hoe anders kunnen deze contactpersonen worden toegevoegd aan de lijst met contactpersonen in Whatsapp? Er is maar een optie voor: het doorzoeken van je contactpersonen en diens gegevens. Dit is dus het grijze vlak tussen privacyschending en degelijke service. Als mensen die geen Whatsapp hebben worden onthouden door het systeem (dus niet enkel een keer doorzocht, maar ook op de servers van Whatsapp blijven hangen) of de gegevens voor andere doeleinden worden gebruikt is het een serieuzere zaak.
Wat wel kwalijk is, is dat de versleuteling van berichten nagenoeg afwezig is.
Wat wel kwalijk is, is dat de versleuteling van berichten nagenoeg afwezig is.
Ik snap het hele probleem niet van CPB, de gebruiker geeft toch toestemming hiervoor? Ik bedoel als je dat niet wilt, dan gebruik je het niet, simpel zat.
Waar het probleem in zit is meer dit
Ik gebruik whatsapp die importeert mijn telefoonboek ik geef toestemming en de server kijkt wie van mijn contakten whatsapp heeft
Nu staan er ongeveer 20 mensen in die gebruiken geen whatsapp
Maar die staan nu wel op de server van whatsapp vermeld terwijl die mensen nooit toestemming hebben gegeven daarvoor
En met de hoeveelheid gebruikers van whatsapp is er grote kans dat iedereen met een mobiele telefoon al in die lijst staat van nummers
Ik gebruik whatsapp die importeert mijn telefoonboek ik geef toestemming en de server kijkt wie van mijn contakten whatsapp heeft
Nu staan er ongeveer 20 mensen in die gebruiken geen whatsapp
Maar die staan nu wel op de server van whatsapp vermeld terwijl die mensen nooit toestemming hebben gegeven daarvoor
En met de hoeveelheid gebruikers van whatsapp is er grote kans dat iedereen met een mobiele telefoon al in die lijst staat van nummers
Telefoonnummers zijn over het algemeen niet geheim, die telefoonnummers zijn al lang overal bekend.
bijna alle apps lezen alle telefoongegevens uit en joost mag weten wat nog meer.
privacy heb je niet op je telefoon zo simpel is dat.
ik maak me er niet zo druk om ik heb immers niets te verbergen.
privacy heb je niet op je telefoon zo simpel is dat.
ik maak me er niet zo druk om ik heb immers niets te verbergen.
Ik zie nergens in het bericht staan dat WhatsApp je contacten opslaat. (Wat niet betekent dat dit niet zo is, maar zie hier ook geen bewijs van) Ze heeft ze nodig om te kunnen matchen, tuurlijk, en daar geef je toestemming voor.
Andere diensten doen het toch ook al jaren? "Log in met je Gmail/Hotmail account zodat we al je contacten kunnen importeren in Facebook/Hyves/etc." Wat is hier anders aan?
Andere diensten doen het toch ook al jaren? "Log in met je Gmail/Hotmail account zodat we al je contacten kunnen importeren in Facebook/Hyves/etc." Wat is hier anders aan?
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Asus Samsung Websites en communities Mobiele telefoons Laptops Sony Games Microsoft Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
