Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 35 reacties

De dienst Pushbullet heeft end-to-end-encryptie gekregen. Voorheen werden gegevens weliswaar met behulp van https verstuurd van het ene apparaat naar het andere, maar de data ging nog alijd onversleuteld via de servers van Pushbullet.

Het gebrek aan encryptie was al langer een punt van discussie rondom de applicatie. Het gebruik van https betekende dat de data niet zomaar opgepikt kon worden door een derde partij, maar theoretisch kon iemand bij Pushbullet zelf alle gegevens die de revue passeren gemakkelijk inkijken. Met de introductie van aes-256-encryptie is ook dat ten einde. Om de functie te activeren, moeten gebruikers een wachtwoord instellen en dit vervolgens op ieder betrokken apparaat invoeren. De update is per direct beschikbaar.

Pushbullet is een populaire mobile-app die notificaties die op die apparaten verschijnen, doorsluist naar de browser. Daarnaast kunnen gebruikers via de browser-addons berichten versturen via onder andere sms en WhatsApp. Ook kunnen data, zoals foto's, links en text, van het ene apparaat naar het andere worden gepusht.

Pushbullet encryptie screenshot

Moderatie-faq Wijzig weergave

Reacties (35)

Pushbullet is een populaire applicatie voor iOS en Android
En voor
  • Chrome
  • Firefox
  • Opera
  • Safari
  • Windows
  • Mac
  • Windows Phone
  • Ubuntu
  • Blackberry
https://www.pushbullet.com/apps
Heb enorm respect voor developers die een functie toevoegen op vraag van de gebruikers, ook al zagen ze er niet onmiddellijk het nut van in. Ze hebben tijd die normaal in een ander project genuttigd zou zijn geweest, gebruikt om de encryptie toe te voegen. Niets dan lof voor de developers. _/-\o_
Een tijdje terug heb ik pushbullet al eens gebruikt. Wat ik toen wat storend vond was dat je smsjes getypt op de pc niet kon terugvinden in de conversaties op je gsm, noch een ontvangstbevestiging kreeg. Op de fora van pushbullet las ik dat ik niet de enige was. Benieuwd of de developers daar ook al oren naar gehad hebben! Anders blijf ik nog even plakken bij Airdroid :)
Ik ken pushbullet verder niet maar volgens het bericht voegen ze geen functie toe maar is het meer het oplossen van een probleem wat in de eerste plaats niet had moeten bestaan.
Wat bedoel je daar mee? "Een probleem"?

Als je bedoelt dat PB helemaal onveilig was, dat is niet zo: er was al gewoon server-to-client encryptie. Nu voegen ze gewoon optioneel end-to-end toe.

Waarom is end-to-end niet default van in het begin? De makers zagen het nut er niet echt van in, en end-to-end is onhandiger voor de gewone gebruiker, omdat die zijn key in elke client moet invoeren, naast het standaard aanmelden.

Het nu van end-to-end zagen ze niet in, omdat ze er van uit gingen dat wie dit wil, dit doet omdat ze PB als bedrijf niet vertrouwen. Maar als je hen al niet vertrouwd, waarom zou je hen vertrouwen door je eigen key in hun software in te geven? Je vertrouwt hen niet met je berichten, maar wel met je wachtwoord voor die berichten?

bron: hun reddit AMA

Dat vonden de makers contra-intuitief. Alsnog, omdat vele gebruikers erom vroegen, hebben ze de functie nu ingebouwd.

Ik vind het een erg nette ontwikkeling :)
Het gaat meer over een situatie waar een 3e partij toegang heeft tot de servers, wat nu als de keys voor de toegang tot jou data wel goed beveilgd zijn opgeslagen terwijl het systeem waar de data doorheen gaat minder veilig is?

Daarnaast: mijn punt was ook niet zozeer of het nu wel of niet onveilig was, ik vind het alleen wat te ver gaan om dit soort basale zaken als een functie of feature te verkopen zoals Xxana doet (of het is sarcastisch bedoeld, de laatste tijd is dat wat lastig vast te stellen helaas).
Niks probleem. Functioneel is er niks aan de hand. Pushbullet werkte al perfect en dit voegt niks toe. Het is hooguit mooi meegenomen, maar had voor mij geen prioriteit hoeven te hebben.

Vroeger maakten we ons een stuk minder druk nu moet ALLES ineens end to end encrypted zijn voor featurelovers en aluhoedjesdragers anders is de software niet goed.
Dat heeft niks met featurelover/aluhoedjes te maken, maar meer met gezond verstand. Tegenwoordig zetten mensen hun hele leven in de cloud en op hun smartphone. End-to-end encryption is naar mijn idee een basisfunctie die dit soort apps gewoon moeten hebben.
Tenzij het je niet interesseert dat je een plaatje van een kat pushed..
Tot dat je 2FA codes via pushbullet te onderscheppen zijn, 2e2 encryptie is tegenwoordig gewoon een must
Want dan hebben mensen opeens toegang tot ál je kattenplaatjes }>
'Vroeger' wisten we nog niet dat alle internetcommunicatie onderschept kon worden. Nu weten we dat wel, daarom 'moet ALLES ineens end to end encrypted'.

In het pre-Snowden tijdperk kon je nog wegkomen met termen als 'aluhoedjesdrager'. Als je tegenwoordig echter nog belangrijke/gevoelige bedrijfs- of privé-gevevens communiceert via onbeveiligde kanalen dan ben je simpelweg naïef.

Mooie en logische ontwikkeling dus van Pushbullet; hierdoor spreken ze een bredere markt aan. Nu nog de source code publiceren van de end-to-end encryptie implementatie + de code regelmatig laten auditten voor de volle 100 punten.
Waarom noem je een gemis in beveiliging geen probleem?

Het feit dat persoonlijk verkeer onversleuteld op de server werd opgeslagen en verwerkt is niet alleen van de afgelopen paar jaar een zonde. Het heeft niets met alu hoedjes te maken, maar alles met risico management: als presoonlijke communicatie in verkeerde handen komt zijn de gevolgen groot. De kans dat dat zich voordoet is reeel. Niet omdat alu hoedjes menen dat op iedere server ingebroken kan worden, maar omdat een fout in de beveiliging al voldoende kan zijn.
Helaas geen e2e encryptie voor apps die gebruik moeten maken van de web-api. Zou ook niet meevallen om dat te maken, denk ik.
Volgens mij gebruikte ik zo 15 jaar geleden al javascript om clientside encryptie te doen (simpele RSA met ECB (yuk)), maar tegenwoordig zijn daar mooie libraries voor, bv: crypto-js.
Het enige wat mist is de gebruiker blockmode, maar aangezien google code dood is is er vast wel ergens een voortzetting/fork/alternatief die gcm wel geimplementeerd heeft.
De API voorziet er helaas niet in. Maar je hebt gelijk dat het voor PB misschien wel mogelijk is om dat te maken.

[Reactie gewijzigd door fameus op 18 augustus 2015 15:12]

Het is een heerlijk programma om te hebben en nu zeker met een veilige versleutelde verbinding. :) Pushbullet maakt goede stappen al zeg ik het zelf.

Ik gebruik Pushbullet voor delen van media en tekst tussen tablet, telefoon en laptop. Uitstekend! :)
Ook berichten van Tweakers nieuws kan je pushen :)

Welke encryptie wordt er nu gebruikt? Evengoed nog AES?

Al met al, goed bezig developers!
Geloof het of niet, maar het staat in het gelinkte artikel:
Sounds great! Can I get some technical details?

Data is encrypted using AES-256 with GCM authentication. The password you enter is not stored and is used to derive an encryption key using PBKDF2.

We use symmetric encryption and your key isn’t sent to the server (there isn’t any server involvement at all).
Het enige nadeel, dat op basis van de gegeven details, is dat het een statische sleutel is. Men hoeft maar 1 keer de moeite te nemen om de sleutel te achterhalen• en alle berichten (zowel toekomstige als historische) zijn te decrypten.

*:of via bruteforce of gewoon van het device af plukken (waarschijnlijker)

[Reactie gewijzigd door Dorank op 11 augustus 2015 18:45]

Ik had eerder nog nooit van Pushbullet gehoord maar na het installeren viel me op dat je een FB of Google account moet hebben.
Is het niet naïef dat ze nu encryptie gaan toepassen bij een dienst dat een dergelijke account vereist?
De enige informatie die je dan aan facebook of google verstrekt is "Ik gebruik pushbullet". Dit geeft hun geen mogelijkheid om jouw informatie/pushes in te zien.
Als jij kunt inloggen op pushbullet met Google+ of Facebook, dan kan Google+ of Facebook ook inloggen op jou pushbullet... En nee, natuurlijk zullen ze niet toegeven dat ze dat doet *tenzij daar een juridisch geldige reden voor is*. In dat geval mogen ze het volgens de wet niet eens bekend maken dat het mogelijk is. De NSA heeft bijvoorbeeld altijd vrijwel automatisch juridisch voldoende onderbouwing om van wie dan ook (of van iedereen) die login te gebruiken...

Bron: Snowden over de automatisch bij voorbaat goedgekeurde juridische "procedures" die NSA gebruikt om van elk Amerikaans bedrijf alle data op te kunnen vragen.

[Reactie gewijzigd door GeoBeo op 11 augustus 2015 17:39]

Niet dat het anders is dan bij PGP, hoewel SMTP wel een gedistribueerd protocol is en het dus al wat moeilijker is, maar FB ziet wel wel naar wie je informatie stuurt. Dat is vaak al voldoende. Zeker in combinatie met andere contextuele data.
Want? Wat heeft een OAuth request naar FB of Google te maken met E2E encryption?
Ik kende het ook niet maar het klinkt wel interessant. Toch wil ik liever een eigen account maken i.p.v. OAuth te gebruiken. Jammer dat ze die optie niet bieden.
Ik heb precies hetzelfde idee als jij. Dacht eerst ook van gaaf en wat goed. Installeren en dan....google of fb login, geen andere opties :(
Uninstall dan maar weer.
Het verstuurt geen encrypted info over de ¨bestaande lijnen¨??

Ik heb er nog niet nagekeken, maar als iemand aangeeft dat de encryptie wel volledig is, ga ik het zeker eens bekijken.
Ik wil services niet hangen aan mijn email of fb, als dat te voorkomen is.
Voor allerlei redenen. Soms ontkom je er niet aan. Maar hier had het wel gekund
om gewoon een eigen inlog te creeren.
Dan is het meer dat je je digitale id wilt verbergen dan de inhoud?
Je kan onder een schuilnaam een nieuwe account maken bij Google?

(Bij Facebook loop je het risico dat die wordt verwijderd als je niet je echt naam gebruikt)
En hoe moeten ze daar nou achter komen... Zolang je maar "echte" namen gebruikt ipv U. Ser of Blah Dinges moeten ze al aardig wat research doen om er achter te komen dat dat je naam niet is.
Ik stel op hun website de passphrase in, en er staat bij; deze moet je op al je devices instellen om te kunnen ontsleutelen. Op mijn iPhone krijg ik ze gewoon binnen zonder enige vorm van passphrase invoeren ....... Dus niet functioneel lijkt me.
Zelf Pushbullet gebruiker van bijna het eerste uur... zeer handig en het wordt steeds beter.
Dev team doet wat de markt vraagt, en updates met nieuwe handige functies volgen elkaar snel op.
Goed bezig daar dat is zeker, aanrader voor wie het nog niet kent.
Laatst hadden ze een update waarbij Pushbullet vastliep op iOS tijdens het starten, daarna deed ie het weer, maar tot nu toe nog altijd geen notificaties meer. (Krijg ze binnen als ik de app open, notificatie instellingen in iOS staan goed) en wat ik wel heel apart vind, ik heb net end-to-end encryption ingesteld, een passphrase ingesteld, maar als ik de iOS app open heb, krijg ik ze gewoon binnen .. Daar geen wachtwoord nodig? Raar ....
Ik kan bijna niet meer zonder. als mijn Telefoon nog beneden ligt dan is het toch handig als ik kan reageren op een sms of een appje. ook voor mailtjes die binnenkomen is het handig.
AES-256? Een tijd terug adviseerde Bruce Schneier nog tegen het gebruik van AES-256 (of AES-192).
Zie ook https://www.schneier.com/...9/07/another_new_aes.html

Sure, die aanval is nog niet praktisch te noemen, maar ze toont wel aan dat AES-192 en AES-256 niet significant veiliger zijn dan AES-128, hoewel mensen met nummer-ziekte dit wel geloven.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True