Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 144 reacties

WhatsApp krijgt een optie om data te delen met Facebook, zo zou blijken uit een testversie van de Android-app die WhatsApp zelf online heeft gezet. Het delen van data met Facebook is optioneel en is bedoeld om 'Facebook-ervaringen' te verbeteren.

Het is onbekend welke data gebruikers delen met Facebook als ze de optie aanvinken, meldt AndroidWorld. De optie staat in het bronbestand bij de tekst over de nieuwe voorwaarden. Die voorwaarden zouden nodig zijn vanwege functies als WhatsApp-bellen, een dienst die de chatapp vorig jaar toevoegde.

Dat de tekst in de testversie staat die WhatsApp op de eigen site heeft gezet, betekent niet dat de optie er snel zal zijn. Meestal volgt de release van functies uit de testversies enkele weken tot maanden later, maar soms duurt het ook langer. Facebook nam WhatsApp enkele jaren geleden over, waardoor het delen van data voor de hand ligt.

Naast de nieuwe optie om data te delen komt er een manier om de versleuteling van een chat te controleren via een qr-code, meldt DroidApp. Dat zou blijken uit de teksten die WhatsApp verspreidt om te laten vertalen. Wanneer die functie komt, is eveneens onbekend.

WhatsApp data delen met Facebook

Moderatie-faq Wijzig weergave

Reacties (144)

De grote vraag is:

Als IK niet akkoord ga, maar (een van) mijn contacten wel, wordt MIJN data (op andermans toestel) dan ook gedeeld met Facebook?
Scherpe vraag .. Als ik niet akkoord ga met het delen van gesprekken voor steekwoorden etc, maar mijn tegen contact wel, hoe gaat het hier mij om .. Ik begin op deze manier met zulke koppelingen wel een afkeer voor Whatsapp te krijgen.
Ik zou even afwachten waar het precies om gaat.
De berichten zijn end-to-end encrypt, en ze doen er alles aan om dit te waarborgen.

Dit houdt in dat er niet aan de server kant op sleutelwoorden gezocht kan worden.
Als de client op je toestel dan de gesprekken zou gaan doorziften en keywords gaat zoeken, wat al redelijk lastig zou zijn en een mogelijk battery/storage hog zou gaan worden, dan verslaat dat alsnog een groot deel van de encryptie... Dat zal het dus zeer hoogstwaarschijnlijk absoluut niet zijn.

Ik denk dan ook dat dit niets te maken gaat hebben met de Chat functionaliteit van WhatsApp, en dat daar dus helemaal nooit iets van gedeeld wordt met FB, maar eerder met de Call feature... En let wel: dit is, net als alle suggesties van andere mensen onder dit topic en in het artikel, 100% hypothetisch en louter een theorie.

Dat heeft te maken met de manier waarop WhatsApp Call's werken[1].
Dat gaat als volgt, even in hele grote lijnen het signalling proces (zo accuraat mogelijk uitgelegd in NL; in het Engels gaat het me veel beter af):
- WhatsApp client stuurt een verzoek naar de call server A en authenticeert met deze server. Deze server zet geen gesprekken op.
- Na een aantal pakketten en handshakes, wordt een verbinding opgezet met server B; waar het gesprek wordt geinitieerd; en een verzoek ("offer") wordt verstuurd naar de contact die gebeld wordt. Hier wordt **waarschijnlijk** ook encryptie geinitialiseerd door handshakes uit te voeren. En ik zeg waarschijnlijk, omdat het enkel een vermoeden is dat de encryptie laag in de signaling pakketjes ingebakken zit; maar dat viel niet te decrypten om het met zekerheid te kunnen zeggen.
- Nu wordt er ook vastgesteld welke codec gebruikt gaat worden (normaliter is dat de Opus codec op 16Khz)
- Zodra dit voltooid is wordt er via TURN vastgesteld welke adressen benodigd zijn voor het gesprek (in/extern), en wordt er een latency test uitgevoerd tussen de Relay servers
- Nu wordt er bevestigd dat er een gesprek tussen contact A en B zal plaatsvinden, met timestamp, welke codec (Opus) daarvoor gebruikt wordt en tegen welke bitrate en welke addressen er gebruikt worden. Het gesprek wordt nu daadwerkelijk established.
- Na een seconde of 30 in het gesprek schakelen de clients spontaan over op de nieuw geselecteerde endpoint, vermoedelijk om de initiele server belasting omlaag te halen.
- Als het gesprek beeindigd wordt, sturen beide clients weer een terminate bericht naar een van de initiele servers, dat het gesprek is beeindigd.

Nu vraag je je misschien af "waarom is dat in godsnaam relevant?".
Nou, sommige van die initial servers staan geprogrammeerd om een FBCDN address te gebruiken. (De werkelijke relay servers dus niet! Maar de call-setup systemen wel.) Nu maakt dat op dit moment niet veel uit omdat het nog binnen WhatsApp's eigen infra zit en de meta-data of bij WhatsApp wordt opgeslagen: of zelfs helemaal niet. (Grote kans op, want nog geen voorwaarden.)

Maaarrrrrr... Voor Calls moet uiteindelijk wel meta-data opgeslagen worden (wie belt met wie? Hoelang? En op welke datum?), anders krijgen ze gezeik. En als ze die dan vervolgens kunnen laten lopen via Facebook's primaire netwerk is dat een behoorlijk aantal meta-data; maar daar hebben ze dan toestemming voor nodig van de gebruiker om dit werkelijk op te slaan direct bij Facebook.

Voor Facebook is dat interessant voor vriendensuggesties, omdat ze dan nu niet enkel weten wie je in je lijst hebt staan (dat weten ze als je de Facebook app installeert; of ooit geïnstalleerd hebt gehad.): maar ook met wie je allemaal belt.
Heel boeiend is het niet, maar het levert toch extra data op die ze nu niet hebben.

Of dit *noodzakelijk* gaat zijn om de bellen functie te gebruiken?
Geen idee. Daar durf ik niets over te zeggen. Het *lijkt* me van niet, maar aan de andere kant: WhatsApp Call is wel een behoorlijke datahog vergeleken met WhatsApp Chats. Het zou me weinig verbazen als Facebook het helemaal prima vindt dat WhatsApp alle chats en dergelijken 100% encrypt, beveiligd, etc. etc.: maar dat ze voor de Call feature toch op z'n minst de meta-data willen hebben... En die mogen ze dus niet hebben als het direct bij WhatsApp wordt bijgehouden in plaats van op de CDN bij Facebook.

Let wel, de inhoud van gesprekken (zowel chats als oproepen) zullen *nooit* gedeeld worden; want zowel Chats als Calls zijn 100% end-to-end encrypt en kunnen dus niet getapt worden. Het zal altijd hoogstens om meta-data gaan; en wie weet als je opt-in kiest om mee te doen ook je contactenlijst en actieve gesprekken ("Met wie chat je?"); maar ook dat is weer speculatie want helemaal niets in de app noch de voorwaarden suggereren dat; en de nieuwe ToS schijnt voornamelijk gericht te zijn op de nieuwe Call feature.
We moeten eerst nog maar eens gaan zien of er ook iets veranderd op het gebied van de Chat functionaliteit. En dát lijkt me heel erg stug, vanwege:
- FTC heeft aangegeven dat dit niet mag
- Facebook en WhatsApp hebben dat beloofd (Okee, dat zegt weinig.)
- WhatsApp doet er alles aan om zo privacy vriendelijk als mogelijk te zijn op het Chat gedeelte, met oa extreem sterke encryptie (de sterkste van alle grote messengers), en wil dat imago niet kwijt; dus de policy zal daar waarschijnlijk ongewijzigd blijven; en dus kan je lekker naar hartelust blijven appen.

Ik denk dat het even rustig afwachten is wat ze precies in die policy zetten, en wat er voor WhatsApp Call precies voor voorwaarden komen.
Tot die tijd is alles, inclusief wat ik hierboven schreef, 100% speculatie en slechts giswerk.

Ik denk echter wel dat we er, zoals gewoonlijk bij WhatsApp, vanuit kunnen gaan dat de privacy op z'n minst voor de Chat functionaliteit niet aangetast zal worden. WhatsApp heeft nog nooit iets gedaan wat de privacy daar zal aantasten, en enkel stappen genomen om het steeds veiliger en veiliger en veiliger te maken. Steeds sterker beveiligd. En nu extreem sterk encrypt. Nooit iets gedaan wat aangeeft dat ze van deze policy zouden willen afstappen; dus het zou wel erg raar zijn als ze dat nu, na jaren werk, opeens wel zouden doen.
Voor de Call functie durf ik het echter niet te zeggen... En dat is afwachten. :)


[1] Gebaseerd op eigen onderzoek en op de bevindingen van dit onderzoek voor het signaling proces: http://www.fit.vutbr.cz/r...9%2FWhatsApp.pdf&id=10979

[Reactie gewijzigd door WhatsappHack op 6 januari 2016 21:37]

Dat is een fantastische vraag.

Je zou haast denken van wel. Ik neem aan dat steekwoorden worden gezocht. Heb jij het over een bepaald product, dan zie je vaker reclames over dat product. Maar heb ik het over een product terwijl ik data delen heb uitstaan, dan zou mijn contactpersoon die wel data delen heeft aanstaan misschien wel mijn tekst met Facebook kunnen delen. Een absoluut denkbaar scenario.

Misschien wordt het in eerste instantie alleen gebruikt om mensen te koppelen. Op Facebook gebeurt dat al met vrienden van vrienden, mensen uit je omgeving, mensen die bij hetzelfde/dezelfde bedrijf/studie/groep lid zijn, etc. Misschien nu ook mensen met wie je appt.

Laten we hopen dat het hele verhaal boven tafel komt zodra je de optie voorgeschoteld krijgt om je Facebookaccount te koppelen aan WhatsApp. Ik verwacht het niet...
Ik ben bang van wel, gebeurt nu in principe ook al. Als andere mensen jou telefoonnummer en emailadres koppelen in hun contactenlijst en ze geven facebook / linkdin etc... toegang tot die informatie dan is 1+1.

Helaas houdt niemand rekening met de privacy van anderen indien ze bepaalde apps installeren
als ik niet akkoord ga maar een ander wel betekend dit dan ook dat facebook mijn telefoon nummer krijgt terwijl ik dit niet wil?
Goede vraag. Zo werkt het nl. binnen WhatsApp wel. Ik ben -mede om wat er nu gemeld wordt-vanaf het begin mordicus tegen geweest en heb het nooit geinstalleerd. Echter zijn mijn naam en nummer wel degelijk bekend bij WA, en ik sta er niet van te kijken als hetzelfde geldt voor de andere data die mijn contacten over mij hebben opgeslagen. :(
Hmmm eens zien wat de FTC hiermee gaat doen:

http://www.csoonline.com/...app-privacy-policies.html

https://www.ftc.gov/syste...410facebookwhatappltr.pdf

Lijkt me dat ze zich toch op glad ijs gaan begeven ook al zouden ze het mogen door een opt-out aan te bieden, maar hoe duidelijk zullen ze dit naar de gebruikers toebrengen? En dan bedoel ik niet de tweakers onder ons (en misschien ook wel :P )
Zolang het opt-in is, heeft de FTC geen bezwaren.
Enkel als er standaard data gedeeld wordt met Facebook en dus opt-out zou zijn is er een probleem, afhankelijk van wat er gedeeld wordt. Geaggregeerde statistieken mogen namelijk nu al gedeeld worden. (Dat is namelijk geen privé data.)
Opt in kan op veel manieren, bijvoorbeeld met een popup over nieuwe features met een heel klein cancel knopje. We zullen zien wat ze er van maken, ik hoop dat ze een nettere manier verzinnen.
Zolang het opt-in is zie ik er geen probleem mee. Het bedrijf is immers van Facebook.
Moeten beide partijen niet mee akkoord zijn om de informatie te delen? Als ik met met jouw een whatsapp gesprek en ondanks dat bij mijn de optie uit staat wordt het gedeeld met facebook omdat jij er wel gebruik van maakt. Nee dat zie ik liever niet, wel beide moeten er mee eens zijn.
Tsja... Als jij mij een brief (of moderner: e-mail) stuurt, ben je toch ook de controle kwijt of ik die doorgeef aan de krant?
Nee je mag niet zomaar alles delen van iemand anders als dat zijn privacy schaart. Voor een krant moet het bijvoorbeeld wel nieuwswaarde hebben. Daarbij is het mijn keuze om hem iets te vertellen en niet de keuze om iets aan facebook te vertellen.

[Reactie gewijzigd door comitatus op 6 januari 2016 16:27]

Maar dat is geen persoonlijk gesprek. Je stelt iets beschikbaar aan commerciële media.
Dan kan je al snel helemaal niets meer delen omdat alles wel een verband heeft. Ik denk niet dat je zoiets kan afdwingen.
Volgens mijn is het geen openbaar gesprek. Wie weet ben ik wel advocaat en heb ik bewust de keuze gemaakt om uit te vinken. De informatie hieruit ontlenen is bij wet verboden door de 3e partij.
Als je advocaat bent, dan zou je beter moeten weten dan whatsapp te gebruiken voor vertrouwelijke informatie.
Whatsapp is toch end-to-end encrypted? SMS lijkt me een stuk minder veilig.
Naast het feit dat ik het niet echt professioneel vind, meen ik vrij zeker te weten dat dergelijke communicatiemiddelen bij ons verboden zijn op grond van ons ICT-reglement. Evenals WE-transfer en dergelijke.
Want alleen een fax of een telefoontje (met zo'n krulsnoer) zijn professioneel?
Dat hoor je mij niet zeggen. Ik vind het, zeker voor bepaalde correspondentie, niet professioneel. Die afweging mag iedereen voor zichzelf maken.
In onze bedrijfsomgeving wordt 'gewoon' whatsapp gebruikt onderling.
Maar bedrijfsinfo / klantgegevens mogen we niet daarin verwerken.
Maar we zijn zijn dan ook geen advocaten of justitiële instelling.

Ik kan me voorstellen dat klantcontact aan bepaalde eisen moet voldoen, en dat de klant van een oliebollenkraam andere verwachtingen heeft dan een verdachte / cliënt van de rechtbank
Het feit dat het laagdrempelige chat met smiley mogelijkheden is maakt het onprofessioneel.

"Heeeyya meneer Jansen, ik heb ook ff hoger beroep aangetekend tegen de uitspraak 8-) , anders dan moet je 2 jaar de bak in :'( "
"Maar ik ben toch echt onschuldig?? O-) O-) :P Trouwes keek net ff na die factuur :o "
SMS is inderdaad minder veilig, normaal bellen ze ook gewoon maar dat wil niet weg nemen dat de klant dit doet. Kun je roepen ja waarom zet je dan niet even uit. Ja weet je dat dan nog?
Je kan altijd even reageren dat terugbelt of een e-mail stuurt.. Lijkt me als professioneel dienstverlener niet een grote issue.
Whatsapp kon (kan?) terugvallen op een unecrypted verbinding. Niet 100% betrouwbaar, maar veel veel beter dan e-mail.

Neem ook maar aan dat de politie wa kan tappen. Als er een tap gelegd wordt anni 2016, wordt standaard Al het internet verkeer meegetapt.
Kan. Vooral het Symbian platform gooit nog roet in t eten waardoor een downgrade plaats kan vinden bij het chatten.

Echter, tussen Android en iOS (en alle groepen bestaande uit mensen met enkel die operating systems) is die optie er niet meer en zijn altijd encrypt. Dit kwartaal nog wordt als het goed is ook de verificatie funcie toegevoegd, waarbij je keys kan controleren en dus zeker weet dat enkel jij en de ontvanger de communicatie kunnen lezen.

Als een gesprek E2E encrypt is, is tappen niet mogelijk.
Facebook zal ook nooit met de inhoud van gesprekken mee kunnen lezen trouwens door E2E, daar zal de "deel data met Facebook" feature niets mee te maken hebben. Waar het wel mee te maken heeft is speculatie en heeft meer info nodig.
Share my WhatsApp account information with Facebook to improve my Facebook experiences, dit staat er in de voorwaarden. Volgens mij valt inhoud van chatberichten niet onder Account information.
Hhaa oke ja ik zie het. Staat trouwens niet in artikel maar bedankt dat maakt wel wat dingen duidelijk ik vond vreemd dat facebook evt zonder toestemming je berichten zou kunnen indexeren. In artikel van tweakers wordt het veel vager gehouden ('data') dan in de onderstaande code inderdaad staat.
Nu ga je ervan uit dat het gesprek gedeeld gaat worden op een timeline. Dat staat nergens en valt ook niet te halen uit het begeleidende screenshot. Daar staat alleen dat de data gedeeld wordt met Facebook. Ik concludeer hieruit dat het statistische data is met inbegrip van keywords om jou een zo fijn mogelijke facebook ervaring te leveren. Of we dat willen is een tweede maar de tekst lijkt een keuze te geven.
Ik heb het nergens over timeline of welke functies facebook mag hebben. Ik heb geen facebook wil het niet. Ik word al gek dat ik mijn kado's voor verjaardagen door stomme kut advertenties van google al meerdere male heb ontdekt of andere verrassingen.
Dan gebruik je Whatsapp toch niet?
Tegenwoordig is SMS ook al bijna gratis, als je een mobiele dataverbinding kan betalen heb je meestal veel SMS-jes beschikbaar, ja je kan er niet alles mee, maar voor de rest zijn er wel alternatieven.
Andere browser gebruiken dan je partner (die blijkbaar dezelfde pc gebruikt) helpt daar wel tegen ;)
persoonlijke reclame uitschakelen beter maar het is niet mijn pc en is wel handig als ik bij me ouders zit even snel wat kijken.
Off topic, maar... InPrivate (IE) /Private (FF) / Incognito (Chrome) window gebruiken is een eenvoudige oplossing.
De bestaande cookies worden dan niet gebruikt, dus geen last van die reclames en je hoeft je ouders niet uit hun GMail e.d. uit te loggen.
Imac dus safari en ik kan het wel uitzetten maar het is niet mijn pc. Verwijderen van cookies voor gebruik is ook niet echt hulpzaam gezien je dan weer een vraag aan regen krijgt voor cookies.
Ben ik helemaal met je eens, maar is dat niet een beetje hoe gmail al jaren werkt. Zodra ik een mail ontvang van een gmail account ben ik ook onderdeel van de index van Google.
Het probleem is wel dat ze ooit zeiden dat het gescheiden zou blijven. En die grens vervaagt nu een beetje. Het zou me niet verbazen als het, wanneer het een beetje ingeburgerd is, wel of niet per ongeluk in een opt-out veranderd.
De grens is niet aan het vervagen, de grens is weg. En die opt-out komt er ook wel. Ik roep al sinds de overname dat alles wat je op whatsapp zet vroeg of laat in een facebook-database terecht gaat komen, en dit soort acties bewijzen maar weer eens mijn gelijk.

Code wordt overigens nooit "per ongeluk" geschreven. Iedere keer als er weer eens een "sorry, foutje" excuus wordt gegeven is dat een manier om een impopulaire keuze onder tafel te vegen. Net zoals toen er in chrome "per ongeluk" een anti-adblocker-"bug" zat die op youtube werkt. Bug my ass, een opzettelijke feature om te kijken of ze er mee weg komen.
Dat 'per ongeluk' was ook sarcastisch bedoeld.
Mensen janken nu al en er is nog niet eens bekendgemaakt om welke data het gaat. Wat een bijzondere scoop weer van Androidworld. ;(

[Reactie gewijzigd door NotSoSteady op 6 januari 2016 16:39]

Zolang het opt-in is zie ik er geen probleem mee. Het bedrijf is immers van Facebook.
Als je zo redeneert zou je er ook geen problemen mee moeten hebben als het opt-out is. Het bedrijf is immers van Facebook.
Kwestie van tijd dat WA gewoon een facebook account verplicht, inclusief sync houden van alle data (telefoon, foto's etc), of dat bepaalde functies deze opt-in gaan eisen, bijvoorbeeld voor het bellen.
Oh ik zit het al helemaal gebeuren. Eerst zou alle data gescheiden blijven, want anders gebruikers in rep en roer.

Nu is er een optie, opt-in weliswaar, om toch data te delen.

En straks is de opt-in (al dan niet "per ongeluk") verandert in een opt-out. Daarna.. optie weg oeps.

Ik ga geen alternatieven goed praten, maar vanaf het moment dat Whatsapp overgenomen is door 1 van de grootste privacy schurken van het moment heb ik deze per direct verwijderd. Het scheelt daarnaast een hoop laagdrempelig geneuzel en groeps-chat bullshit. Sms/email, heerlijk hoe zakelijk en to-the-point mensen daarmee zijn.

[Reactie gewijzigd door fandango op 6 januari 2016 19:59]

Als ze nou eerst eens focussen op het werkend krijgen op verschillende apparaten i.p.v. die rare "Je telefoon moet aan blijven staan"-web interface...
Die rare "Je telefoon moet aan blijven staan"-web interface is zo 'raar', omdat de berichten versleuteld worden en niet centraal opgeslagen worden, maar uitsluitend op je telefoon. Die web interface kan dus niet bij jouw berichten komen, als hij niet ook bij jouw telefoon kan komen.

Dat neemt niet weg dat ze dat natuurlijk geheel om kunnen bouwen, zoals bijvoorbeeld Telegram opgezet is. Maar dat betekent uiteraard wel dat al je berichten dus bij WhatsApp moeten achterblijven voor veel langere tijd dan nu. Of iedereen daar zo blij mee zal zijn weet ik niet :) Al vermoed ik dat een groot deel van de gebruikers (de Facebook-generatie) er vast geen probleem mee heeft.
Whatsapp slaat wel degelijk ook berichten op de server op.

Bovendien zou het ook helemaal niet ten koste hoeven gaan van de security, als je een versie had waar je berichten vanaf meerdere apparaten toegankelijk zijn. Client side encryptie, dan staat het wel op de server maar kunnen zij het zelf niet lezen.
Weet je dat zeker? Ik heb laatst m'n telefoon gewiped en alle conversaties waren weg hoor.
Het feit dat je geen gesprekken kunt herstellen zegt niks over het wel of niet (ongevraagd) opslaan op hun servers.
Overigens, de laatste keer dat ik een nieuw toestel installeerde wist Whatsapp mijn recente profielfoto, status en de groepsgesprekken waar ik in zat terug te halen (geen cloudbackup). Dus ze slaan wel degelijk data op.
Ja die gegevens inderdaad wel, maar inhoudelijke conversaties niet volgens mij en daar ging het ff om.
Waar komt dit dan vandaan?
Ik zoiets zelf ook wel eens, en hij haalt dan alleen eerdere berichten binnen als ik online ben. Dus het komt niet vanaf een cache op mijn phone o.i.d.

[Reactie gewijzigd door kumquat op 6 januari 2016 22:00]

Dat is heel simpel.
Als je een gesprek opent worden enkel de laatste berichten uitgelezen uit de database en op je scherm getoond. Als je meer berichten op je scherm wil (en dus verder terug wil) moet je op die knop tikken en dan laat hij weer een stukje verder terug in de lokale database de berichten zien.

Dat betekend niet dat hij het hoeft op te halen vanaf de server, maar dat hij gewoon niet de hele gespreksdatabase meteen inleest voor een gesprek dat je opent... Sommige mensen hebben (tien)duizenden berichten in één gesprek of groep staan. Dat is nogal inefficient om allemaal in te gaan laden; en vreet ook geheugen. (Al valt dat allemaal nog behoorlijk mee met de manier waarop WhatsApp in elkaar zit, maar toch... Alle beetjes helpen.)

WhatsApp's oplossing is dus snugger.

En nee hoor, die berichten kan je ook gewoon openen als je offline bent; immers staat het lokaal.

Er worden absoluut *geen* berichten op de server opgeslagen.

[Reactie gewijzigd door WhatsappHack op 7 januari 2016 01:25]

Ik zal de volgende keer als ik dat "load earlier messages" weer zie, het eens proberen door wifi/internet uit te zetten en dan te kijken of ze nog steeds binnenkomen. Ik meen me echt te herinneren van niet, maar ik weet het niet zeker. Ben benieuwd :)
Je kan dit gedrag opwekken in elk gesprek. :)
Gewoon naar boven scrollen tot je niet verder kan, en dan verschijnt daar "Laad eerdere berichten".

Ik heb het net ook ff getest, met wifi en 4G uitgeschakeld werkt die knop prima en toont gewoon netjes weer meer berichten. (En dan kan je weer verder terug scrollen, etc. etc.)

Tenzij, maar dat lijkt me heel stug, je het over de webclient hebt. Die heeft inderdaad internet nodig. Maar dat lijkt me zo voor de hand liggend dat ik aanneem dat je het echt over de telefoon had. :P
We weten allebei dat het onzin is en dat WhatsApp geen berichten opslaat in de zin van "opslaan om door WhatsApp bewaard te worden", maar in de zin "in een que zetten als het bericht niet meteen afgeleverd kan worden".

Dat is een zeer belangrijke nuance, en iets anders dan wat je impliceert door zonder nuance te reageren.
WhatsApp slaat ENCRYPTED berichten op de server op. Belangrijk detail. Verder lijk je weinig kennis te hebben van hoe encryptie werkt dus dan is het ook lastig om daar relevant commentaar op te gaan geven.
Zeker een belangrijk detail, maar daarbij is het natuurlijk ook een essentieel verschil of dat encrypted is met mijn public key (waarvan zij de bijbehorende private key om het bericht te decrypten, niet hebben) of dat zij het desgewenst ook zonder mij kunnen decrypten.

En verder, zonder er nu een ego wedstrijdje van te willen maken maar ik denk dat ik een zeer grondige kennis van encryptie heb. Mocht je jouw indruk baseren op dat punt van meerdere apparaten, dan denk ik dat je iets over het hoofd ziet (ik heb net ook op die andere reactie over hetzelfde punt gereageerd, misschien verklaart dat meer).
Of bedoel je iets anders? Als ik ernaast zit met het encryptiegebeuren hoor ik het graag, hou je vooral niet in met relevante details.

[Reactie gewijzigd door kumquat op 6 januari 2016 22:44]

Het is ook geen wedstrijdje :) Het encryptie protocol wat WhatsApp gebruikt staat online en is dus controleerbaar (al is de app natuurlijk closed source dus de implementatie zou af kunnen wijken). Ik heb dat protocol en de communicate van de WhatsApp apps uitgebreid onderzocht en weet dus vrij zeker dat WhatsApp niks kan decrypten. Andere encryptie experts hebben dat trouwens ook gedaan.

Dank voor de verwijzing naar je andere reactie met daarin de verduidelijking van je idee. Ik zal daar ook nog even op reageren.
Men noemt het een voordeel dat de berichten niet op een server staan. Ik vind het, zoals NovaDesu zegt, een knullige houtje-touwtje oplossing.
iMessage werkt niet als Telegram. En ik heb er bij Apple wel vertrouwen in dat de end-to-end encryptie goed werkt en dat Apple geen sleutel heeft.
Bij Whatsapp, met dit verhaal erbij, is dat natuurlijk iets dubieuzer.
En ik heb er bij Apple wel vertrouwen in dat de end-to-end encryptie goed werkt en dat Apple geen sleutel heeft.
En waar is dat vertrouwen op gebaseerd? Ik heb namelijk helemaal geen vertrouwen in Apple als het aankomt op beveiliging van privé data. De recente iPhone en iOS hacks geven mij nou niet precies het vertrouwen dat Apple hun security en privacy op orde heeft...
Gut feeling.
Ze geven aan dat privacy belangrijk is, dat ze zelf geen sleutel hebben om berichten te decrypten dus dan kun je er weinig mee lijkt me.
Google en Facebook hebben een groter belang bij persoonlijke data voor advertenties. Daar wordt ik sneller kriebelig van.
Uiteindelijk weet je het nooit. Mooie woorden. In hoever is encryptie te hacken. Daar kom je toch nooit echt achter, tot het een keer gebeurd.
Encryptie is niet echt gut feeling-werk :P de iOS Security Guide lijkt me voor jullie interessant om door te lezen:
When a user turns on iMessage on a device, the device generates two pairs of keys for use with the service: an RSA 1280-bit key for encryption and an ECDSA 256-bit key on the NIST P-256 curve for signing. The private keys for both key pairs are saved in the device’s keychain and the public keys are sent to Apple’s directory service (IDS), where they are associated with the user’s phone number or email address, along with the device’s APNs address.
En daar zijn de voorlichtingsdiensten heel blijf mee ;). Zie: nieuws: FBI: bedrijven die encryptie gebruiken moeten businessmodel heroverwegen

Aangezien Apple zich in de US bevindt, moeten ze aan de wetgeving voldoen. Daarnaast hoef ik je ook niet te zeggen dat tegenwoordig alles te kraken is voor het juiste bedrag. Er hoeft maar 1 lek aanwezig te zijn en het deze wordt voor flink wat geld verkocht.

Voor Whatsapp geldt hetzelfde, zolang ze end-to-end encryptie hanteren zullen er weinig verschil zitten tussen Apple en Whatsapp/facebook. Beide zijn geïnteresseerd in gebruikersdata dus daar is ook geen verschil tussen.

Wil je echte end-to-end encryptie gebruiken? Dan kun je beter kijken naar eigen XMPP-achtige server met encryptie. Zolang je alles in het beheer van andere bedrijven laat, is er een kans dat zij beveiligingslekken of data doorspelen naar overheden. Of dat er lekken verkocht worden door hackers.
Het probleem is niet dat Apple niet hun best doet voor veiligheid, maar dat er enorm veel mensen er een dagtaak aan besteden om die dingen te hacken. En geloof me, alles is op één of andere manier te hacken.
Los van dat, een iPhone hacken betekend nog niet dat je toegang hebt tot alle data. En de meeste hacks werken alleen als je het toestel ook fysiek hebt. Dat maakt ook nog een verschil.
Je moet wel onthouden dat al die "hacks" social engineering waren.
Wees maar blij dat je telefoon altijd aan moet staan om berichten te sturen. Mocht dat niet zo zijn, is de beveiliging een stuk minder. De berichten zijn end-to-end encrypted en kunnen enkel door de ondervangende telefoon en verstuurde telefoon ontcijfert worden.
Waarom zou een ander apparaat het lokaal niet ook kunnen decrypten, wat je telefoon nu doet?

Lijkt mij een kwestie van de key voor de end-to-end encryptie deterministisch uit je login info afleiden.
Omdat de privé sleutels op je toestel staan. Als je die rond gaat sturen is je encryptie zo lek als een mandje.
Die sleutels worden sowieso 1 keer doorgestuurd, anders kan de ontvangende kant ook niet het bericht lezen.

En als 1 van de 2 een nieuwe telefoon heeft moet weer een sleutel gecommuniceerd worden. En de sleutel zal vast nog vaker verstuurd worden.
Er worden alleen sleutels verstuurd voor het versleutelen van data. Niet het ontsleutelen.
De encryptie werkt met publieke en privé sleutels. De publieke sleutels worden naar WhatsApp verzonden en de privé sleutels blijven op het toestel.

Edit: exact wat Tomqa zegt

[Reactie gewijzigd door MiceMan op 6 januari 2016 19:27]

Voor wat ik bedoel hoeven er nooit privésleutels te worden verstuurd naar wie of waar dan ook (als dat wel zou gebeuren is het inderdaad onveilig).
Je gaat natuurlijk nooit encrypten aan de hand van super vaste waarden, beetje onhandig.
Er is sowieso ergens een vaste waarde, om te garanderen dat wat ik naar jou encrypted verstuur, door jou decrypted kan worden.

Er kunnen best een paar abstractielagen tussen zitten, zoals per gesprek of zelfs per bericht een andere unieke random key, die dan weer wordt encrypted met een afgeleide van de public key van je gesprekspartner, enzovoort. Of het verschil opslaan met een pseudorandom key, zodat je ook je wachtwoord (of eigenlijk *al* je gegevens) kunt veranderen en toch nog je berichten kunt lezen, enzovoort.

In ieder geval kan het prima, zonder 'super vaste waarde'.
Ik denk dat je me verkeerd begrijpt, maar kun je uitleggen wat je bedoelt? (waarom je denkt dat ik het mis heb?)
Dat is niet raar maar heel bewust.. Zo loopt alles nog via je telefoon en dat kan ook eigenlijk niet anders tenzij je wilt dat je data zo open en bloot gebruikt kan worden. Iets met beveiliging, dat het alsnog via je telefoon wordt verstuurd ;)
Die twee sluiten elkaar helemaal niet uit (op meerdere apparaten erbij kunnen, en toch veilig zijn). Het is gewoon knullig van Whatsapp dat ze dit zo verrot hebben opgelost.
Uiteraard zou je veilig van A naar B iets kunnen sturen, en op een ander systeem dus van C naar B ook iets kunnen sturen. Het is echter -niet- en nevernooit mogelijk om dan op C te lezen wat je toen vanuit A naar B hebt gestuurd.. TENZIJ je vervolgens keys openbaar ergens neerzet (en dus NIET bij jezelf) zodat dit op elk apparaat gebruikt kan worden om alles te lezen...

Jij noemt het knullig, terwijl iedereen die er wel verstand van heeft het wel doorheeft waarom iets zo is. Het is alsnog een bewuste keuze die ik heel goed begrijp.
Uiteraard zou je veilig van A naar B iets kunnen sturen, en op een ander systeem dus van C naar B ook iets kunnen sturen. Het is echter -niet- en nevernooit mogelijk om dan op C te lezen wat je toen vanuit A naar B hebt gestuurd..
Dat is zeker wel mogelijk. Om te zorgen dat je berichten op ieder apparaat kan ontcijferen, moet de decryptiesleutel worden afgeleid uit je login gegevens. Dat kan lokaal, zonder dat er iets wordt verstuurd of online wordt geverifieerd, en deterministisch zodat je op ieder apparaat dezelfde private key hebt, zonder dat er onderling gecommuniceerd hoeft te worden tussen je apparaten.

Voorbeeld: jouw private key is een sha512 hash van je login+password. Om die private key te (re-)genereren moet je dus lokaal ergens je login+password invoeren, daaruit wordt de private key afgeleid (eveneens lokaal), en daaruit wordt de public key afgeleid die naar de server en/of je gesprekspartners mag, waarmee zij berichten kunnen encrypten die voor jou bedoeld zijn.

Als ik nu een nieuw apparaat pak en daarop ook mijn berichten wil lezen, moet ik daar dus ook mijn login+password invullen, en dan heb ik daar ook diezelfde private key.
Om een login+password te verifiëren hoeven ook die login+password uiteraard nergens heen te worden verzonden, een (andere) hash daarvan volstaat voor de authenticatie.
Jij noemt het knullig, terwijl iedereen die er wel verstand van heeft het wel doorheeft waarom iets zo is. Het is alsnog een bewuste keuze die ik heel goed begrijp.
Begrijp je wat ik hierboven bedoel? Een reden waarom het op dit moment niet precies zo in Whatsapp kan werken is omdat je daar niet inlogt met een password, het enige logingegeven is daar in feite je telefoonnummer. En dat is dus geen veilige basis om een private key uit af te leiden. Maar als ik een chatprotocol zou ontwikkelen zou ik zeer bewust wel degelijk voor zo'n aanpak kiezen als ik hierboven uitleg.

[Reactie gewijzigd door kumquat op 6 januari 2016 22:16]

Waarom dit idee op WhatsApp niet gaat is vanwege het gebruik van het Axolotl protocol voor encryptie. Dit zogenaamde state-of-the-art protocol biedt o.a. Perfect Forward Secrecy. Hierdoor wordt kort gezegd ieder bericht met een willekeurige en onherleidbare andere sleutel versleuteld.

Het voordeel hiervan is dat gebruikers zich geen zorgen hoeven te maken over het verliezen van hun sleutel of wachtwoord i.t.t. deterministische oplossingen. Het nadeel is echter dat het tussen apparaten delen van al deze sleutels en het in de juiste volgorde aan het bijbehorende bericht koppelen onwenselijk (en onmogelijk?) is.

Zo ver ik weet werkt iMessage ook op een vergelijkbare manier en een Telegram Secret Chat is ook maar op één apparaat mogelijk. Niet bepaald knullig dus.

Forward secrecy is sinds Snowden de meeste gangbare standaard geworden. Vrijwel alle sites met https (ook Tweakers) gebruiken ook forward secrecy. Helaas dus dat bij chatten je primaire cliënt aan moet blijven om hiervan gebruik te maken.
WhatsApp werkt onder water wel met een wachtwoord dus ze hadden het zo kunnen doen. Het nadeel van jouw methode is dat de private key dus altijd opnieuw te berekenen is dus per definitie onveilig. Het wachtwoord in WhatsApp is bijvoorbeeld eenvoudig te achterhalen als je kennis van zaken hebt.
Waarom niet dezelfde constructie als bij PGP-versleutelde e-mails of bestanden?

De e-mails of bestanden staan op de mail- of cloudserver en zijn te openen (nadat het eerst is gedownload) op alle apparaten waarop ik mijn private of private-sub key heb geinstalleerd.
Omdat consumenten dan zelf de privé sleutel moeten gaan doorsturen/installeren op andere devices. En dat is voor de "gewone" consument niet te doen en bovendien risicovol omdat zij niet weten hoe voorzichtig je met dergelijke privé sleutels moet omspringen. En het is niet gebruiksvriendelijk.
Dat is niet raar maar heel bewust.. Zo loopt alles nog via je telefoon en dat kan ook eigenlijk niet anders tenzij je wilt dat je data zo open en bloot gebruikt kan worden. Iets met beveiliging, dat het alsnog via je telefoon wordt verstuurd ;)
Het is gewoonweg raar dat het enkel via je telefoon kan. Met andere chatdiensten kan het ook zonder telefoon. Beveiliging/encryptie kan ook ingebouwd worden in een desktop programma/app.
Vrijwel allen van die diensten zijn cloud-based, en slaan dus al je berichten op mét deceyptiesleutel. Dus niet eens met een optie dat enkel jij de sleutel (eg: passphrase) hebt... Dit houdt in dar ze toegang hebben tot al je berichten

En dat is dus precies de privacy waarborgende kracht van WhatsApp: die slaan je berichten niet op maar zorgen dat het enkel op je toestel staat zodat zij er nooit bij kunnen of data kunnen overhandigen. Iets waarvoor ze in Brazilië bijvoorbeeld pas nog even geblokkeerd werden.

Het is minder gebruiksvriendelijk, maar oneindig veel privacy vriendelijker en veiliger dan al die cloud based diensten.
Maar het is wat je persoonlijke voorkeur heeft natuurlijk. Liever gebruiksgemak? Ja dan moet je die cloud dienst gebruiken. Liever privacy? Vermijd het dan.

[Reactie gewijzigd door WhatsappHack op 6 januari 2016 20:31]

Volgens mij gebruikt Facebook al verschillende info van Whatsapp voor Facebook zelf. Toen ik dit jaar aan een nieuwe opleiding startte kreeg ik suggesties voor vriendschappen met mensen waar ik in een nieuwe whatsappgroep zat (we hadden meteen een groepschat opgericht met de klas). Er was geen enkele andere mogelijkheid hoe Facebook aan die info kon komen, ik heb namelijk ook niet verteld aan Facebook welke opleiding ik doe.
Facebook heeft toegang tot jouw adresboek op de telefoon als je de Facebook app hebt. Hier trekt hij dan ook direct alle contacten uit (dus ook mensen die alleen contact van je zijn op Whatsapp en daarom in je adresboek staan).

Probeer Facebook Chat is, dat kan eigenlijk alles met je telefoon, behalve andere apps installeren (reden dat ik het niet gebruik ook). Overigens hebben veel te veel apps veel te veel rechten, iets wat met Android 6.0 hopelijk wat meer te wijzigen is.
In Windows 10 Mobile kun je per app aanwijzen welke info zij mogen zien. Mijn contactenlijst staat afgeschermd van Facebook. Er zullen misschien wel meer wegen naar mijn contactenlijst zijn, maar op dit moment denk ik dat Facebook reeds al Whatsapp data ontvangt. (en waarom ook niet, het bedrijf is in hun handen)
Die optie hebben iOS and Android (vanaf 6.0) ook. Alleen weten heel veel gebruikers dit niet.
En hebben heel veel gebruikers nog geen Android 6..
En zal het grootste deel dit ook niet op hun huidige toestel krijgen
Die optie zit er al in voor versie 6, via AppOps.
Dat zit bijvoorbeeld, tegen de zin van Google, nog altijd in HTC toestellen ingebakken. Het is alleen erg jammer dat de grootste Android speler, Samsung, wel gedaan heeft wat Google vroeg en de functie geblokkeerd heeft waardoor je root nodig hebt.

Op Sony toestellen werkt het geloof ik ook nog steeds. LG niet kunnen testen.
Klopt inderdaad dat dit kan in W10. Dat jij echter nog steeds die suggesties kreeg, komt omdat andere wel hun informatie gedeeld hebben.

FB doet vaak suggesties op basis van de ander. Bezoekt iemand jouw profiel geregeld, of liken ze foto's of berichten waar jij instaat (via vrienden) enz dan koppelt FB je al aan elkaar als potentiele vriend.

Daarom is het ook een illusie dat mensen die niet op FB anoniem zijn, want ze hebben ook hele profielen van mensen die nooit op FB zijn geweest, simpelweg omdat ze misschien wel 100 mensen aan een email adres hebben gekoppeld, en al die mensen hebben weer gemeenschappelijke vrienden, interesses enz. Dus wanneer jij toch een keer registreer dan kunnen ze heel veel gerichte suggesties doen.
RIP Watchapp binnen 2 jaar tijd is het bloathware, net als al die facebook apps.
Maar goed misschien ook, dat er keer een open source p2p messenger kom't.
Bloatware zal wel meevallen. Het is bijvoorbeeld nog geen mega filesharing dienst ofzo. ;)
Maar goed misschien ook, dat er keer een open source p2p messenger kom't.
Die is er al. Het heet Signal, van Open Whisper Systems.
https://whispersystems.org
Het gebruikt exact dezelfde ijzersterke encryptie als WhatsApp, alleen heeft Signal alles open-source gemaakt.

In tegenstelling tot sommige diensten die net doen alsof ze open-source zijn, maar dat niet daadwerkelijk zijn, is Signal wél volledig open-source: inclusief de server broncode dus!

[Reactie gewijzigd door WhatsappHack op 6 januari 2016 21:32]

Dat Signal is nog wel een brakke bedoening. Verificatie-code krijgen gaat gepaard met veel retries/errors, evenals het het verifiëren als je eenmaal een nummer hebt.

Na 20X(!) geprobeerd te hebben mijn 06- te verifiëren of mijn verificatie-code te gebruiken nog steeds een "We cannot reach the Signal server" of een een "Server error = 0". }:O

Edit: Niet proberen wanneer ook WiFi gebruikt wordt. Zonder WiFi gaat het van een leien dakje.

[Reactie gewijzigd door i2Paq op 7 januari 2016 15:55]

Het is optioneel, maar de nieuwe voorwaarden hebben wel met bellen met Whatsapp te maken. De kans is dus aanwezig dat je akkoord moet gaan als je wil bellen met Whatsapp.

De bekende truc: het is optioneel, maar wel verplicht als je bepaalde functionaliteit wil blijven gebruiken.
Precies, als je alle updates wil, bugfixes, functionaliteit etc dan moet je op een gegeven moment akkoord gaan met de nieuwe voorwaarden. Dat geldt voor Google Play, app-permissies en dus ook app-functionaliteit. Vervelend, maar weinig aan te doen bij oudere versies van bijvoorbeeld Android...
Volgens mij is dit wel een ander soort permissie dan de Android app-permissies. Dit lijkt in Whatsapp zelf te zitten en niet bij het installeren/updaten.
En langzaam maar zeker wordt het gewoon verplicht.
Tijd om massaal over te stappen op Signal! :9
https://whispersystems.org/

[Reactie gewijzigd door RatedR op 6 januari 2016 16:18]

Als die overstap net zo succesvol is als de overstap naar Telegram dan heb je pech. Ik zie al geen web, watch, os x en windows client. Ik ga al niet over! ;)
Schijnbaar is het gebruiken van een inferieur massaproduct als Whatsapp populair.
Helaas wel ja. En dat komt doordat een leeuwendeel van de mensen helemaal geen ziet geeft om privacy. "Van mij mogen ze alles weten, (ik heb niets te verbergen)" is helaas nog steeds een veel gehoorde leus.
Je wordt gevangen gehouden door je eigen contactenlijst.

Interessant artikel over waarom je wel iets te verbergen moet hebben: http://www.wired.com/2013...think-about-surveillance/
Yep. Jammer eigenlijk, ondanks alle initiatieven om uit te leggen hoe het echt zit.
Elders op de pagina hier nog een interessante discussie: moet je het beide uit hebben staan? Of kunnen jouw gegevens (als opt-out) via iemand (opt-in) alsnog gematched worden?!
Telegram zit gewoon prima in elkaar hoor en iMessage is ook gewoon multi client met encryptie waar de NSA al jaren om huilt.
Geen desktop versie, geen webversie, no thanks. Beperkt zijn tot je mobiel of tablet voor je alledaagse communicatie is wat mij betreft geen optie. Snap ook niet hoe mensen daar normaal mee kunnen werken, altijd alles typen op een mobieltje.
De desktop versie is er wel, maar momenteel nog in beta: https://whispersystems.org/blog/signal-desktop/
Geen Windows Phone, dus, nee, sorry.
Misschien is Threema dan een optie voor je, werkt prima :-)
https://threema.ch/en/
Ik gebruik dit de laatste tijd soms. Op spraakberichten na prima app.
De strategie van deze bedrijven kennende lijkt mij dan eerder dat deze deel-gegevens-optie opt-out is dan een opt-in optie. Of bijvoorbeeld dat het aanvinken van de optie nodig is om een functie als het (nog niet gelanceerde) videobellen "mogelijk te maken".

Facebook heeft er natuurlijk, in het kader van het personaliseren van hun advertenties, baat bij dat men de optie aanvinkt, dus zullen ze vast wel zoiets bedenken om ervoor te zorgen dat de meeste mensen hun gegevens delen. Een ver weg in de instellingen verstopte opt-in optie om gegevens te delen is dan natuurlijk niet iets wat veel mensen anders zouden doen.
Opt-out is niet toegestaan, daar heeft de FTC een aantal stokjes voor gestoken.
http://techcrunch.com/2014/04/10/whatsapp-privacy/

Er niet aan houden betekend kans op een miljarden boete, dus dat zit wel snor.
Het MOET dus opt-in zijn, en mag niet zonder expliciete toestemming van de gebruiker ingeschakeld worden.

Het ligt er wel een beetje aan wat er precies gedeeld wordt natuurlijk, dat is nu onbekend.
Als het gaat om geagregeerde statistieken, dan mag het wel opt-out; immers is je privacy dan niet in het geding.

[Reactie gewijzigd door WhatsappHack op 6 januari 2016 20:13]

Ik vraag me af voor data Facebook zou willen hebben vanuit WhatsApp.. Moet ik hierbij denken aan vrienden(contacten) en gebruikersgegevens of zou het zover gaan tot gespreksdata/gesprekonderwerpen?
Meta-data, meta-data, meta-data. Jouw Social Graph is het belangrijkst. Wie met wie kletst, hoe vaak, hoe lang en op welke momenten. De inhoud van de berichten is al stuk minder interessant. Niet oninteressant, maar wel minder.

Althans, dat denk ik.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Microsoft Xbox One S FIFA 17 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True