'Facebook-app uploadt systeembibliotheekbestanden zonder toestemming'

Interresant. Daar ben ik het niet mee eens. Een belangrijk aspect is namelijk ook het bedrijf wat zo'n dienst runt.

Telegram (verzamelnaam voor meerdere bedrijven) is wmb nog shadier dan Facebook, met alle respect. Een enorm leipe verzameling aan allemaal shady shell-bedrijfjes uit bekende witwaslanden/belastingparadijzen (zoals Panama, Britse Maagdeneilanden, Belize, etc.) die "holdings" in de VS (!? Yep!) en het VK "beheren". Met andere woorden: het is onmogelijk om de geld- en datastroom van Telegram na te gaan omdat Pavel daar niets over kwijt wil en absoluut niet wilt dat mensen kunnen zien wat er in omgaat en waar het vandaan komt. Dit trucje zorgt er tevens voor dat Pavel en co. kunnen flikken wat ze willen met userdata en dergelijken, al is het naar eigen zeggen enkel zo gedaan omdat er dan geen "een land de servers kan claimen". Convenient, hebben meer transparante diensten ook geen last van maar alé; als Durov het zegt... Pavel zelf is steenrijk geworden met het verkopen van userdata. En werkelijk de data, niet ads. Dat is lastig voor te stellen, maar dat is dus tenminste gelijk aan maar eigenlijk nog erger dan Zuckerberg.

Begrijp me niet verkeerd he, ik zeg niet dat Facebook een mooi voorbeeld is en ja die doen ook heel veel dat nogal onethisch is en op het randje van de wet; vaak er overheen zelfs. Maar Telegram lijkt geen haar beter te zijn, helaas kan je daar echter heel weinig goed van controleren omdat het zo'n mega-shady constructie heeft. Facebook kán tenminste nog gecontroleerd worden en wordt dat ook, Telegram is weggewerkt in zoveel van die shell-toko's dat er geen hol van te maken is tot iemand z'n handen op gelekte info weet te leggen. En gezien Durov's geschiedenis en vele leugens en misleidende teksten m.b.t. z'n tijd bij VKontakte, verleden, contacten en de veiligheid van Telegram heb ik toch echt oneindig meer vertrouwen in WhatsApp (ondanks dat het van Facebook is), dat tenminste nog gecontroleerd woord door tig overheden, dan in Durov's Telegram.

Needless to say, uiteraard is Signal een nog veel betere keuze; dan heb je sowieso het gezeik niet. Geen Facebook en ook geen Durov broertjes als eigenaar. En überhaupt geen metadata verzameling.

WhatsApp, desondanks hun 'end-to-end' encryptie blijkt in werkelijkheid ook een stuk minder veilig dan dat ze doen vermoeden.

Let op dat je dit baseert op dingen die zouden kunnen gebeuren als WhatsApp een adversary wordt en de code aanpast. Je stelt nu dat het "minder veilig is dan ze zeggen" puur op "als WhatsApp Y gaat doen, dan X." - niet op huidige praktijkvoorbeelden en modus operandi.

De WhatsApp server kan geforceerd nieuwe keys laten genereren op user devices om effectief een MITM uit te voeren.

Naar mijn weten zal in het huidige ontwerp enkel de client overgaan tot het heronderhandelen van keys en kan de server zelf dat niet zomaar verzoeken. Maar uiteraard, in theorie zou de server het kunnen doen - ja. Maar inderdaad: daar dient precies die keypair validatie voor. Die beschermt niet enkel tegen een "rogue" WhatsApp, maar tegen elke adversary. Behalve als WhatsApp het zou riggen, maar dan komen we in wel heel theoretisch vaarwater terecht en daar is momenteel geen enkel aanwijzing voor.

Keys gebruikt in groepen zouden gedeeld kunnen worden met een derde partij die mee kan lezen, zoals een ghost account van de overheid of een politie instantie, en dit is niet na te gaan

Is dat niet een beetje vergezocht qua moeite? Je kan ook gewoon een kopietje van de gesprekken aanleveren aan de politie/overheid. Keys exporteren, weer importeren, de server én de andere clients moet die dan overigens ook weer accepteren (want je kan niet meer dan één instance met dezelfde keypair hebben noch met hetzelfde nummer en op een ander device krijg je ook gelazer, etc.): enorm veel moeite. Gewoon een kopietje mailen en het is ook klaar, waarom zou je die moeite nemen? En ja, dat is altijd een risico. Dat is zelfs een risico dat je hebt als je in real life een gesprek met iemand voert. Als de ander besluit naar de politie te stappen of het heimelijk opneemt en er iets mee doet: ja, daar doe je vrij weinig tegen.

Dat is echter geen argument voor de veiligheid van de app, maar meer in hoeverre je je vrienden/chatpartners kan vertrouwen. (Maarja, als iemand lang genoeg in elkaar wordt gerost gaan ze vanzelf wel praten, daar beschermt geen enkele encryptie tegen. Een cyaankali pilletje wel. )

Ik vertrouw het bedrijf wat er achter zit gezien hun history en privacy-focussed activiteiten.

Vanwege hun history vertrouw ik ze juist niet. (Ja als je de PR-versie van Durov gelooft, hehe.) Maar welke privacy-focussed activiteiten heb je het precies over als ik vragen mag...? Ze verzamelen ontiegelijk veel metadata (meer dan WhatsApp, wel minder dan de FB App), stallen *al* je gegevens op hun cloud (alle contacten, alle berichten, alle bijlagen (zoals foto's, video's, documenten, etc.) zonder dat je daar onderuit kan of het kan encrypten.) En by default hebben ze tot overmaat van ramp totaal geen encryptie op de gesprekken onderling, zelfs niet een op een gesprekken, maar gaat alles doodleuk plain-text accessible de cloud in. Komt nog bij dat de encryptie die ze wel bieden nogal ehhh... Laten we zeggen dat het discutabel is of die wel helemaal naar behoren werkt.

Dat levert dan dus de vraag op: wat is er precies zo privacy-focused aan Telegram?
Als je had gezegd een focus op user friendliness (en dat echt op de 1e plek zetten en privacy pas ergens onderaan) dan was ik het meteen met je eens geweest, maar privacy-focused...? o0

Een 'stapje terug' zou ik het een iedergeval niet willen noemen, je moet naar meer kijken dan puur de feiten op het gebied van technische/theoretische implementatie bij zo'n applicatie, en dan zelf een conclusie trekken.

Stapje terug is inderdaad niet hoe ik het zou willen noemen... Het is namelijk een enorme stap terug.
Okee flauw, maar ik meen het wel. WhatsApp is qua beveiliging en privacy (ondanks metadata, ondanks Facebook) duidelijk sterker dan Telegram, dat is gewoon een simpel feit. Telegram is echter weer veel sterker met gebruiksvriendelijke extra's. Het ging hier echter om de beveiliging, vandaar dat het in die context een stap terug is. En een forse ook wmb. Signal daarentegen is juist een stap vooruit: nét iets sterkere beveiliging dan WhatsApp (door implementatie) en geen metadata verzameling.

Het enige wat je zou kunnen stellen is dat je bij Telegram je er geen zorgen om moet maken omdat je al weet dat het 'onveilig' is door het gebrek aan encryptie en de verzameldrang naar de cloud. De pest is echter dat ze zich presenteren als super veilig en heel veel mensen dat ook nog steeds denken terwijl werkelijk al hun shit naar de een of andere cloud gaat dat in beheer is van een supervaag bedrijf. En zo marketen ze zichzelf ook heel actief. Dat is dus een probleem: veel mensen dénken dat het veilig is terwijl dat juist niet zo is. Zeker omdat het vergeleken met WhatsApp absoluut niet veiliger is.

En dat maakt Telegram, door de actieve marketing, een nogal gevaarlijke app imho voor mensen die juist wél op zoek zijn naar veiligheid en privacy - maar niet zoveel verstand van de materie hebben en enkel op de PR-bullshit afgaan; die mede verspreid wordt door de semi-technische figuren die ook ooit eens hebben gehoord dat Telegram de privacykoning is. En denken dat ze het snappen vanwege bullshit als een "crypto-contest" die nooit gewonnen kan worden en pure snake-oil is. Die mensen bedoelen het niet slecht overigens en denken oprecht echt dat het veilig is en dus mensen helpen, maar dat is het dus absoluut niet. Mensen krijgen een zeer misplaatst gevoel van veiligheid bij Telegram en dat is echt problematisch en gevaarlijk. Dat kan je van WhatsApp niet stellen, behalve voor metadata. De inhoud van je berichten is, in tegenstelling tot Telegram, bij WhatsApp wél veilig. Alleen de metadata wordt hard verzameld en kan richting Facebook gaan. (En bij Telegram wordt het ook verzameld en gaat het naar Durov en co.)

Het gebruik maken van Telegram an sich is dus ook niet zo'n probleem als je de risico's maar kent, maar dat zij net doen alsof ze zo super privacy vriendelijk en veilig zijn en dat aardig wat mensen dat geloven: dat is een groot probleem en maakt mensen roekeloos. Telegram is, in default modus, qua bescherming van je bericht-inhoud en je bijlagen (zoals foto's en video's) duidelijk veel slechter dan WhatsApp. Maar dat weten veel mensen niet, terwijl ze zich wel veilig achten. Dat is rampzalig.

Al een aantal keer heb ik Signal geprobeerd. Ik vind de applicatie in gebruik echter slecht, in vergelijking met bijvoorbeeld Telegram. De interface is relatief traag en naar mijn mening karig in elkaar gezet. Ik vind het een mooie dienst voor het voeren van conversaties waar je betere privacy zekerheid wilt hebben, maar niet voor dagelijks gebruik.

Oh zeker. Op de client is 't een en ander aan te merken al hebben ze het afgelopen jaar echt enorme sprongen gemaakt. Het werkt prima voor z'n doel trouwens. Als je van WhatsApp naar Signal gaat merk je vrij weinig verschil; het is misschien iets kaler. Maar alles functioneert. Als je van Telegram naar Signal gaat, dan snap ik je probleem ja. Telegram is veel uitgebreider.

Telegram heeft zeker een mooie client, dat ontken ik absoluut niet. Heel gebruiksvriendelijk, inderdaad. Maar inderdaad level je wel alle veiligheid in die WhatsApp te bieden heeft. In de discussie wie je moet hebben als je veiligheid en privacybescherming wilt en superveel toeters en bellen je niet zo boeien (ala WhatsApp dus ), dan is het rijtje heel simpel als je de 3 genoemde diensten neemt: eerst Signal, dan WhatsApp en dan pas Telegram. (Maar er zit nog veel meer tussenin.)

Ik noem het overigens 'end-to-end' tussen quotes, omdat deze term op veel verschillende manieren is op te vatten, en een hoop haken en ogen heeft. Eigenlijk pakt de mate van privacy zekerheid altijd slechter uit voor gebruikers dan dat ze in eerste instantie verwachten bij het horen van 'end-to-end'.

Hoe dat dan? Het doet precies wat het beloofd als we het over WhatsApp en Signal hebben. Je bericht-inhoud inclusief media zijn end-to-end versleuteld. Dat doen ze ook en dat maken ze ook waar. Dus dat pakt ook niet slechter uit qua privacy dan wat ze adverteren. Bij WhatsApp houdt die privacy wel op bij de metadata: die verzamelen ze wel. (Signal niet.) Maar dat heeft niets meer met de bericht-inhoud te maken.

[Reactie gewijzigd door WhatsappHack op 23 juli 2024 08:08]