Pushbullet krijgt end-to-end-encryptie

De dienst Pushbullet heeft end-to-end-encryptie gekregen. Voorheen werden gegevens weliswaar met behulp van https verstuurd van het ene apparaat naar het andere, maar de data ging nog alijd onversleuteld via de servers van Pushbullet.

Het gebrek aan encryptie was al langer een punt van discussie rondom de applicatie. Het gebruik van https betekende dat de data niet zomaar opgepikt kon worden door een derde partij, maar theoretisch kon iemand bij Pushbullet zelf alle gegevens die de revue passeren gemakkelijk inkijken. Met de introductie van aes-256-encryptie is ook dat ten einde. Om de functie te activeren, moeten gebruikers een wachtwoord instellen en dit vervolgens op ieder betrokken apparaat invoeren. De update is per direct beschikbaar.

Pushbullet is een populaire mobile-app die notificaties die op die apparaten verschijnen, doorsluist naar de browser. Daarnaast kunnen gebruikers via de browser-addons berichten versturen via onder andere sms en WhatsApp. Ook kunnen data, zoals foto's, links en text, van het ene apparaat naar het andere worden gepusht.

Pushbullet encryptie screenshot

Door Mark Hendrikman

Redacteur

Feedback • 11-08-2015 17:14 35

11-08-2015 • 17:14

35

Lees meer

Pushbullet introduceert functie voor ophalen bestanden van apparaten op afstand
Pushbullet introduceert functie voor ophalen bestanden van apparaten op afstand Nieuws van 9 december 2015
Pushbullet komt met betaalde Pro-versie en perkt gratis functies in
Pushbullet komt met betaalde Pro-versie en perkt gratis functies in Nieuws van 17 november 2015
Ontwikkelaars komen met app voor tonen Android-notificaties op Linux
Ontwikkelaars komen met app voor tonen Android-notificaties op Linux Nieuws van 6 maart 2015
Pushbullet laat Android-gebruikers via pc antwoorden op WhatsApp
Pushbullet laat Android-gebruikers via pc antwoorden op WhatsApp Nieuws van 17 februari 2015
Vertaling duikt op van optie om blauwe vinkjes WhatsApp uit te zetten
Vertaling duikt op van optie om blauwe vinkjes WhatsApp uit te zetten Nieuws van 8 november 2014
Gerucht: WhatsApp biedt binnenkort mogelijkheid blauwe vinkjes uit te zetten
Gerucht: WhatsApp biedt binnenkort mogelijkheid blauwe vinkjes uit te zetten Nieuws van 6 november 2014
Meer producten en artikelen
Smartphones Internet

Reacties (35)

-Moderatie-faq
35
35
23
1
0
0
Wijzig sortering
LCP 11 augustus 2015 19:44
Pushbullet is een populaire applicatie voor iOS en Android
En voor
  • Chrome
  • Firefox
  • Opera
  • Safari
  • Windows
  • Mac
  • Windows Phone
  • Ubuntu
  • Blackberry
https://www.pushbullet.com/apps
Xxana 11 augustus 2015 17:16
Heb enorm respect voor developers die een functie toevoegen op vraag van de gebruikers, ook al zagen ze er niet onmiddellijk het nut van in. Ze hebben tijd die normaal in een ander project genuttigd zou zijn geweest, gebruikt om de encryptie toe te voegen. Niets dan lof voor de developers. _/-\o_
BeheGOD @Xxana11 augustus 2015 19:57
Een tijdje terug heb ik pushbullet al eens gebruikt. Wat ik toen wat storend vond was dat je smsjes getypt op de pc niet kon terugvinden in de conversaties op je gsm, noch een ontvangstbevestiging kreeg. Op de fora van pushbullet las ik dat ik niet de enige was. Benieuwd of de developers daar ook al oren naar gehad hebben! Anders blijf ik nog even plakken bij Airdroid :)
blouweKip @Xxana11 augustus 2015 17:50
Ik ken pushbullet verder niet maar volgens het bericht voegen ze geen functie toe maar is het meer het oplossen van een probleem wat in de eerste plaats niet had moeten bestaan.
kiang @blouweKip11 augustus 2015 21:01
Wat bedoel je daar mee? "Een probleem"?

Als je bedoelt dat PB helemaal onveilig was, dat is niet zo: er was al gewoon server-to-client encryptie. Nu voegen ze gewoon optioneel end-to-end toe.

Waarom is end-to-end niet default van in het begin? De makers zagen het nut er niet echt van in, en end-to-end is onhandiger voor de gewone gebruiker, omdat die zijn key in elke client moet invoeren, naast het standaard aanmelden.

Het nu van end-to-end zagen ze niet in, omdat ze er van uit gingen dat wie dit wil, dit doet omdat ze PB als bedrijf niet vertrouwen. Maar als je hen al niet vertrouwd, waarom zou je hen vertrouwen door je eigen key in hun software in te geven? Je vertrouwt hen niet met je berichten, maar wel met je wachtwoord voor die berichten?

bron: hun reddit AMA

Dat vonden de makers contra-intuitief. Alsnog, omdat vele gebruikers erom vroegen, hebben ze de functie nu ingebouwd.

Ik vind het een erg nette ontwikkeling :)
blouweKip @kiang11 augustus 2015 23:56
Het gaat meer over een situatie waar een 3e partij toegang heeft tot de servers, wat nu als de keys voor de toegang tot jou data wel goed beveilgd zijn opgeslagen terwijl het systeem waar de data doorheen gaat minder veilig is?

Daarnaast: mijn punt was ook niet zozeer of het nu wel of niet onveilig was, ik vind het alleen wat te ver gaan om dit soort basale zaken als een functie of feature te verkopen zoals Xxana doet (of het is sarcastisch bedoeld, de laatste tijd is dat wat lastig vast te stellen helaas).
Jazco2nd @blouweKip11 augustus 2015 18:13
Niks probleem. Functioneel is er niks aan de hand. Pushbullet werkte al perfect en dit voegt niks toe. Het is hooguit mooi meegenomen, maar had voor mij geen prioriteit hoeven te hebben.

Vroeger maakten we ons een stuk minder druk nu moet ALLES ineens end to end encrypted zijn voor featurelovers en aluhoedjesdragers anders is de software niet goed.
JanW @Jazco2nd11 augustus 2015 18:30
Dat heeft niks met featurelover/aluhoedjes te maken, maar meer met gezond verstand. Tegenwoordig zetten mensen hun hele leven in de cloud en op hun smartphone. End-to-end encryption is naar mijn idee een basisfunctie die dit soort apps gewoon moeten hebben.
sjongenelen @JanW11 augustus 2015 19:10
Tenzij het je niet interesseert dat je een plaatje van een kat pushed..
GrooV @sjongenelen12 augustus 2015 00:33
Tot dat je 2FA codes via pushbullet te onderscheppen zijn, 2e2 encryptie is tegenwoordig gewoon een must
sjongenelen @GrooV12 augustus 2015 08:35
Want dan hebben mensen opeens toegang tot ál je kattenplaatjes }>
AgamemnonZ @Jazco2nd11 augustus 2015 18:34
'Vroeger' wisten we nog niet dat alle internetcommunicatie onderschept kon worden. Nu weten we dat wel, daarom 'moet ALLES ineens end to end encrypted'.

In het pre-Snowden tijdperk kon je nog wegkomen met termen als 'aluhoedjesdrager'. Als je tegenwoordig echter nog belangrijke/gevoelige bedrijfs- of privé-gevevens communiceert via onbeveiligde kanalen dan ben je simpelweg naïef.

Mooie en logische ontwikkeling dus van Pushbullet; hierdoor spreken ze een bredere markt aan. Nu nog de source code publiceren van de end-to-end encryptie implementatie + de code regelmatig laten auditten voor de volle 100 punten.
kodak @Jazco2nd11 augustus 2015 22:13
Waarom noem je een gemis in beveiliging geen probleem?

Het feit dat persoonlijk verkeer onversleuteld op de server werd opgeslagen en verwerkt is niet alleen van de afgelopen paar jaar een zonde. Het heeft niets met alu hoedjes te maken, maar alles met risico management: als presoonlijke communicatie in verkeerde handen komt zijn de gevolgen groot. De kans dat dat zich voordoet is reeel. Niet omdat alu hoedjes menen dat op iedere server ingebroken kan worden, maar omdat een fout in de beveiliging al voldoende kan zijn.
fameus 11 augustus 2015 19:16
Helaas geen e2e encryptie voor apps die gebruik moeten maken van de web-api. Zou ook niet meevallen om dat te maken, denk ik.
Dorank @fameus11 augustus 2015 19:55
Volgens mij gebruikte ik zo 15 jaar geleden al javascript om clientside encryptie te doen (simpele RSA met ECB (yuk)), maar tegenwoordig zijn daar mooie libraries voor, bv: crypto-js.
Het enige wat mist is de gebruiker blockmode, maar aangezien google code dood is is er vast wel ergens een voortzetting/fork/alternatief die gcm wel geimplementeerd heeft.
fameus @Dorank18 augustus 2015 15:09
De API voorziet er helaas niet in. Maar je hebt gelijk dat het voor PB misschien wel mogelijk is om dat te maken.

[Reactie gewijzigd door fameus op 25 juli 2024 07:17]

CyberDonky 11 augustus 2015 17:34
Het is een heerlijk programma om te hebben en nu zeker met een veilige versleutelde verbinding. :) Pushbullet maakt goede stappen al zeg ik het zelf.

Ik gebruik Pushbullet voor delen van media en tekst tussen tablet, telefoon en laptop. Uitstekend! :)
Ook berichten van Tweakers nieuws kan je pushen :)

Welke encryptie wordt er nu gebruikt? Evengoed nog AES?

Al met al, goed bezig developers!
Dorank @CyberDonky11 augustus 2015 18:43
Geloof het of niet, maar het staat in het gelinkte artikel:
Sounds great! Can I get some technical details?

Data is encrypted using AES-256 with GCM authentication. The password you enter is not stored and is used to derive an encryption key using PBKDF2.

We use symmetric encryption and your key isn’t sent to the server (there isn’t any server involvement at all).
Het enige nadeel, dat op basis van de gegeven details, is dat het een statische sleutel is. Men hoeft maar 1 keer de moeite te nemen om de sleutel te achterhalen• en alle berichten (zowel toekomstige als historische) zijn te decrypten.

*:of via bruteforce of gewoon van het device af plukken (waarschijnlijker)

[Reactie gewijzigd door Dorank op 25 juli 2024 07:17]

Negaiido 11 augustus 2015 17:20
Ik had eerder nog nooit van Pushbullet gehoord maar na het installeren viel me op dat je een FB of Google account moet hebben.
Is het niet naïef dat ze nu encryptie gaan toepassen bij een dienst dat een dergelijke account vereist?
-GSF-JohnDoe @Negaiido11 augustus 2015 17:27
De enige informatie die je dan aan facebook of google verstrekt is "Ik gebruik pushbullet". Dit geeft hun geen mogelijkheid om jouw informatie/pushes in te zien.
GeoBeo @-GSF-JohnDoe11 augustus 2015 17:37
Als jij kunt inloggen op pushbullet met Google+ of Facebook, dan kan Google+ of Facebook ook inloggen op jou pushbullet... En nee, natuurlijk zullen ze niet toegeven dat ze dat doet *tenzij daar een juridisch geldige reden voor is*. In dat geval mogen ze het volgens de wet niet eens bekend maken dat het mogelijk is. De NSA heeft bijvoorbeeld altijd vrijwel automatisch juridisch voldoende onderbouwing om van wie dan ook (of van iedereen) die login te gebruiken...

Bron: Snowden over de automatisch bij voorbaat goedgekeurde juridische "procedures" die NSA gebruikt om van elk Amerikaans bedrijf alle data op te kunnen vragen.

[Reactie gewijzigd door GeoBeo op 25 juli 2024 07:17]

Anoniem: 85014 @-GSF-JohnDoe11 augustus 2015 21:45
Niet dat het anders is dan bij PGP, hoewel SMTP wel een gedistribueerd protocol is en het dus al wat moeilijker is, maar FB ziet wel wel naar wie je informatie stuurt. Dat is vaak al voldoende. Zeker in combinatie met andere contextuele data.
Megamind @Negaiido11 augustus 2015 17:25
Want? Wat heeft een OAuth request naar FB of Google te maken met E2E encryption?
Yggdrasil @Negaiido11 augustus 2015 17:51
Ik kende het ook niet maar het klinkt wel interessant. Toch wil ik liever een eigen account maken i.p.v. OAuth te gebruiken. Jammer dat ze die optie niet bieden.
Anoniem: 301518 @Negaiido11 augustus 2015 17:28
Ik heb precies hetzelfde idee als jij. Dacht eerst ook van gaaf en wat goed. Installeren en dan....google of fb login, geen andere opties :(
Uninstall dan maar weer.
kritischelezer @Anoniem: 30151811 augustus 2015 17:34
Het verstuurt geen encrypted info over de ¨bestaande lijnen¨??

Ik heb er nog niet nagekeken, maar als iemand aangeeft dat de encryptie wel volledig is, ga ik het zeker eens bekijken.
Anoniem: 301518 @kritischelezer11 augustus 2015 17:38
Ik wil services niet hangen aan mijn email of fb, als dat te voorkomen is.
Voor allerlei redenen. Soms ontkom je er niet aan. Maar hier had het wel gekund
om gewoon een eigen inlog te creeren.
kritischelezer @Anoniem: 30151811 augustus 2015 17:42
Dan is het meer dat je je digitale id wilt verbergen dan de inhoud?
Blaise @Anoniem: 30151811 augustus 2015 17:46
Je kan onder een schuilnaam een nieuwe account maken bij Google?

(Bij Facebook loop je het risico dat die wordt verwijderd als je niet je echt naam gebruikt)
mjl @Blaise11 augustus 2015 19:10
En hoe moeten ze daar nou achter komen... Zolang je maar "echte" namen gebruikt ipv U. Ser of Blah Dinges moeten ze al aardig wat research doen om er achter te komen dat dat je naam niet is.
xoniq @kritischelezer11 augustus 2015 21:13
Ik stel op hun website de passphrase in, en er staat bij; deze moet je op al je devices instellen om te kunnen ontsleutelen. Op mijn iPhone krijg ik ze gewoon binnen zonder enige vorm van passphrase invoeren ....... Dus niet functioneel lijkt me.
Clubbtraxx 11 augustus 2015 20:27
Zelf Pushbullet gebruiker van bijna het eerste uur... zeer handig en het wordt steeds beter.
Dev team doet wat de markt vraagt, en updates met nieuwe handige functies volgen elkaar snel op.
Goed bezig daar dat is zeker, aanrader voor wie het nog niet kent.
xoniq 11 augustus 2015 21:08
Laatst hadden ze een update waarbij Pushbullet vastliep op iOS tijdens het starten, daarna deed ie het weer, maar tot nu toe nog altijd geen notificaties meer. (Krijg ze binnen als ik de app open, notificatie instellingen in iOS staan goed) en wat ik wel heel apart vind, ik heb net end-to-end encryption ingesteld, een passphrase ingesteld, maar als ik de iOS app open heb, krijg ik ze gewoon binnen .. Daar geen wachtwoord nodig? Raar ....
Voluerunt 12 augustus 2015 00:43
Ik kan bijna niet meer zonder. als mijn Telefoon nog beneden ligt dan is het toch handig als ik kan reageren op een sms of een appje. ook voor mailtjes die binnenkomen is het handig.
H!GHGuY 12 augustus 2015 12:23
AES-256? Een tijd terug adviseerde Bruce Schneier nog tegen het gebruik van AES-256 (of AES-192).
Zie ook https://www.schneier.com/...9/07/another_new_aes.html

Sure, die aanval is nog niet praktisch te noemen, maar ze toont wel aan dat AES-192 en AES-256 niet significant veiliger zijn dan AES-128, hoewel mensen met nummer-ziekte dit wel geloven.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq