WhatsApp krijgt vijf berichten te zien als gebruikers een chat rapporteren

Als WhatsApp-gebruikers een persoon of groep rapporteren, dan wordt het laatste bericht en de vier voorgaande berichten naar een team van moderators gestuurd. Dat bevestigt moederbedrijf Facebook na een publicatie van ProPublica.

ProPublica schrijft hoe ruim duizend contentmoderators berichten van WhatsApp-gebruikers in kunnen zien. De site meent dat dit niet overeenkomt met de uitspraken van de chatapp rondom end-to-endencryptie en dat 'niemand mee kan lezen' met chats. Het gaat om berichten die door gebruikers gerapporteerd worden binnen WhatsApp.

Gebruikers kunnen in de chatapp een persoon of groep rapporteren. Het is niet mogelijk om een specifiek bericht aan te wijzen. Vervolgens verschijnt de melding dat 'de meest recente berichten' worden doorgestuurd naar WhatsApp. Alleen degene die rapporteert krijgt die melding te zien, de andere partij niet. Dat dergelijke berichten ingezien kunnen worden, staat in de privacyvoorwaarden van WhatsApp.

Tot nu toe was niet bekend hoeveel berichten er precies doorgestuurd worden bij zo'n melding. ProPublica beschrijft hoe moderatoren van Facebook in dergelijke situaties de vijf meest recente berichten in een chat te zien krijgen, inclusief eventuele foto's of video's. Die gerapporteerde berichten verschijnen in een queue om beoordeeld te worden door de medewerkers. Facebook bevestigt dat aantal.

Door Julian Huijbregts

Nieuwsredacteur

07-09-2021 • 17:03

98

Submitter: Noxious

Reacties (98)

Sorteer op:

Weergave:

De site meent dat dit niet overeenkomt met de uitspraken van de chatapp rondom end-to-endencryptie en dat 'niemand mee kan lezen' met chats
Tuurlijk wel. De berichten worden op de end-points decrypted en weergegeven. Wat die persoon er vervolgens mee doet is niet in de handen van whatsapp. Met die logica is er helemaal niets waar 'niemand mee kan lezen', want als jij het kan lezen kan iemand anders dat ook (op hetzelfde scherm/papier)... Het gaat er om dat er niemand tussen de verzender en de ontvanger mee kan lezen, en dat kan nog steeds niet.

Ik kan ook whatsapp berichten doorsturen naar anderen. Maakt dat dat er toch iemand mee kan lezen?
En ja, die anderen kunnen dus ook de content-mods van whatsapp zijn.
Ja dat vind ik ook een vaag verhaal. De user rapporteert het, krijgt blijkbaar zelfs nog een waarschuwing dat de berichten dus doorgestuurd worden naar Facebook en gaat daarmee akkoord. Dat is geen gat in de end-to-end encryptie, anders zou het maken van een screenshot en dat doorsturen naar Facebook, of wie dan ook, ook al de end-to-end encryptie teniet doen. De user is in dit geval "de zwakke schakel" voor het geheim/privé houden van de berichtinhoud, dat heeft niets te maken met de encryptie die gewoon z'n werk doet; er is immers gebruikersinteractie nodig en doelbewust doorsturen naar Facebook voordat Facebook het kan zien.
Het punt is niet dat de encryptie technisch niet werkt. Het punt is dat de encryptie omzeild wordt door Facebook om te modereren en daarmee de valse waan wordt gewekt dat de encryptie ervoor zorgt dat Facebook niet mee kan lezen in jouw chats.

Dat er een user input nodig is en dat de user die deze input geeft te zien krijgt dat hij een bericht aan Facebook doorgeeft doet niets af aan het gegeven dat de rest van de gebruikers nog steeds in de waan mogen doorleven dat hun chat encrypted is.

Van hun eigen website:
WhatsApp's end-to-end encryption is used when you chat with another person using WhatsApp Messenger. End-to-end encryption ensures only you and the person you're communicating with can read or listen to what is sent, and nobody in between, not even WhatsApp. This is because with end-to-end encryption, your messages are secured with a lock, and only the recipient and you have the special key needed to unlock and read them. All of this happens automatically: no need to turn on any special settings to secure your messages.
Dat is hun messaging naar gebruikers toe. Gebruik end-to-end encryption en WhatsApp leest nooit wat je geschreven hebt. Er zit namelijk een slot op en alleen jij en een andere gebruiker hebben de sleutel, immers. Dan kun je in de voorwaarden twintig paragrafen diep een paar zinnen over moderatie zetten, zolang je het niet in je meer transparante messaging duidelijk meldt is dat gewoon nalatigheid omwille van PR.
Het punt is dat de encryptie omzeild wordt door Facebook om te modereren en daarmee de valse waan wordt gewekt dat de encryptie ervoor zorgt dat Facebook niet mee kan lezen in jouw chats.

Dat er een user input nodig is en dat de user die deze input geeft te zien krijgt dat hij een bericht aan Facebook doorgeeft doet niets af aan het gegeven dat de rest van de gebruikers nog steeds in de waan mogen doorleven dat hun chat encrypted is.
Zo lees ik het niet. Ik lees dat de gebruiker zelf specifieke berichten doorstuurt naar Facebook en dat Facebook deze op verzoek van de gebruiker leest.
Hoe vaak ik wel niet screenshots maak van berichten... Mensen weten toch dat de berichten die ze sturen, worden gelezen door andere mensen en dat die mensen hun berichten kunnen doorsturen naar wie dan ook?

Wat stel je voor? Dat de forward-optie voor iedereen gewoon open blijft, behalve als je toevallig naar Facebook wilt forwarden? Dat als een screenshot van een chat ergens in de openbaarheid belandt, dat heel Facebook even hun ogen dicht moeten houden maar de rest van de wereld wel mag meelezen? Omdat Facebook anders hun eigen encryptie omzeilt om toch mee te lezen?
Nog afgezien van de rest van de wereld die dan blijkbaar de encryptie van Facebook omzeilt, volgens die logica.

[Reactie gewijzigd door fruitbakje op 22 juli 2024 15:16]

Volgens mij stel ik voor dat WhatsApp transparant is over hun moderatie-functie en dat op hun encryptie pagina duidelijk vermeldt bij hun uitspraak dat WhatsApp niet jouw chats kan lezen.

De rest is wat mij betreft weinig relevant. Dit gaat specifiek over hoe WhatsApp moderators berichten kunnen lezen door middel van een specifieke functie in hun app die ze daar zelf in ingebouwd hebben, en dat slechts aan een enkele user meedeelt als die functie gebruikt wordt. Wat er verder nog allemaal mogelijk is geloof ik wel, daar gaat het helemaal niet om.
Dat dergelijke berichten ingezien kunnen worden, staat in de privacyvoorwaarden van WhatsApp.
Klinkt transparant genoeg?
and nobody in between
Als jij naast iemand zit die het bericht verstuurt of ontvangt is dat wat anders.

Between (tussen) is het magische woord, logisch, praktisch en juridisch klopt dit gewoon. Naast =! Tussen
En een ander 'magisch' woord is dat FB niet kan meelezen... tenzij je natuurlijk een bepaalde functie gebruikt die dan een (tot nu toe) onbekend aantal berichten alsnog doorstuurd naar FB.
En is dat aantal berichten dan altijd 5?

(je hebt verder gelijk hoor)
Je rapporteert een chat. Klinkt nu heel lullig, maar stel je facebook zegt. Oke je kan de chat nu niet verwijderen. Zodra we bij je komen dan gaan we inhoudelijk er naar vragen.

Waar stop je dan met berichten sturen?

Ik snap in dit geval de ophef niet. Enige ophef die er kan zijn is dus dat je berichten niet helemaal veilig zijn. Maar ja een screenshot, foto (fysiek) een kopie etc etc zorgen er al voor dat je bericht decrypted op internet kan komen.
End-to-end wordt geadverteerd als een algemeen gevoel van veiligheid voor gebruikers. Iedereen buiten Tweakers.net gelooft dat niemand en al helemaal niet FB kan mee lezen. Die report optie faalt gewoon functioneel. Zal wel liggen aan ontwikkelluiheid of zo....

Jan: "Henkie heb iets fouts gezegd"
FB: "Ok mag ik van Henkie berichten apart opslaan ter moderatie?" (weet Jan al hoeveel?)
Jan: "Pff uh I don't care, zijn mijn berichten niet en Henkie moet gestraft"
FB: <slaat iets op van Henkie op; de laatste 5 van Henkie naar Jan of de laatste 5 van Henkie naar de wereld of de laatste 5 wanneer de moderator het report opent>

Mensen denken nou eenmaal dat Facebook niet mee leest. Ja dat Jan shit kan copy/pasten/screenshotten, dat houdt Henkie niet in de hand.

Betere implementatie zou zijn:

Jan: "Dit bericht van Henkie kan niet door de beugel"
FB: "We gaan het bekijken en laten Henkie weten dat we dat doen"
Jan: "Ik wil niet dat Henkie weet dat ik heb aan heb gegeven"
FB: "Dat gebeurt ook niet - Henkie hoort alleen dat IEMAND, DIT bericht heeft gerapporteerd"
Jan: "Puik!"
FB: <slaat gerapporteerd bericht op en verwittigt Henkie van moderatie>
Dit gaat specifiek over hoe WhatsApp moderators berichten kunnen lezen door middel van een specifieke functie in hun app die ze daar zelf in ingebouwd hebben
Net zoals @Alxndr zegt, tussen de zender en de ontvanger leest WhatsApp niks mee. Pas nadat het bij de ontvanger is, kan WhatsApp meelezen, maar enkel die berichten die ofwel de zender zelf ofwel de ontvanger zelf doorstuurt naar WhatsApp. Precies hetzelfde als dat een screenshot wordt doorgestuurd. Dat WhatsApp een functie heeft ingebouwd dat dat doorsturen makkelijker maakt, betekent niet dat WhatsApp meer kan lezen dan wie dan ook.
Of ik jouw berichten kan lezen of Facebook, wordt volledig door jou bepaald. Facebook heeft niet automatisch hogere machten om meeer te kunnen lezen. De enige manier dat Facebook meer kan lezen van jou berichten dan ik, is als jijzelf meer berichten naar Facebook doorstuurt dan naar mij.
Dat Facebook een functie heeft ingebouwd die het makkelijker maakt om naar hen berichten door te sturen dan naar mij (en het is maar de vraag of dat zo is), geeft Facebook geen extra macht.
Het laten lezen van berichten door Facebook of door anderen gebeurt op precies dezelfde manier: Nadat het is aangekomen bij de ontvanger, nadat één van de deelnemers van het gesprek dat wil, nadat één van de deelnemers zelf de berichten doorstuurt, en zonder dat de andere deelnemers dat weten. Dit is hetzelfde voor forwarden, screenshots, of de ingebouwde rapporteerfunctie.
en dat slechts aan een enkele user meedeelt als die functie gebruikt wordt.
Als ik een bericht forward of een screenshot maak en deel met iemand anders, dan krijgt mijn gesprekspartner dat toch ook niet te horen?
Dus nogmaals, wat jij lijkt te willen is dat mensen hun berichten niet naar Facebook mogen doorsturen, maar wel naar de rest van de wereld?

Als deelnemer weet je toch dat al je berichten op staat kunnen komen te liggen? Gewoon doordat je gesprekspartner dat besluit? Je denkt hoop ik toch niet dat iedereen behalve Facebook dat kan lezen?
"Het punt is niet dat de encryptie technisch niet werkt. Het punt is dat de encryptie omzeild wordt door Facebook om te modereren en daarmee de valse waan wordt gewekt dat de encryptie ervoor zorgt dat Facebook niet mee kan lezen in jouw chats."

Weet niet waarom je nou zo schaamteloos weggemod werd, maar je hebt weldegelijk een punt. Zo lees ik hieronder dus: "Ik lees dat de gebruiker zelf specifieke berichten doorstuurt naar Facebook en dat Facebook deze op verzoek van de gebruiker leest." Um, ja, maar dus OOK de tekst van de andere deelnemers aan de chat. Daar gaat het om: dat er dus weldegelijk (en kennelijk veel) mensen mee kunnen lezen met jouw chats, die jij niet zelf gedeeld hebt. Moderatie forceert dus, zeg, maar, het openbreken van end-to-endencryptie.
Um, ja, maar dus OOK de tekst van de andere deelnemers aan de chat.
Eh... Juist die van andere deelnemers. :P Het lijkt me dat de meeste gebruikers niet hun eigen berichten aan Facebook gaan rapporteren. :+ Het hele doel van de rapporteer functie is iets melden dat niet door de beugel kan, over het algemeen gok ik dat dit in 99.99% van de gevallen dus om berichten van een ander gaat die je niet aanstaan, in de overige gevallen een foutje of iemand heeft een schuldcomplex en vindt dat ie een ban verdient. :')
Dat is zeker waar wat je zegt. Weet ook niet of dit allemaal zo erg is. Moderatie hoort er nou eenmaal bij. Het is alleen goed om je te realizeren dat je chat inderdaad niet altijd een gesloten end-to-endencryptie is, en dat verzoeken tot moderatie dat dus open kunnen breken.

Ben het, afgezien van de theoretische stelling dat mensen mee kunnen lezen (in geval van moderatie), met de meeste mensen hier wel eens dat het hele topic een beetje spijkers op laag water zoeken is van ProPublica. Facebook bezondigt zich aan veel zwaardere privacy schendingen; moderatie hoort er nou juist gewoon bij.
Moderatie hoort erbij? Prive gesprekken behoren gemodereerd te worden..? Microfoons in onze huizen installeren en als er iets 'niet door de beugel kan' op een knopje drukken om de laatste 10 seconden van je gesprekspartner naar de politie te sturen ofzo?
Wat je goed is symantische mierenneukereij. Jij als gebruiker moet donders goed weten dat de tegenpartij je berichten naar eigen inzicht kan delen. Met WA, met de politie, me hun vrienden. Hun belofte is dat ze jouw berichten niet meelezen en dat staat gewoon nog.
Het punt is dat de encryptie omzeild wordt door Facebook om te modereren en daarmee de valse waan wordt gewekt dat de encryptie ervoor zorgt dat Facebook niet mee kan lezen in jouw chats.
Er wordt niets omzeild. De gebruiker kiest ervoor om berichten door te sturen naar Facebook. Daar kan je nooit iets tegen doen. De gebruiker zou ook een screenshot kunnen maken of zelfs een foto van het scherm en dat naar Facebook toesturen of naar welke derde partij dan ook. Zolang dit op het initiatief van de gebruiker is, wordt er helemaal niets aan encryptie omzeild.
Dat is hun messaging naar gebruikers toe. Gebruik end-to-end encryption en WhatsApp leest nooit wat je geschreven hebt. Er zit namelijk een slot op en alleen jij en een andere gebruiker hebben de sleutel, immers. Dan kun je in de voorwaarden twintig paragrafen diep een paar zinnen over moderatie zetten, zolang je het niet in je meer transparante messaging duidelijk meldt is dat gewoon nalatigheid omwille van PR.
Dat staat er alleen niet. Er staat "nobody in between" en dat is ook zo. Als je als gebruiker zelf ervoor kiest om berichten op wat voor manier dan ook aan Facebook of welke willekeurige andere partij dan ook te sturen, dan is het niet meer "in between", maar is die andere partij gewoon een nieuwe "end"... Encryptie beschermt de verbinding en inhoud van berichten, maar het beschermt je niet tegen de acties die je gesprekspartner onderneemt. En gezien die mag doen en laten met de berichten wat die wil, inclusief doorsturen aan iemand anders of een Facebook, is er geen sprake van een gat in de encryptie of een misleidend statement.
Klopt - maar dit gaat verder dan een screenshotje natuurlijk. Meerdere berichten (5) met inhoud worden verstuurd. En wie zegt dat dit altijd 5 is? Een screenshot is dan wel wat minder data. Maar goed - X keer een screenshot is altijd mogelijk.
Het punt is niet dat de encryptie technisch niet werkt. Het punt is dat de encryptie omzeild wordt door Facebook om te modereren en daarmee de valse waan wordt gewekt dat de encryptie ervoor zorgt dat Facebook niet mee kan lezen in jouw chats.
Ik zie het meer als een ouderwets gevalletje van "briefgeheim", Postbode leest niet mee. Als de ontvanger vervolgens de postbode uitnodigt voor een kop koffie en hem de geopende brief laat lezen, is het briefgeheim niet geschonden, maar heb je gewoon een eikel als vriend.
Het hele artikel is niet erg duidelijk over wat er gebeurt als iemand een melding doet bij Facebook.
Het is heel goed mogelijk dat die gebruiker de laatste berichten gewoon van zijn eigen telefoon naar FB stuurt. De e2e encryptie blijft dan gewoon zijn werk doen en wordt helemaal niet omzeild.

Voor communicatie in groepen is FB zelf niet duidelijk of er wel encryptie wordt gebruikt. In de voorwaarden en de meldingen op het scherm wordt alleen gesproken over "berichten naar een ander persoon". Persoon is enkelvoud en de berichten naar groepen kunnen dus gewoon un-encypted worden verstuurd.
Is het sowieso niet dubieus dat een commerciële partij iemand kan uitsluiten van een aardig dominant communicatie kanaal?
Mag een T-mobile dit ook zomaar doen bijvoorbeeld?
Het punt is als Facebook kan mee kijken, kan iemand anders (overheid) het ook. We weten allemaal hoe Facebook reageert als de overheid er juridisch begint op te hameren vooral in de US. Van e2e is er dus geen sprake en dit geeft de gebruikers een vals veilig gevoel.
Dat is natuurlijk onzin. De communicatie tussen gebruikers is gewoon encrypted. Wat je er vervolgens mee doet als het gedecrypt is is een ander verhaal. Zoals hierboven ook al gezegd, je kan screenshots maken, kopiëren, doorsturen.. dat is allemaal aan jezelf. Op het moment dat je iets rapporteert dan stuur je willens en wetens iets naar Facebook. Dit staat los van het e2e encryptie protocol.
Als je de data naar de overheid doorstuurt voor moderatie of wat je dan ook wilt, dan komt het inderdaad bij de overheid terecht. Dit staat allemaal los van de encryptie. Encryptie beveiligd hier allen de comunicatie verbinding. Je zal de andere kant alsnog moeten vertrouwen de berichten geheim te houden.

[Reactie gewijzigd door NocturnalFilth op 22 juli 2024 15:16]

Er wordt niets omzeild door Facebook. De enige die het omzeilt is de gebruiker die een chat rapporteert. Als jij een bericht doorstuurt kan diegene het toch ook lezen? Dat is niet anders dan wanneer jij een chat rapporteert en daarvoor een aantal berichten meegestuurd worden. Het staat in de voorwaarden, en het wordt ook duidelijk gemaakt wanneer je een chat rapporteert, er is dus niets aan de hand.
Ik snap je punt helemaal maar wat niet duidelijk is, is juist welke 5 berichten.
Als we uit gaan van de vorige 5 berichten dat de verklikker heeft ontvangen dan klopt het wat je zegt.
Het is niet mogelijk om een specifiek bericht aan te wijzen. Vervolgens verschijnt de melding dat 'de meest recente berichten' worden doorgestuurd naar WhatsApp
Als de 5 berichten juist de laatste berichten zijn ongeacht de ontvanger dan hebben we wel een situatie dat end to end encryptie verbreekt al is het alleen maar dat de ontvangers geen toestemming hebben gegeven.
Als ik een bericht van A doorstuur naar B dan heeft A daar ook geen toestemming van gegeven. End to end encryption betekent niet dat niemand de berichten kan inzien. Het betekent dat het communicatiekanaal tussen zender en ontvanger volledig encrypted is en er dus niemand af kan luisteren. Wat de ontvanger daarna met het bericht doet (zoals doorsturen naar de politie of Facebook ter inzage) staat daar los van.
Wat ik aangeeft is als partij B klaagt over partij A en Facebook leest de bericht van A naar C, D en E heb je feitelijk end to end de nek omgedraaid.
Het is tot daar aan toe als 1 partij klaagt dat er wat gedaan wordt maar als zowel de verzender als ontvanger geen klacht hebben ingediend dus partij A,C,D en E dan stelt het hele encryptie niks meer voor.
Oh zo bedoel je. Dat kan natuurlijk niet met E2E. Het lijkt me nogal logisch dat je een specifieke chat rapporteert en dat daaruit de kaatste 5 berichten worden gepakt, ongeacht wie die verstuurd heeft.
Ik zou dat ook logisch vinden maar kan nergens terug vinden dat het specifiek gaat om enkel de chat log van de verklikker.
Zolang dat niet duidelijk wordt kan men ook niet buiten sluiten dat FB een eigen achterdeur heeft ingebouwd.
Dat lijkt me toch wel, als je bijvoorbeeld kijkt bij Twitter als je iemand rapporteert. Als ik in een chat met jou een bericht rapporteer dan zal lokaal 5 berichten worden verzameld (om uit de e2ee te komen) en die los te uploaden. Berichten tussen jou en anderen zullen niet worden geüpload, dat zou wel erg ziek zijn…
Je hebt wel erg veel vertrouwen in Facebook om zo stellig te zijn. Vergeet niet dat dit hetzelfde bedrijf is dat de data van 500+ miljoen accounts heeft verkocht aan Cambridge Analytica.
Vergeet ook niet dat ze helemaal niets aan de berichten zelf hebben, en dat er voor hen dus gewoonweg geen voordeel is om andere berichten mee te sturen. Dat zou bovendien de hele mogelijkheid om een chat te rapporteren nutteloos maken, hoe willen ze dat beoordelen als er niet wat berichten uit die chat zelf meegestuurd worden?
Waarom zou een Social media bedrijf überhaupt iets doen met privé end to end communicatie?
Als je last heb van iemand dan blokkeer je die persoon. Heb je echt de FB overlords nodig om je communicatie te 'filteren'?
Ben je van mening dat er iets strafbaars gecommuniceerd wordt laat je dat aan de politie zien. Dan kun je net zoveel laten zien als dat je zelf wil en kan je erop vertrouwen dat er geen misbruik gemaakt wordt van de data.
Omdat het niet persé gaat om strafbare dingen, maar om dingen die tegen hun voorwaarden in gaan. Daar heeft politie niet zoveel mee te maken. Als je dingen tegen hun voorwaarden in doet, kunnen ze je account blokkeren lijkt me, maar dan moet dat wel gerapporteerd worden door anderen. Volgens mij moeten ze dat ook wel zo'n beetje, omdat ze zo groot zijn. Net als dat ze content op Facebook zelf ook moeten modereren.
Een openbare communicatie voor iedereen waar jij geen invloed op heb is waar de moderators voor zijn. Deze posts kun jij niet blokkeren dus ben je overgeleverd aan de eigenaar.
In jou prive communicatie heb jij zelf alle tools en bepaal jij wat er wel en niet door de beugel kan. Jij bent je eigen moderator met je eigen regels. Daar heb je FB niet voor nodig.
Mijn reactie was meer gebaseerd op theorie. Dat een bedrijf als Facebook geen geweten heeft maakt het lastig. Desalniettemin lijkt het me alsnog wel lastig om (in mijn voorbeeld) ‘berichten tussen jou en anderen’ te uploaden. Dan zou er in theorie een bericht van mij (de reporter) naar anderen (die ik niet ken) moeten gaan om te uploaden. Of… de e2ee is lek.
Ik stel me zo voor dat ze niet zomaar besluiten om er vijf berichten uit te trekken, maar dat daar wel degelijk een doel achter zit. Iedereen lijkt zich hier blind te staren over of het nu wel of niet een backdoor is (newsflash, it isn't), maar kijkt niet verder.

Het enige doel dat ik me kan voorstellen is context. Leuk dat jij een berichtje deelt omdat je denkt dat dat racistisch is, of beledigend, of wat dan ook. Maar één enkel berichtje beoordelen is natuurlijk niet te doen. Je hebt daarmee namelijk geen idee wat er vooraf heeft gezeten, wat er eerder al gezegd is, waardoor het misschien heel verklaarbaar is dat iets gezegd wordt.

Lijkt me niet meer dan logisch dat je daar ook even naar kijkt. Dat kan Facebook overduidelijk niet, want ze moeten het samen met het gerapporteerde bericht laten binnenkomen. Als ze al mee konden lezen, dan hadden ze inderdaad genoeg aan een seintje "het berichtje van gebruiker X op tijdstip Y is gerapporteerd" en kunnen ze verder zelf wel in die chat kijken wat er te zien is.
Dit betekent dus dat er twee mogelijke API calls zijn. Één met de berichten encrypted en één zonder. (Ter verduidelijking, zonder encrypted te zijn met de public key van de orginele ontvanger)

Het probleem is dat bijvoorbeeld overheidsinstellingen hier dus ook gebruik van kunnen afdwingen.

[Reactie gewijzigd door THETCR op 22 juli 2024 15:16]

Nee dat betekent het helemaal niet. De gebruiker moet zélf het doorsturen van berichten initiëren, de app doet dat niet zelf en de server kan niet verzoeken om plain-text berichten. Dit verandert helemaal niets aan het feit dat de berichten end-to-end versleuteld uitgewisseld worden. Er is dus geen extra "API-call" (remote), er is louter een mogelijkheid voor de gebruiker om berichten rechtstreeks naar Facebook door te sturen als je dat wilt.

[Reactie gewijzigd door WhatsappHack op 22 juli 2024 15:16]

Oh ja natuurlijk, het is nu gegarandeerd dat de functie alleen gecalled kan worden wanneer iemand op de knop drukt. Absoluut geen mogelijkheid dat dit dan ook kan gebeuren via andere mogelijkheden.

Het feit dat het vervolgens met de public key van Facebook encrypted zou worden is dan gegarandeerd hard coded. En er is totaal geen mogelijkheid dat de Amerikaanse overheid daar toegang tot heeft.

Dit was natuurlijk sarcastisch bedoeld. Het is gewoon het equivalent van een backdoor.

[Reactie gewijzigd door THETCR op 22 juli 2024 15:16]

Wat een onzin. Dan is elke forward button in een willekeurig mailprogramma of messenger ook een backdoor zeker…
Het hele punt is dat Facebook een toezegging heeft gedaan over hoe ze de code hebben geschreven. Nu ze kennelijk zich daar niet aangehouden hebben vertrouwen mensen hier kennelijk hun nieuwe toezegging. Vertrouwens gezind zijn siert je, maar ik geloof het niet meer.

Het is totaal niet moeilijk om te bedenken dat ze ook dit keer toch anders hebben gehandeld.


function retreiveMessages(chatId, amount) {//etc}

window.addEventListener('click', function (e) {
const messages = retreiveMessages/(e.target.Id, 5);
// etc
});

socket.on("getMessages", (targetId) => {
// etc
});


Het zal niet de eerste keer zijn dat hoge functionarissen en dissidenten worden afgeluisterd (NSA affaire) en ik geloof Facebook niet meer op hun woord.

[Reactie gewijzigd door THETCR op 22 juli 2024 15:16]

Maar wat heeft dat met de inhoud van het artikel te maken?

Voor hetzelfde geld heeft de groep content-mods een e-mail adres waar je als gebruiker je screenshots naar toe kunt sturen. Volledig buiten Whatsapp om. Dan is jouw hele verhaal nog steeds volledig van toepassing. Het kan zo zijn dat ze de mogelijkheid hebben, het kan ook zomaar van niet. Ergo, het hebben van een knop om chatberichten te versturen naar een groep anderen heeft 0 invloed op jouw betoog.

Kortom: Off topic.
Welke toezegging hebben ze dan gedaan waar ze zich niet aan gehouden hebben? Chats zijn end-to-end encrypted, dus niemand tussen de clients kan berichten meelezen.
Er staat in de voorwaarden ook wel beschreven dat de berichten in een chat in plain text in te zien zijn door Facebook (wanneer de gebruiker dus zelf iets rapporteert), alleen stond er niet om hoeveel berichten dit gaat. Het is ook niet meer dan logisch, anders heeft het rapporteren totaal geen zin.
Fair enough.

Meende me alleen te herinneren dat ze het anders hebben gecommuniceerd tegenover de EU tijdens de overname.
Oh ja natuurlijk, het is nu gegarandeerd dat de functie alleen gecalled kan worden wanneer iemand op de knop drukt. Absoluut geen mogelijkheid dat dit dan ook kan gebeuren via andere mogelijkheden.
Geen idee waar je die onzin vandaan tovert.
Het feit dat het vervolgens met de public key van Facebook encrypted zou worden is dan gegarandeerd hard coded. En er is totaal geen mogelijkheid dat de Amerikaanse overheid daar toegang tot heeft.
Dit slaat echt als een tang op een varken en springt daarnaast van de hak op de tak.
Dit was natuurlijk sarcastisch bedoeld. Het is gewoon het equivalent van een backdoor.
Sarcasme moet je niet bezigen als het onnodig is en vervolgens ook nog eens louter in onzin resulteert. Nee, het is niet het equivalent van een backdoor. Als je het zo wilt benaderen dan is elk willekeurig fototoestel, zo ook analoog, ook "een backdoor in de encryptie/app". Ik hoop dat je zelf ook inziet dat dat echt helemaal nergens op slaat.
Mijn standpunt is dat als ze in de eerste instantie al niet eerlijk zijn geweest over hun implementatie, ik betwijfel of ze dat nu wel zijn.

De stap om deze functionaliteit anders te gebruiken is veel kleiner dan het in de eerste instantie implementeren.

Berichtgeving over de hoeveelheid berichten en dergelijke komen niet van de onderzoekers, maar van Facebook zelf.

Je bent er stellig van overtuigd dat ze dit keer dus wel hier volledig eerlijk over zijn?
Facebook heeft niet zoveel aan de inhoud van berichten. De functie opzich is ook geen equivalent van een backdoor, want de functie wordt door de gebruiker inderdaad geïnitieerd. Een backdoor kan veel eenvoudiger, elk bericht is immers in plain text in te zien in de app zelf, als Facebook dat wil kunnen ze net zo goed elk bericht unencrypted naar hun servers sturen. Als je dat dus niet vertrouwt moet je ook geen telefoon gebruiken, want dan is geen enkele app te vertrouwen.
Het is meer mijn eigen scepticisme, omdat bepaalde intelligentie diensten hier natuurlijk een interesse in hebben en overheidsinstellingen ook al vaak software hebben ingekocht om dit soort doelen te bereiken. Dat landen elkaar bespioneren, zelfs binnen de NATO, is natuurlijk geen geheim.

Er zijn meerdere landen te bedenken die dit ook afdwingen bij tech bedrijven. Dus ik zie het als een kleine stap om dit variabel te maken en anders te initiëren.
Dat kan natuurlijk wel, maar daar hebben ze geen extra functionaliteit nodig, ze hebben al toegang tot de berichten wanneer ze willen.
Wacht, Whatsapp heeft een rapporteerfunctie? Waarom heeft mijn telecomprobider dat niet, voor de neppe belastingdienst en postnl sms'jes die ik krijg?

(Dit is wel soort van een serieuze vraag: in welk opzicht verschilt (de taak van het veilig houden van) WhatsApp van die van m'n provider? Ik heb WhatsApp altijd als een SMS-dienst(vervanging) gezien, maar dit voelt toch wel heel anders. Om de lijn nog maar even verder door te trekken, hoe kan ik afzenders (van fysiek materiaal) bij PostNL rapporteren?)
Facebook heeft financiële belangen bij het 'schoonhouden' van Whatsapp. De provider van een sms dienst of Postnl niet.
Die hebben juist ook financiële belangen…alleen hun belang is het toestaan van die ellende.
Omdat dat bij sms nauwelijks te herleiden is
https://www.fraudehelpdesk.nl/fraude-melden/

Helaas kan een provider geen directe actie ondernemen omdat het niet duidelijk is waar het echt vandaan komt, die zijn in dezen alleen een doorgifte luik. Een bepaald nummer blokkeren heeft geen zin, de nummers zijn vrijwel altijd gespoofed en zo blokkeer je ook legitiem sms verkeer.
Als het een nummer van jouw provider zal zijn kan dat volgens mij wel. Maar de meeste fraudeurs gebruiken buitenlandse nummers die daar niet zo sterk op handhaven, of spoofen nummers van gewone mensen. WhatApp heeft het voordeel dat spoofen een stuk lastiger is en ze controle hebben over alle gebruikers in plaats van een fractie.
dat kan wel. Bij vodafone als ik een sms krijg kan ik aangeven dat dit spam is en eventueel kan je ook het nummer blokkeren. Niet dat dat helpt, maar wel als je door een bepaalde persoon wordt gestalked
Ik post dus iets slechts.
.
.
.
.
.
.
En ik ben veilig?
Nee, want "Ik post dus iets slechts" wordt door een ander gerapporteerd. Men selecteert het bericht, niet de conversatie in 't algemeen.
-edit-
Bovenstaand klopt niet, ik zat er naast

[Reactie gewijzigd door Chris.nl op 22 juli 2024 15:16]

Nee, je rapporteerd een persoon. niet een bericht. Staat in artikel.
Ik zat er naast idd... Thnx
"Het is niet mogelijk om een specifiek bericht aan te wijzen. Vervolgens verschijnt de melding dat 'de meest recente berichten' worden doorgestuurd naar WhatsApp"

Volgens mij staat daar echt dat je na 5 berichten veilig bent.
Dus als je iets post
meteen 5x een spatie of punt posten, dan kan het dus niet doorgestuurd worden.
Ja, dat lijkt mij een test waard. Doch ik heb geen WhatsApp…. :+

Los van hoe het systeem werkt. Ik zit er nooit op te wachten dat er iemand mee kan lezen ook niet onder het mom van kinderporno of terrorisme. Het gaat ze gewoon geen fuck aan en al helemaal niet een stel stumpers van Facebook. Facebook: dealer, politie, rechter en beul in één. Iets teveel petten IMHO.
Vraag me af hoe veilig het systeem is ?
Je drukt op een knop waardoor het systeem dan bericht naar whatsapp stuurt met kopie van de laatste 5 berichten.
Reverse engineeren, dan zou je dus kopie van 5 willekeurige berichten kunnen sturen met andere inhoud.
Als je een specifiek bericht wil rapporteren, kun je eerst de berichten die daarna zijn gestuurd verwijderen zodat het "slechte bericht" weer bij de laatste 5 berichten zit, voordat je de melding doet. Tenminste, het lijkt me dat dat zou werken.
Aangezien de berichten aan de client kant uit de chat gehaald worden (immers: decrypted) en verstuurd worden lijkt dat me aannemelijk ja.
Als deelnemer aan een chatgesprek heb je de beschikking over de onversleutelde berichten, dus is het niet verrassend dat je zo'n bericht aan een contentmoderator kunt doorgeven. Dat staat niet direct op gespannen voet met end-to-endversleuteling.

Het is wel de vraag hoe dit technisch is geïmplementeerd. Stuurt de gebruiker slechts de inhoud van de vijf berichten door, of wordt de sleutel opgestuurd en ontsleutelt Whatsapp daarmee een eigen kopie? Whatsapp schept hierover geen duidelijkheid, maar in het eerste geval heeft Whatsapp geen zekerheid dat het gerapporteerde bericht daadwerkelijk overeenkomt met het bericht dat is verstuurd. Iemand zou bijvoorbeeld buiten de applicatie om de rapporteer-API kunnen aanroepen met valselijk opgemaakte berichten. Ik kan mij niet voorstellen dat Whatsapp het risico wil lopen iemands account ten onrechte te blokkeren. Dat zou betekenen dat Whatsapp de sleutels doorstuurt. Dat is kwalijk omdat daarmee de controle uit handen wordt gegeven op ontsleuteling van de volledige geschiedenis en van toekomstige berichten.
WhatsApp heeft geen kopie van berichten op de servers en de private keys van de gebruiker hoeven het toestel überhaupt niet te verlaten om een rapporteer-functie mét integriteitscontrole mogelijk te maken, het is een erg rare conclusie dat dit noodzakelijk zou zijn.
In theorie heb je gelijk en zou integriteitscontrole mogelijk zijn als de verzender elk bericht cryptografisch zou ondertekenen, maar uit de technische whitepaper "WhatsApp Encryption Overview" blijkt dat daarvan geen sprake is. Berichten worden enkel met een Message Key (HMAC-SHA256(Chain key, 0x01)) ondertekend, en die is bij beide partijen bekend.
Hoe zit dit bij andere apps zoals Signal & Telegram?
Signal heeft geen rapporteerfunctie die berichten doorstuurt, maar uiteraard zou een user een screenshot kunnen maken en het doorsturen naar Signal. Of ze er iets mee zullen doen geen idee.

Telegram kan sowieso te allen tijde en constant met alle groepen meelezen en de complete inhoud daarvan bekijken, inclusief alle bijlagen, en daar is niets aan te doen (groepsgesprekken kunnen niet end-to-end versleuteld worden bij Telegram, worden altijd plain-text accessible op hun cloud opgeslagen.). Bij individuele gesprekken kunnen ze dat ook, tenzij dat gesprek toevallig secret mode ingeschakeld heeft. Maar ook daar zou een user in principe het bericht kunnen doorsturen naar Telegram's team als de user dat wil natuurlijk (en dat zou dan geen gat in de encryptie zijn maar is de user de zwakke schakel.).

[Reactie gewijzigd door WhatsappHack op 22 juli 2024 15:16]

Even ter info: Je kan in Signal wel screenshots nemen, maar je kan deze optie wel uitzetten. Wat dit doet met groepsgesprekken heb ik nog niet getest. Iemand ervaring mee?

[Reactie gewijzigd door Schoors op 22 juli 2024 15:16]

Je weet niet wat voor software de andere gesprekspartner draait, en ga er altijd vanuit dat alles wat je verstuurd oneindig lang opgeslagen wordt als je de andere kant niet kan vertrouwen. Die kan het als cleartext kopieren, maar ook screenshots maken. Hetzelfde voor groepsgesprekken.

En daarnaast kan je natuurlijk altijd nog een foto van het scherm maken...

[Reactie gewijzigd door The Zep Man op 22 juli 2024 15:16]

Je kunt natuurlijk altijd nog je berichten en foto's door een 3e app of website laten encrypten, om dit vervolgens via whatsapp te verzenden. Er zijn appjes die dit automagisch kunnen voor whatsapp etc etc.

wCNJgHKUoRJBjcMTXxDq96x1HXE0la66pvIGjk314n7weltzvGfE6hxDAa9WZ+iuZsbofgtE3jbbVqWeNPwvzg==

Als je dan een eigen/custom key gebruikt, wens ik bedrijven veel succes met het vinden van de tekst.
(hier niet gedaan, dus ik ben benieuwd hoe snel mensen het vinden)

Ik vraag mij vooral af of gebruikers dit niet snappen of bedrijven als Whatsapp (en overheidsinstanties) zo naïef zijn?

[Reactie gewijzigd door B_FORCE op 22 juli 2024 15:16]

De ontvanger heeft de sleutels toch? Anders stuur je compleet nutteloze onzin naar je ontvanger. Gezien het die ontvanger is die het rapport indient, kan die ook gewoon een screenshotje maken of de sleutel geven. Dus ik weet niet waar je je tegen denkt te beschermen met deze software als het probleem is dat je gesprekspartner de boel dus doelbewust doorstuurt. :+ FB hoeft niets te vinden, ze krijgen het van de user…
Dit was al een keer eerder bekend gemaakt door WABetaInfo. Niets schokkends dus, naar mijn mening. Helemaal omdat er expliciet wordt gemeld dat alleen de laatste vijf berichten doorgestuurd worden. Daar geef je letterlijk zelf toestemming voor.

[Reactie gewijzigd door Anonymoussaurus op 22 juli 2024 15:16]

Moa... 7 dagen geleden. Kan erger.
Ik ben benieuwd in hoeverre dit leidt tot toestanden zoals bij YouTube, waar kanalen strikes krijgen doordat meutes opgejut worden om kanalen te rapporteren omdat de inhoud ze niet aanstaat.

Oftewel: wordt die moderatie lui en geautomatiseerd of wordt er door redelijke mensen naar gekeken?
En hierom gebruik dus XMPP, gehost op mijn eigen Raspberry Pi 4, daar ben ik verder zelf de moderator. :)
En je communiceert met niemand? Want ik hoop dat je begrijpt dat de ontvangers van jouw berichten deze kunnen kopiëren en doorsturen naar wie ze maar willen? En dat dat in feite niets anders is dan wat hier gebeurt?
Dezelfde Carl Woog die zo graag tweet over de concurrentie

meekijkende overheden en WeChat:
https://twitter.com/fryan/status/1432951521876922370

en

Apple:
https://twitter.com/CarlWoog/status/1434200576879828994

Laat dus met hetzelfde gemak WA e2ee berichten compromitteren, voor uw veiligheid natuurlijk.

Op dit item kan niet meer gereageerd worden.