Facebook Messenger krijgt end-to-end-encryptie voor video- en audiogesprekken

Facebook is begonnen met het uitrollen van end-to-end-encryptie voor audio- en videogesprekken in zijn Messenger-app. De chatdienst bood al dergelijke encryptie voor een-op-een tekstgesprekken.

Gebruikers van Messenger kunnen er vanaf nu voor kiezen om end-to-end-encryptie in te schakelen voor audio- en videogesprekken, meldt Facebook in een blogpost. Daarmee kunnen gebruikers hun 'persoonlijke gesprekken beschermen tegen hackers en criminelen'. Gebruikers kunnen versleutelde berichten nog steeds rapporteren.

Het bedrijf meldt in zijn blogpost niet concreet wat voor encryptieprotocollen het gebruikt voor versleutelde video- en audiogesprekken. Messenger beschikt overigens al sinds 2016 over end-to-end-encryptie voor tekstgesprekken. Daarvoor maakt het bedrijf gebruik van het Signal Protocol van Open Whisper Systems, dat ook geschikt is voor audio- en videochats.

Verder krijgt Facebook Messenger nieuwe opties voor automatisch verdwijnende berichten. Gebruikers krijgen na de update meer opties om de hoeveelheid tijd te kiezen voordat nieuwe berichten verwijderen, van 5 seconden tot 24 uur. In de komende weken zou het bedrijf verder 'extra features' toevoegen aan versleutelde video- en audiochats. Ook zou het bedrijf in de komende weken eind-tot-eind-encryptie voor groepschats testen, inclusief audio- of videogroepsgesprekken.

Facebook Messenger eind-tot-eind-encryptie video en audio
Afbeelding via Facebook

Door Daan van Monsjou

Nieuwsredacteur

14-08-2021 • 12:33

49

Reacties (49)

49
47
26
0
0
11
Wijzig sortering
Het is mij niet helemaal duidelijk uit de tekst, maar staat dit standaard aan voor alle conversaties? Optionele beveiliging leid doorgaans tot geen beveiliging.

Ook daarom Signal: Die doet geen concessies op het gebied van beveiliging.
Nope. FB Messenger is een cloudmessenger met optionele encryptie. By default bewaart het al je gesprekken inclusief alle bijlagen op de servers van Facebook. FB Messenger staat in het rijtje van minder veilige diensten zoals Telegram, Google Chat, etc. die eenzelfde minder privacy vriendelijk/minder veilig standaardmodel hanteren. Schakel je encryptie in, dan is het gesprek enkel beschikbaar op het toestel waarmee je de chat start en vervallen alle cloudfuncties.
FB Messenger staat in het rijtje van minder veilige diensten zoals Telegram, Google Chat, etc.
Waarom vind jij Telegram in dat rijtje passen?
Ja, maar is dat nou alles? Ik snap dat het niet bij default is daar valt wat over te zeggen inderdaad. Maar verder een prima messaging app imo. Gebruiksvriendelijk, en als je het juistje knopje weet te vinden ook veilig (lees E2E)
Alleen als je het zelf aanzet bij een één op één gesprek heb je E2E encryptie bij telegram. Dat moet je dan wel expliciet bij elk gesprek met één persoon aanzetten. Bij default en bij groepsberichten heb je geen E2E encryptie bij telegram, daarom past het in het rijtje van minder veilige chatapps. Functioneel gezien biedt het veel meer dan de meeste chatapps, en dat is voor velen heel aanlokkelijk, maar je privacy is niet heel goed beschermt vergeleken met bijvoorbeeld Signal of Threema.
minder veilige diensten
Geweldig gevoel voor understatement ;-)
Zo te lezen niet: "Gebruikers van Messenger kunnen er vanaf nu voor kiezen om end-to-end-encryptie in te schakelen" (uit het artikel) en
"Today, we’re rolling out the option to make voice and video calls end-to-end encrypted on Messenger" (uit de bron, dikgedrukt toegevoegd)
Hoe is end to end encryptie veilig te krijgen met een partij zoals whatsapp of Facebook die ertussen zit? De verbinding kan wel beveiligd zijn, maar er is geen garantie dat er geen man in the middle tussen zit.
Het is prima veilig te krijgen, is mij ook gelukt. Gewoon stoppen met het gebruik.
Ik vraag me sowieso af wie in godsnaam Facebook Messenger gebruikt, ken niemand.
Praktisch iedereen die ook Facebook gebruikt.
Ik ken eigenlijk nog weinig mensen onder de veertig die nog actief zijn op Facebook. Maar ook degenen die wel actief zijn hoor of zie ik nooit bezig met die Messenger-app.
Met het protocol is er zeker wel een hoge mate van zekerheid dat het werkelijk end to end encrypted is en er geen MitM plaatsvindt. MitM zou ook onzinnig zijn, als ze willen zouden juist de endpoints de plek zijn waar je mee wil lezen; dat scheelt je moeite en scheelt een backdoor in de encryptie…
Maar dat is wel veel, veel makkelijker te ontdekken.
Niet voor de gebruiker (tenzij die weet hoe je dat kunt ontdekken).
Facebook is niet geïnteresseerd in de inhoud van het bericht. Ze krijgen via metadata alle informatie die ze willen (wie contact wie? En wanneer?). Daarnaast wordt je gehele adresboek regelmatig geüpload naar Facebook.

E2E zegt niet zoveel. Het is vooral marketing. Verder zie ik geen grote nieuwsberichten dat de autoriteiten problemen hebben met Facebook dus wie weet is het E2E stuk inderdaad ook wel onzin.
“Verder zie ik geen grote nieuwsberichten dat de autoriteiten problemen hebben met Facebook dus wie weet is het E2E stuk inderdaad ook wel onzin.”

Bijna niemand zet die encryptie aan. ;) Het staat standaard uit, als je wil moet je t handmatig aanzetten, per gesprek en alle cloudfuncties van dat gesprek vervallen dan. Ik denk dat de meeste mensen niet eens weten dat het kan/waar de functie zit…

[Reactie gewijzigd door WhatsappHack op 22 juli 2024 17:06]

Het zou inderdaad wel beter kunnen. Maar tenzij jij of de (web)winkel specifiek laat weten dat je er 1 gekocht heb kan Facebook niet weten dat je het gekocht hebt. Natuurlijk zou het wel iets korter kunnen of toch iets gevarieerder maar dan valt het misschien niet meer onder "doelgerichte" advertenties en verdienen hun weer wat minder. Ook kan het een kwestie zijn van dat ze op het moment geen andere "doelgerichte" reclame hebben staan voor je. Misschien omdat er geen adverteerders zijn in dit land voor wat je zoekt of dat je al lang niet iets gezocht heb waar ze reclame voor kunnen geven.
Er verschijnt ook geen duidelijke ik-heb-al-een-nieuwe-bank-knop waarmee je dat aan kunt geven.

Dat past ook niet in het straatje van Facebook etc, want die verdienen miljarden op basis van vaak alleen al het vertonen van reclames. Het boeit FB niets of je echt een bank koopt. Zolang zij maar kunnen zeggen dat de bank-advertentie getoond is aan iemand 'met interesse in banken'. Als er mensen doorklikken, reageren etc is dat natuurlijk nog mooier maar als 99% alleen een 'vertoning' heeft gezien is dat ook prima.
De gemiddelde Facebook gebruiker heeft geen idee wat End to end betekent. Vaak weten ze niet eens hoe ze bij instellingen moeten komen.
Dat is denk ik een heel valide punt om te maken. Als je dit soort features optioneel aanzet, zullen de meeste mensen er nooit achter komen dat zoiets kan en wat de voordelen ervan zijn. Het feit dat het een optie is en niet iets dat handmatig uit moet, maakt de hele feature een stuk minder nuttig.
De technische kennis van de gemiddelde tweakers gebruiker is tegenwoordig niet veel beter nu tweakers een mass market nieuwskanaal is geworden.
Ik weet niet wat jij ziet als gemiddelde maar de gemiddelde mens in mijn omgeving weet net hoe de computer aan gaat, hoe ze op internet kunnen komen. De ik denk dat de helft niet weet wat encryptie is of dat het "iets met veiligheid" te maken heeft. Nu denk ik dat mijn omgeving dan redelijk onder het gemiddelde ligt maar om even een paar voorbeelden te geven:
-of ik even een usb muis/toetsenbord wil installeren.
-of ik even een printer wil installeren.
-hoe ze hun favoriete websites op hun desktop of favorieten(balk) krijgen.
-of ze hun telefoon/computer updaten.
-dat ze niet weten hoe de computer aangesloten moet worden (na verplaatsen).
-ik had een uitleg gemaakt in kindertaal met screenshots die precies lieten zien waar ze moesten klikken (vierkantjes om de knoppen, pijlen, nummers) en toch durfde sommige medewerkers dit niet te doen omdat het onbekende gebied was.
-mensen die niet snappen waarom ze buiten huis geen internet hebben terwijl ze wel thuis een modem met wifi hebben staan.
-of ik hun mail wil installeren op hun telefoon. Dan vraag de de wachtwoord en krijg ik antwoord als: Er zit geen wachtwoord op, ik open outlook (of andere programma) en dan werkt het al.

En zou kan ik nog wel een aantal voorbeelden geven maar ik denk dat het wel duidelijk is. Nogmaals ik verwacht echt wel dat mijn omgeving onder het gemiddelde ligt. En dit was ook niet bedoelt om mensen te beledigen. Ze hebben gewoon andere kwaliteiten die voor mij weer moeilijk zijn.
Dit komt mij zo bekend voor allemaal. Mijn moeder al 100 keer uitgelegd hoe ze foto's moet knippen en plakken in een andere map. Om dan een tijdje later 20 keer dezelfde foto en map tegen te komen. Mijn moeder is allesbehalve dom alleen op it vlak lukt het zo niet.
Zou Facebook zelf ook 1 van de ends zijn }> ? Ofwel elk bericht tweemaal versleutelen: eenmaal met public key ontvanger en eenmaal met die van Facebook zelf?

[Reactie gewijzigd door mrwiggs op 22 juli 2024 17:06]

De Facebook app (op mobile of app) is één van de endpoints dus Facebook zelf heeft nog steeds toegang. Alleen het verkeer onderweg is versleuteld.

Overigens vermoed ik dat de waarde bij Facebook Messenger en Whatsapp niet zit in de inhoud van de (meestal onbenullige berichten) maar in de metadata. Wie praat waar en wanneer met wie? Daar doet E2E encryptie niets tegen.
dus Facebook zelf heeft nog steeds toegang. zou eventueel toegang kunnen hebben
Als ze de functie voor het onderscheppen van (onversleutelde) berichten niet in de app ingebouwd hebben, hebben ze geen toegang. Helaas is dit moeilijk, zo niet onmogelijk, te verifiëren.

Hetzelfde kan je zeggen over bijvoorbeeld Signal. Dat kan nog zo veilig geschreven zijn, maar draait wel (o.a.) op iOS. Apple zou zo je scherm kunnen uitlezen en een keylogger kunnen plaatsen in het OS, dus Apple zelf heeft nog steeds toegang. zou eventueel toegang kunnen hebben.

Heel moeilijk om te controleren wat nu echt veilig is.
[...]
Als ze de functie voor het onderscheppen van (onversleutelde) berichten niet in de app ingebouwd hebben, hebben ze geen toegang. Helaas is dit moeilijk, zo niet onmogelijk, te verifiëren.
Ach, je kunt altijd nog in arabische teksten heen en weer communiceren dat je ergens een bom-aanslag op een groot treinstation gaat plegen, dan kom je er snel genoeg achter hoe goed die versleuteling is...
app-end to app-end, of app-facebook-end to app-facebook-end?

Het blijft imho een psuedo veiligheid in het hele E2E verhaal, leuk dat de hele pijp tussen de 2 apps dicht zit, maar niets houd code in een app zelf tegen om de hele feed voordat het de E2E pijp in gaat fijn door te sturen naar andere servers.
End to end is geen end to end als Facebook de inhoud kan lezen natuurijk. Het zou ook geen enkele zin hebben om de data dubbel te versturen, en zoiets zou binnen de kortste keren door iemand ontdekt worden.

Aangezien de broncode gesloten is en alternatieve clients worden geweerd (zoals geldt voor WhatsApp, en tot voor kort gold dat ook voor Signal terwijl ze hun cryptoscam aan het bouwen waren, al worden alternatieve clients nog steeds niet geaccepteerd) kun je inderdaad weinig zeggen over hoeveel data er nou daadwerkelijk wel of niet lekt. Gelukkig zijn er mensen die aan de chatprotocollen van derden hacken om hun eigen systemen te laten praten met die van Facebook, dus enig probleem met de implementatie zal hopelijk snel duidelijk worden. Daarnaast zijn er nog de bug bounties voor dit soort dingen die het heel lucratief kunnen maken om in de code van FB te gaan wroeten.

Ondanks de nadelen van Facebook is dit natuurlijk een verbetering boven het bestaande systeem. Het is niet in het voordeel van Facebook om hierover te liegen, dus alhoewel ik sceptisch ben van de daadwerkelijke impact hiervan op je privacy tegenover Facebook (ik gok op tekst naar spraak op je telefoon, dat dan lokaal als interesse wordt verzameld ofzo) is je privacy tegenover overheden en hackers hiermee natuurlijk alsnog een stuk beter beschermd.

Ik geloof dat niemand die Facebook gebruikt voor chat daadwerkelijk nog dingen wil verbergen voor Facebook. Voor Facebookgebruikers is dit leuk, de rest van de wereld zal zich net zo afzijdig houden als ze hiervoor al deden.
"Gebruikers kunnen versleutelde berichten nog steeds rapporteren."
Wat is dan het doel van rapporteren als het versleuteld is en Facebook het niet kan controleren wat er verstuurd was?
Of mis ik iets? fake encryption?
Als je rapporteert stuurt je client het bericht door naar Facebook en FB heeft de metadata al… Nogal simpel en geen backdoor voor vereist; je initieert dat namelijk helemaal zelf.

Het had bij wijze van spreken ook gekund door een screenshot te maken en op te sturen, dan is er ook geen sprake van een gat in de encryptie maar hebben ze toch de content… Je dupliceert de content immers zelf en stuurt dat door.
Is dat dan niet gevoelig voor misbruik dat niet te controleren valt? Ik zit niet in die hoek, dus misschien klinkt het voor sommigen erg dom, maar is iets wat aan de clientside opgesteld wordt niet mogelijk te manipuleren? Bv dat iemand het bericht voor verzenden weet aan te passen? Dat zou in ieder geval wel kloppen met de vergelijking rond het screenshot: die zijn ook niet betrouwbaar.
In principe kan bij het verzenden van het bericht eerst een hash uitgerekend worden voordat de E2E encryptie wordt toegepast. Deze hash wordt naar FB verstuurd en daar opgeslagen. Als iemand dan een bericht rapporteert, dan wordt van het gerapporteerde bericht ook de hash waarde berekend en deze zal enkel overeenkomen met die van het oorspronkelijke bericht als er niet mee gesjoemeld is.

Dit is zomaar een simpele oplossing die manipulatie voorkomt zonder dat de encryptie afgezwakt moet worden. Er zullen allicht andere oplossingen zijn die hetzelfde bereiken.
Dit is mooie marketing, maar imo nutteloos. Het risico van privacy inbreak om je communicatie is niet vanuit de gewone mens, maar vanuit big tech/overheden die sowieso wettelijk verplicht een backdoor ingang hebben.
“maar vanuit big tech/overheden die sowieso wettelijk verplicht een backdoor ingang hebben.”

Oh ja? Welke wettelijke verplichting is dat dan precies?
The European Commission has already announced a follow-up regulation to make chat control mandatory for all email and messaging providers. Previously secure end-to-end encrypted messenger services such as Whatsapp or Signal would be forced to install a backdoor. https://www.patrick-breye...f-private-communications/
Tussen willen en door de wet bekrachtigd is nog een wereld van verschil...
Dat is geen backdoor maar gewoon een duidelijk gespecificeerde interface die voor lawful interception wordt gebruikt. Het blijft natuurlijk gek dat telecomprovidera wettelijk verplicht zijn om data aan te leveren als een rechter dat heeft goedgekeurd, maar dat er voor OTT verkeer nog niets wettelijks is geregeld. Geen crimineel gebruikt de telecomprovider diensten meer als die weet dat OTT niet getapt kan worden.
End-to-goverment bedoelen ze :+

Automatisch verdwijnende berichten. Verdwijnen voor wie?

Als ik aankondig ergens illegaal aardappelen te gaan rooien, is t voor de boer wel handig dat de aankondiging terug te vinden is. Verschil tussen aardappelmoord en aardappeldoodslag is groot.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 17:06]

Facebook :o

Zag het gister voor het eerst sinds 2018 weer eens (bij m'n moeder op de laptop), dat is wel veranderd zeg, maar niet echt positief, zijn het alleen nog maar ouders en ooms en tante's?

[Reactie gewijzigd door JDx op 22 juli 2024 17:06]

Als je slim bent gebruik je open source alternatieven en dan zoveel mogelijk in een veilige browser en zeker niet in app vorm. Gisteren nog een les security gehad op YouTube. Echt een hot topic de laatste tijd. Gaat men nu eindelijk veranderen hoe mensen hun devices gebruiken. Zou mooi zijn als dit zo was. Dag Google, dag Zuckerburg en nog meer van die pottenkijkers. Ze willen Facebook en consoorten veilig doen lijken met dit soort nieuwtjes. Eigenlijk hebben zij de grootste backdoor ontwikkeld om data te graaien. Je krijgt dit nimmer of te nimmer veilig. :P
In browser vorm? Daar zie ik nou niet bepaald toegevoegde waarde in. Eerder het tegenovergestelde. Als we t over opensource apps hebben die tegenover de browser staan dan tenminste. Wat zou het voordeel zijn van een browser; en dan wel te allen tijde?
Een webversie heeft voordelen. Ten eerste zit het in een sandbox dus kan de applicatie zelfs als die gehackt wordt een stuk minder (plus, ik ga niet zomaar een installer van Facebook draaien...). Ten tweede snappen mensen met minder kennis het een stuk beter als je een Jitsi link stuurt dan wanneer je ze vertelt om een account te maken op een service waar ze nog nooit van gehoord hebben en dan een of ander programma te installeren. Ten derde is het een van de weinige manieren waarmee tegenwoordig software voor Linux wordt uitgebracht. Native applicaties (dus ook geen Electron) zijn al snel Windows only (met misschien een macvariant op de planning) dus zo hebben de Linuxmensen (there are dozens of us!) er ook nog wat aan.

Puur uitgaan van browserloze clients beperkt de platformen die je kunt ondersteunen, verhoogt de barrier to entry en is minder gebruiksvriendelijk. Eigenlijk kom je tegenwoordig niet zover meer zonder op zijn minst een (beperkte) webapplicatie te ontwikkelen.

Dat gezegd hebbende, als ik een dienst een langere tijd wil gebruiken, zal een native applicatie bij mij altijd de voorkeur genieten. Het is natuurlijk fijn dat Teams op Linux werkt en ik geen Windows hoef te booten om het te gebruiken, maar het blijft logge Electrontroep die nog features mist ook.

Op dit item kan niet meer gereageerd worden.