Telegram introduceert nieuwe privacy- en beveiligingfuncties in appversie 8.3

Telegram geeft via een appversie 8.3 groep- of kanaalbeheerders de optie om het doorsturen, opslaan of screenshotten van berichten in groepsgesprekken te verhinderen. De update brengt tal van andere functies mee waaronder de optie om berichten te verwijderen via een kalendermenu.

Via de nieuwe update wordt het ook mogelijk om alle apparaten waarop een Telegram-gebruiker is ingelogd te beheren. Zo kan er worden ingesteld welk apparaat oproepen of geheime chats kan ontvangen. Er werd ook optie toegevoegd om na een bepaalde tijd automatisch uit te loggen bij inactieve sessies en om ‘snel’ met een desktop-apparaat te verbinden.

Gebruikers die liever anoniem in een publieke groep of kanaal communiceren zullen die optie met de nieuwe update krijgen. In plaats van de chatnaam te gebruiken, wordt het dan mogelijk om berichten te plaatsen in naam van het kanaal.

Telegram meldt dat gebruikers van sommige apparaten in staat zullen zijn om in te loggen op de chatdienst via een oproep. Telegram-gebruikers die daarvoor kiezen zullen gebeld worden door een telefoonnummer, waarna hen gevraagd zal worden om enkele cijfers van dat nummer op te geven.

Voortaan zullen gebruikers ook de naam van de groep of van het kanaal te zien krijgen wanneer een beheerder van die groep of dat kanaal, contact met hen opneemt over een potentieel deelnameverzoek.

Het instellingenmenu van chats is op de schop genomen en de Android-app krijgt via de laatste update acht nieuwe kleurenthema’s. Onderschriften kunnen voortaan onderstreept, cursief en in het vet worden en de informatiepagina van een contactpersoon kreeg in de iOS-versie een aangepast uiterlijk mee dat volgens het bedrijf meer in lijn ligt met de ontwerprichtijnen van iOS.

Telegram-optie 'Doorsturen beperken'

Door Jay Stout

Redacteur

09-12-2021 • 21:32

76 Linkedin

Reacties (76)

76
76
37
4
0
33
Wijzig sortering
Valt dit niet in de categorie "schijnveiligheid"? Toen ik de kop las dacht ik dat ze eindelijk e2e encryptie zouden toepassen standaard op individuele gesprekken of überhaupt e2e encryptie in groepchats. Maar dit is niet iets wat ik onder privacy of beveiliging versta. Dit is.... Precies dat... Schijnveiligheid. Jammer.

Edit: typo

[Reactie gewijzigd door david-v op 9 december 2021 22:06]

Hoe zie jij e2e encryptie werken in telegram dan?

Ze hebben helaas / gelukkig een wat ander model dan bijvoorbeeld whatsapp. Berichten worden opgeslagen / verstuurt via de server waarbij je eigenlijk overal in kan loggen en berichten inclusief historie in kan zien. Dat heeft bijvoorbeeld als voordeel dat het ook blijft werken als mijn mobiel even zonder stroom of internet zit. Of je bij het kwijtraken van je mobiel niet al je berichten kwijt bent (alhoewel whatsapp backups best okay werken).

De huidige e2e encryptie in telegram is ook echt e2e, er zijn 2 devices met keys om te encoden/decoden en die kunnen verzenden/ontvangen. Deze zijn dus met die reden ook niet beschikbaar op andere ingelogde clients. (ik weet even niet of de history ook online bewaard wordt?)
Als je dat wilt doen voor heel telegram, dus inclusief alle chats die op meerdere devices te lezen zijn, groepschats, etc, dan kan je die key niet meer op de device opslaan maar in het account (hij moet immers gedeeld zijn over alle devices).
Dan kan je al niet echt meer spreken van e2e encryptie want het is niet meer van een einde naar een ander einde, het is van een account op mogelijk meerdere locaties naar een ander account op mogelijk meerdere locaties. Dan moet je ook die sleutel opslaan in het account anders kan je er niet bij als je op een nieuwe locatie inlogt. En daarmee gaat dat er sowieso niet voor zorgen dat telegram jou berichten niet meer kan inzien, ze hebben immers de keys ook gewoon in hun bezit.

Kortom, door de ontwerpkeuzes die telegram gemaakt heeft zal die e2e encryptie er waarschijnlijk nooit komen voor generieke of groepschats.

offtopic:
E2E encryptie in bijvoorbeeld whatsapp is ook een wasse neus als je meta niet vertrouwd natuurlijk. Sure ze kunnen het misschien in transport niet decrypten maar `odra het op de client gedecrypt is kunnen ze er weer mee doen wat ze willen en desnoods de hele berichten gewoon terugsturen naar zichzelf.
Het is Signal anders gewoon gelukt, en hun project is volledig open source dus je kan ook niet zeggen dat Telegram er niet van kan leren.
Niet helemaal. Je kan als je de Windows cliënt installeert niet de historie zien. Alleen vanaf het moment dat je de app installeert krijg je nieuwe berichten te zien. Bij telegram is dat niet het geval want berichten worden op de server bewaard. Dat vinden sommige mensen heel fijn en daarom kiezen ze ook voor telegram. Niks mis mee. Minder veilig maar wel meer functionaliteit. Het is een keuze.
Bij signal is het een bewuste keuze geweest om oude berichten niet te syncen naar nieuwe devices, niet omdat ze het niet kunnen, dus dat is een beetje in non argument.
Waarom word dit nou weer ge -1'd? Het is gewoon een feit dat binnen 2 minuten googlen geverifieerd kan worden. Ik dacht dat we hier, als IT professionals, niet op gevoel zouden stemmen?

https://signal.org/blog/secure-value-recovery/

Oh en het is open source
https://github.com/signalapp/SecureValueRecovery
Security en privacy heeft altijd een prijs. In het geval van telegram kiezen ze voor, naar mijn mening, zwakste security waardoor ze functioneel veel meer kunnen bieden dan andere platformen die een stuk veiliger zijn. Whatsapp is in daar opzicht een stuk veiliger (niet te verwarren met privacy dat is een ander verhaal).
Je zou natuurlijk wel kunnen discussieren dat voor veel mensen die security een belangrijke rol speelt, om de privacy te waarborgen.

Ik zou willen stellen: als je privacy sowieso al niet gewaarborgd is, waarom is die security dan nog belangrijk om te wegen?
Ik zie het echt als twee aparte onderdelen, die natuurlijk wel wat raavlakken hebben. Zo zou je de inhoud een whatsapp gesprek met je buitenechtelijke relatie geheim kunnen houden door de security (e2e ervan uitgaande dat het goed geimnplementeerd is bij whatsapp), maar niet dat je regelmatig met iemand anders communiceert via whatsapp (privacy). Andersom ook, zo is je pincode goed "beveiligd" in je hoofd, maar als je bij een geldautomaat je piuncode invoert en de hele straat bij wijze van mee kan kijken (privacy) dan is je security, je pincode, niks waard.

Bij Telegram en whatsapp is je privacy niet gewaarborgd. Zelfs bij Signal, waar je een telefoonnummer voor nodig hebt (een burner phone is dan we een mogelijkheid) geef je alsnog een klein beetje privacy weg. Dat neemt niet weg dat het toch wel prettig is dat je berichten enigzins "secure" worden uitgewisseld.

Ik zou jouw stelling dan ook eerder omdraaien. Als je security niet gewaarborgd is, dan is je privacy al helemaal in het geding.
Je zou toch elke client een key kunnen geven die daarmee communiceert met het account? En vervolgens het account met andere accounts?
Dan moet je wel crypten zodanig dat je met meerdere keys kunt decrypten. Ik weet niet of dat veilig kan. Anders is het niet meer e2e als je het halverwege moet ontsleutelen

[Reactie gewijzigd door lololig op 9 december 2021 22:20]

Misschien interessant om te zien hoe dit bij xmpp is opgelost, met OMEMO.
E2EE werkt in WhatsApp (nieuwe versie van multi device heeft geen proxytelefoon meer nodig) en andere chatapplicaties.

Ze zouden het mechanisme van Matrix kunnen implementeren met de vertrouwend-by-default-opzet die WhatsApp en andere messengers ook bieden. Dat beschermt niet tegen aanvallers die WhatsApp kunnen beïnvloeden of de accounts van je contacten kunnen hacken, maar wel tegen passief afluisteren door Telegram zelf.

Je punt over E2EE van WhatsApp is natuurlijk helemaal juist, maar Telegram en vrienden hebben open source clients die je zelf kunt verifiëren, compilen en updaten wanneer je zelf zin hebt om de change sets te bekijken. Je kan zoals velen ook vertrouwen op het feit dat de code gepubliceerd is en daarmee enige back doors wel door anderen worden gespot, maar dat is natuurlijk ook niet heel veilig als iedereen dat denkt.
Dat heeft bijvoorbeeld als voordeel dat het ook blijft werken als mijn mobiel even zonder stroom of internet zit.
Dat is met WhatsApp geen probleem met met de open multi device beta.

Ik heb ook liever Matrix of desnoods signal maar dit probleem is opgelost :)

Momenteel bridge ik al mijn chats (WhatsApp, Signal, Telegram) via matrix bridges naar een eigen server. Dan heb ik ook onbeperkte scrollback maar dan wel op een eigen server.

[Reactie gewijzigd door GekkePrutser op 10 december 2021 04:15]

Dus zonder e2ee zijn je Telegram-berichten niet veilig? Leg eens even uit hoe onveilig dat is dan? Liggen ze nu op straat?

[Reactie gewijzigd door kornelisjann op 9 december 2021 22:23]

Klopt, zonder e2e zijn je berichten niet veilig (genoeg). Berichten worden op de servers van telegram gedecrypt. Ransomware aanval op de servers van telegram en je berichten kunnen op straat belanden.

Dat kan bij Whatsapp en bij Signal simpelweg niet, want in beide gevallen kunnen ze jouw privé berichten niet lezen. Ook niet na een ransomware aanval bijvoorbeeld.

Zelfs bij de optionele e2e encryptie van telegram ben je minder veilig dan bij Whatsapp en Signal. De e2e encryptie van telegram is al meerdere keren als zwak bestempeld.

Edit: typo

[Reactie gewijzigd door david-v op 9 december 2021 23:03]

Klopt, zonder e2e zijn je berichten niet veilig (genoeg). Berichten worden op de servers van telegram gedecrypt. Ransomware aanval op de servers van telegram en je berichten kunnen op straat belanden.

Dat kan bij Whatsapp en bij Signal simpelweg niet, want ik beide gevallen kunnen ze jouw privé berichten niet lezen. Ik niet na een ransomware asnval bijvoorbeeld.
Dat is dan inderdaad niet zo best. Dan moet je het heel erg hebben van je input sanitation.
Zelfs bij de optionele e2e encryptie van telegram ben je minder veilig dan bij Whatsapp en Signal. De e2e encryptie van telegram is al meerdere keren als zwak bestempeld.
Is dit niet een heel hypothetisch theoretisch geval? Als het echt zo zwak was, hadden we er nu dan niks van gemerkt?
Voor de gesprekken tussen jou en je vrienden en familie zal het niet veel uitmaken, tenzij er daadwerkelijk iemand toegang krijgt tot de servers van telegram en al die data gaat aanbieden op het dark web, maar ik denk dat criminelen, journalisten, activisten, politici of anderen wel voor een ander platform zouden moeten kiezen, want die worden actief door overheden in de gaten gehouden en daar zul je niet vaak iets over horen in de media (eigen belang, als mensen denken dat ze veilig zijn, kunnen wij verder spioneren).

Edit:typo

[Reactie gewijzigd door david-v op 10 december 2021 07:51]

En het is niet "als" het echt zo zwak was... Het is echt een zwakke encryptie
Anoniem: 734539
@david-v10 december 2021 03:03
Misschien handig om daarbij te vermelden dat ze deze vulnerabilities inmiddels al gedicht hebben?
Bericht van Telegram zelf: https://telegra.ph/LoU-ETH-4a-proof-07-16

The latest versions of official Telegram apps already contain the changes that make the four observations made by the researchers no longer relevant. Overall, none of the changes were critical, as no ways of deciphering or tampering with messages were discovered.

In het linkje dat je plaatst staat dit ook beschreven:
The researchers notified Telegram about their research in April. Telegram has since patched all four flaws, clearing the way for researchers to go public with their findings through a detailed technical blog post.

Een hoop stemmingsmakerij terwijl dit al helemaal niet meer van toepassing is.
Je hebt gelijk dat de kwetsbasrheden gedicht zijn, het ging mij meer erom dat het encryptie protocol niet bepaald goed in elkaar zit. Ze krijgen van vrijwel alle experts het labeltje zwak wat encryptie betreft. Het zelf geschreven protocol is helaas niet de beste. En dat gaat dus alleen over het meest veilige onderdeel van de app, de optionele e2e van een op een berichten.
Zwak is relatief. Het is tot op heden niet gekraakt. Er zijn diverse zwakkere plekken aangewezen. Dat betekent dat als je het wilt kraken je daar de meeste kans maakt. Voor zover bekend is het nog steeds niemand gelukt om het ook daadwerkelijk te kraken. Daarmee is het moeilijk zwak te noemen.

De zwakte is dat het niet standaard gebruikt wordt en daarmee dus slechts zeer sporadisch.
Dat laatste inderdaad. Dat is ook de kern van mijn eerste post, dat het niet standaard aan staat. Voor groeps berichten heb je hoe dan ook wel reden om je zorgen te maken, daar ontbreekt e2e in zijn geheel. Ook het feit dat berichten in de cloud worden bewaard.

En dat het niet in de krant/nieuws staat betekent niet dat het nog niet gebeurd is. Zie de berichten de laatste tijd in de media. Overheden zijn niet bepaald open wat het kraken van beveiliging betreft. Daar heb je eerst een klokkenluider voor nodig ;)
Zo zwak vind ik het niet, eigenlijk. Ja, er zitten fouten in het protocol, maar je kunt nog steeds niet de inhoud van de berichten lezen. Je hebt geen plausible deniability voor dingen die je stuurt en de volgorde van berichten die niet voor anderen leesbaar zijn kan worden omgedraaid door je ISP, maar dat is het ook wel eigenlijk.

Wat mij betreft stapt Telegram over op een veiliger protocol, maar de echte kwetsbaarheid zit hem meer in het gebrek aan versleutelde groepen dan in de mtproto-functie die bijna niemand gebruikt.
Dat laatste is inderdaad ook het probleem mi, dat is ook mijn eerste post, dat berichten niet standaard e2e hebben. Het is een optie waar je continu voor moet kiezen. Dat het zelf gebakken protocol niet de beste is is een feit, maar erger is dat ik vermoed dat vrijwel niemand het gebruikt. Groepen chats hebben geen e2e. Dat betekent dat de servers van telegram, waar de berichten worden bewaard, een serieus probleem zijn. Het zou me niet verbazen als menig "agentschap" van overheden al erin geslaagd zijn om wij te komen. Dat ga je niet terug lezen in de krant, totdat er een klokkenluider opstaat. Ik zou in ieder geval niet verbaasd zijn.

Maar, zoals ik al zei, het is een keuze die je als gebruiker maakt. Security vs eenvoud en functionaliteit. Als je maar bewust bent van de risico's.
[...]
Is dit niet een heel hypothetisch theoretisch geval? Als het echt zo zwak was, hadden we er nu dan niks van gemerkt?
Het enige argument dat men gebruikt om het zwak te bestempelen is dat het een zelf ontwikkeld protocol is, zonder er verder iets vanaf te weten. Verder is het bij mijn weten nog nooit gekraakt, hoe kan je dan weten dat het zwak is.
Daar waar andere encryptie protocolen worden geprezen (ook al hebben ze minor issues) is dat niet het geval bij het protocol van telegram. De audits in het verleden waren niet lovend.

En dat je niet hoort dat het gekraakt is betekent niet dat het al gebeurd is, maar dat geldt voor elk protocol ;)
Dat kan bij Whatsapp en bij Signal simpelweg niet, want in beide gevallen kunnen ze jouw privé berichten niet lezen. Ook niet na een ransomware aanval bijvoorbeeld.
Ten eerste is WhatsApp niet open-source, zowel de server als de client zijn volledig gesloten. Dus is het volledig zinloos om claims te maken over hoe veilig of niet WhatsApp zou zijn. Je kunt er niet zeker van zijn dat WhatsApp geen toegang heeft tot jouw private key, tot jouw berichten of dat de app (meta) data lekt naar het moederbedrijf wat nota bene Meta heet.

Ten tweede is ook WhatsApp na een ransomware aanval of andere hack kwetsbaar. Want als er kwade wil is en de systemen van WhatsApp zijn gecompromitteerd dan kan de eerstvolgende update van WhatsApp prima toegang tot berichten of private keys lekken.

Ik wil totaal niet beweren dat Telegram meer veiligheid biedt. Maar Telegram biedt wel meer transparantie. Je weet wat ze bieden, het is controleerbaar en je kunt het accepteren of niet. Tegenover WhatsApp waarbij je WhatsApp, Facebook en Meta maar op hun blauwe ogen moet vertrouwen.
Dat zijn wat aparte vergelijkingen :) Telegram is ten eerste ook niet volledig opensource, dus dat telt imho niet. Ten tweede is de broncode hebben een luxe, geen vereiste bij een onderzoek (behalve de serverbron, die kunnen we niet reverse engineeren, zowel voor WhatsApp als Telegram niet; maar de code van de WhatsApp-servers is veel minder boeiend ivm de encryptie dan Telegram’s plain-text accessible storage model met toegang tot alle gebruikersdata en historie by default.) Ten derde ging het om een hack op de server, bij Telegram kan je bij adequate toegang gewoon al het verkeer inclusief de volledige historie en bijlagen en dergelijken zien. WhatsApp heeft die data allemaal niet op de servers staan en alles dat over de server gaat is end to end encrypted. De client op alle telefoons (al helemaal met app stores) vervangen met een gecompromitteerde versie is vele malen lastiger natuurlijk dan wat servers kraken.

Telegram biedt ook echt nul komma nul transparantie. :P Verzamelen door het model dat men hanteert ook godsgruwelijk veel meer metadata, gelijk zo niet meer dan FB Messenger. En waar je bij FB tenminste nog een bedrijf (juridisch) kan aanspreken heeft de bedrijfssetup bij Telegram dat nagenoeg onmogelijk gemaakt met tig shell bedrijfjes in vage witwas landjes die allemaal eigenaar van elkaar zijn en hun geldstromen nooit laten zien noch ingave zullen geven… Nee, transparant zijn ze echt niet. Niet dat Meta/Facebook zo transparant is, daar niet van. Maar in vergelijk met WhatsApp moet je beseffen dat Telegram dus evenveel zo niet meer (meta)data van je verzamelt en bewaart dan Facebook en daarnaast nauwelijks te controleren zijn vanwege het enorme rookscherm dat ze optrekken omtrent alles dat ze doen. Nee, dan is WhatsApp duidelijk veel en veel veiliger…

… Maar het beste is natuurlijk om een dienst te gebruiken die deze beide problemen niet kent. ;) Signal, Threema, Matrix, dat soort toko’s. :) Vooral Signal krijgt steeds meer gebruikers.
WhatsApp heeft die data allemaal niet op de servers staan
WhatsApp belooft dat ze die data niet op hun servers opslaan, dat moeten we dan maar gewoon aannemen want we kunnen het niet controleren.
alles dat over de server gaat is end to end encrypted.
Wederom iets wat wordt beloofd en wat we verder niet kunnen controleren.

En daarbij komt dat end to end encryption sowieso met een korreltje zout genomen moet worden. Want wat is in dit geval een endpoint? Je weet dat je met WhatsApp Web ook toegang hebt tot je berichten. Alles wat je stuurt of leest via WhatsApp Web is per definitie niet end to end encrypted, want je browser zit in de keten nog achter de WhatsApp app waar de vermeende encryptie wordt toegepast. Het verkeer tussen de app en de browser gaat dan vaak zelfs gewoon via internet.

Nogmaals, dit hoeft allemaal niet per se slecht en onveilig te zijn. Maar het is ook weer niet goed om er blind op te vertrouwen. Je moet er eigenlijk gewoon vanuit gaan dat WhatsApp, Facebook of Meta toegang heeft tot jouw berichten.
Maar in vergelijk met WhatsApp moet je beseffen dat Telegram dus evenveel zo niet meer (meta)data van je verzamelt en bewaart dan Facebook en daarnaast nauwelijks te controleren zijn vanwege het enorme rookscherm dat ze optrekken omtrent alles dat ze doen. Nee, dan is WhatsApp duidelijk veel en veel veiliger…
Dat ze veiliger zijn is een gevaarlijke aanname zonder wetenschappelijke onderbouwing. Het is prima mogelijk dat WhatsApp veel minder veilig is dan Telegram en dat WhatsApp juist veel meer data verzameld.

Bijkomstig is nog dat Facebook niet alleen data verzamelt, maar deze ook actief kan gebruiken voor de manipulatie van een hele grote bevolkingsgroep. Hoeveel mensen zijn er niet dagelijks op Facebook of Instagram actief en krijgen precies de media te zien die ze door de algoritmes van Facebook wordt voorgeschoteld. Ook al heb jij zelf geen Facebook of Instagram, door WhatsApp te gebruiken met contacten die dat wel hebben draag je hier wel direct aan bij.

Als we het dan hebben over gevaar. Persoonlijk vind ik die mogelijke manipulatie van de bevolking vele malen gevaarlijker dan het alleen maar mee kunnen lezen met berichten.
… Maar het beste is natuurlijk om een dienst te gebruiken die deze beide problemen niet kent. ;) Signal, Threema, Matrix, dat soort toko’s. :) Vooral Signal krijgt steeds meer gebruikers.
Helemaal mee eens en ik gebruik ze dan ook allemaal. Of anders gezegd, ik ben via al die diensten beschikbaar, met de insteek dat je de verandering moet zijn die je wilt zien. Want er zijn maar relatief weinig van mijn contacten beschikbaar op Signal en de contacten op Threema en Matrix zijn al helemaal nihil. Telegram biedt mij daarentegen wel toegang tot veel contacten. Telegram is niet perfect, maar dankzij Telegram kon ik in ieder geval WhatsApp verwijderen.
WhatsApp belooft dat ze die data niet op hun servers opslaan, dat moeten we dan maar gewoon aannemen want we kunnen het niet controleren.
Dat kunnen we in zekere zin wel. Er is geen enkel bewijs gevonden dat er een backdoor zou zitten in de encryptie die WhatsApp gebruikt (Signal Protocol) en hun implementatie daarvan. De client, protocol, gedrag van de app etc. is en wordt tot in den treure doorgelicht. Er is geen enkel bewijs noch ook maar enige suggestie geobserveerd dat de server toegang heeft of zou kunnen krijgen tot de inhoud van berichten met de huidige code.
Wederom iets wat wordt beloofd en wat we verder niet kunnen controleren.
Waarom kunnen we dat niet controleren…? Dat is en wordt wel degelijk gecontroleerd.
En daarbij komt dat end to end encryption sowieso met een korreltje zout genomen moet worden. Want wat is in dit geval een endpoint?
Waarom moet dat met een korreltje zout genomen worden?
De endpoints zijn heel duidelijk gedefinieerd, heb je de whitepaper al eens doorgelezen? Leuke read: https://scontent.whatsapp...d3a1dbea8d0d2&oe=61B85AD9
Je weet dat je met WhatsApp Web ook toegang hebt tot je berichten. Alles wat je stuurt of leest via WhatsApp Web is per definitie niet end to end encrypted, want je browser zit in de keten nog achter de WhatsApp app waar de vermeende encryptie wordt toegepast. Het verkeer tussen de app en de browser gaat dan vaak zelfs gewoon via internet.
WhatsApp Web werkt met een versleutelde socket met je mobiel (die de berichten en versleuteling beheert), dit doet niets af aan de end-to-end encryptie en die encryptie blijft ook volledig intact.

Met WhatsApp Desktop is het tegenwoordig zelfs zo dat een extra keypair wordt gegenereerd waarmee het een vrijwel volledig autonoom opererend device wordt die niet meer vereist dat je mobiel online is om berichten uit te wisselen, omdat het z’n eigen private keys heeft. Berichten worden client-fanout meermaals versleutelt door de verzender.
Nogmaals, dit hoeft allemaal niet per se slecht en onveilig te zijn. Maar het is ook weer niet goed om er blind op te vertrouwen. Je moet er eigenlijk gewoon vanuit gaan dat WhatsApp, Facebook of Meta toegang heeft tot jouw berichten.
Dat is alleen een heel ander verhaal. Ik ga er sowieso niet vanuit dat er absolute veiligheid is en als je wil dat ergens geen potentieel record van is moet je t vooral niet digitaal vastleggen/uitwisselen. Zit er geen lek in WA dan kan het wel in iOS, Android, MacOS, Linux, Windows zitten of misschien in m’n CPU. 100% veiligheid bestaat niet. Maar gezien de manier waarop de encryptie werkt, geïmplementeerd is en hoe geobserveerd wordt hoe het werkt is er op dit moment geen enkele reden om aan te nemen dat WhatsApp toegang heeft tot de inhoud van je berichten en als dat wel zo blijkt te zijn hebben ze ook een extreem groot probleem.
Dat ze veiliger zijn is een gevaarlijke aanname zonder wetenschappelijke onderbouwing. Het is prima mogelijk dat WhatsApp veel minder veilig is dan Telegram en dat WhatsApp juist veel meer data verzameld.
Uh, nee, dat is gewoon een feit op basis van het ontwerp alleen al en zeker niet zomaar een aanname... Telegram verzamelt by default met 100% zekerheid enorme ladingen metadata, al je berichten, al je bijlagen (foto’s, video’s, documenten, etc.) en slaat dit plain-text accessible op in hun cloud. Bij WhatsApp gebeurt dat op die metadata na simpelweg niet en als je het tegendeel wil beweren dan zie ik graag iets meer bewijs dan “ja maar het zou toch kunnen?”. Hordes beveiligingsonderzoekers waaronder ikzelf hebben of houden WhatsApp met argusogen in de gaten en onderzoeken diepgaand wat de app allemaal doet, wat voor wijzigingen ze aanbrengen in de bron, etc. Er is tot dusver door niemand ook maar enig bewijs noch ook maar de suggestie gevonden dat WhatsApp toegang heeft of zou kunnen hebben tot de inhoud van berichten en bijlagen en bij audits, onder andere in ‘t verleden door onze eigen autoriteit persoonsgegevens, is ook niet gebleken dat er op de server meer bewaard wordt dan geadverteerd en deze in de normale omstandigheden idd enkel als relay/buffer fungeert.

Er is dus 100% zeker wel onderbouwing voor dat er met een behoorlijk hoge zekerheid gesteld kan worden dat, in deze context bekeken, Telegram met afstand de gevaarlijkere dienst is. Ja natuurlijk, het zou kunnen dat er ergens een gapend gat in WhatsApp zit en dat er dus berichten zouden kunnen lekken. Probleem is: bij Telegram zit dit “lek” er by design in. Dus waar het met WhatsApp allemaal theorie is, het zou kunnen, misschien dit, misschien dat, als jupiter en mars op een lijn staan, etc. etc.: allemaal could, maybe, if this, if that. Maar nul bewijs. Terwijl we bij Telegram simpelweg weten dat het zo ontworpen is.

Jij stelt dan dat we de real-world data en ontwerpen dus niet mogen gebruiken in de beoordeling van het veiligheidsniveau van een app “want het zou wel eens kunnen dat er een lek in blijkt te zitten”. Ja met die instelling is alles direct even onveilig en kan je net zo goed stellen “WhatsApp, Signal en Telegram in E2EE-modus zijn niet veiliger dan gewoon plain-text SMSen, want er zou wel eens een lek in kunnen zitten”. Hoewel ik het eens ben dat je daar best vanuit mag gaan en niets 100% veilig is, kun je wel degelijk iets zeggen over de algemene veiligheid van apps en dit zegt dan ook iets over het risico dat je loopt. Gezien bij Telegram de toegang tot berichten voor de dienst gegarandeerd triviaal is en bij WhatsApp niet en daar ook geen enkel bewijs voor is dat het anders zou zijn, kan je dus makkelijk het sommetje maken dat het risico bij WhatsApp vele malen lager is dan bij Telegram. En gezien het risico vele malen lager is, kan je niet anders dan concluderen dat daarmee WhatsApp in de basis dus wel degelijk de veiligere dienst is waar je minder risico’s loopt.

Dus nogmaals resumerend: nee je bent nergens 100% veilig, maar als je bij dienst A veel minder risico loopt dan bij dienst B vanwege het ontwerp: dan mag je echt wel stellen dat dienst A veiliger is en dat hebben en kunnen we prima onderbouwen. :) Doen alsof dat niet zo is en we dat niet kunnen stellen op deze manier doet geen eer aan de enorme hoeveelheid tijd en werk die in het analyseren en onderzoeken van deze apps zit. :) Voor de zekerheid benadruk ik nog eens dat we uiteraard allemaal iets kunnen missen, ik bedoel: zie hoelang heartbleed over t hoofd is gezien, en dat er zeker iets mis kan gaan; maar in de basis zetten ik en anderen die dit soort zaken napluizen gewoon een helder en goed onderbouwd verhaal neer waarom, in de basis, dienst A risicovoller is dan dienst B en daaraan worden conclusies verbonden aan de veiligheid in de basis.
Bijkomstig is nog dat Facebook niet alleen data verzamelt, maar deze ook actief kan gebruiken voor de manipulatie van een hele grote bevolkingsgroep.
Dat kan Telegram ook. :)
Persoonlijk vind ik die mogelijke manipulatie van de bevolking vele malen gevaarlijker dan het alleen maar mee kunnen lezen met berichten.
Ik ben het niet oneens met je, begrijp me niet verkeerd, maar ik vind dit een heel ander verhaal dat geen relevantie heeft met waar we het over hadden: de veiligheid qua ontwerp en protocol/encryptie in de context van het beschermen van de berichtinhoud. Dat zijn echt twee aparte zaken die we volledig los van elkaar moeten behandelen in de discussie. :)
Telegram is niet perfect, maar dankzij Telegram kon ik in ieder geval WhatsApp verwijderen.
Zonde, dan had je veel beter bij WhatsApp kunnen blijven gezien dat een veel veiligere dienst is dan WhatsApp. Als je WhatsApp wil vervangen uit privacy/veiligheidsoverwegingen dan is Telegram samen met diensten als FB Messenger een van de zo niet dé slechtste keuze(s) die je kan maken. WhatsApp is de veiligere dienst en Durov en Co. zijn net zo min zuivere koffie dan Zuckerberg. Sterker nog, ik beschouw Durov als gevaarlijker. Afijn. Het uitgangspunt om WhatsApp te kunnen verwijderen snap ik, maar waarom evil A inruilen voor nog meer evil B? Dan ga je er op achteruit en mogelijk trek je dan nog meer mensen er in mee, terwijl je ook kan kiezen om een positief effect te hebben en er op vooruit te gaan.

Het is dan ook nog niet te laat natuurlijk, je kan van Telegram overstappen naar een veilige(re) dienst. WhatsApp is een optie maar wel een mindere en die wil je niet, ik zou Telegram dan toch inruilen voor Signal en mensen aansporen dat ook te doen of op z’n minst ernaast te zetten. :)

Maar die keuze en of je die impact wil maken is natuurlijk hoogst persoonlijk en helemaal aan jezelf. Just a tip. :P


-edit- typo fix.

[Reactie gewijzigd door WhatsappHack op 11 december 2021 06:22]

Om heel kort op jouw bericht te reageren. Download en installeer de WhatsApp apk voor Android en alles wat je krijgt is een binary blob, wat hij precies doet kun je niet controleren. Er is geen broncode beschikbaar die je zelf kunt controleren of compileren. Kijk eens met Wireshark naar het verkeer wat WhatsApp ontvangt en stuurt naar de servers en je ziet alleen maar encrypted verkeer van en naar de WhatsApp servers. Je kunt dit niet lezen of decrypten en je kunt dus ook niet controleren wat er naar de servers van Facebook wordt verzonden.

End-to-end encryption is leuk, absoluut. Maar wat is in dit geval een endpoint? Juist, dat is de gesloten en niet controleerbare WhatsApp binary die de berichten kan lezen, scannen, indexeren of doorsturen. Geloof je het niet? Als je in een groep een bericht markeert als ongepast dan wordt dat bericht vervolgens gelezen door een van de 1000 zogenaamde WhatsApp moderators.

Over het opslaan van berichten op de servers van WhatsApp. Dit gebeurt. Alle berichten die via WhatsApp worden verzonden worden opgeslagen op de servers van WhatsApp. Dit kun je zelf testen. Stuur vanaf de eerste telefoon een bericht naar de tweede telefoon, terwijl de tweede telefoon uit staat. Zet vervolgens de eerste telefoon uit, zodat beide telefoons uit staan. Zet dan pas de tweede telefoon aan en je zult het bericht alsnog binnen zien komen. Hoe kan dat? Doordat WhatsApp de berichten opslaat. Ze kunnen het bericht vervolgens natuurlijk weggooien, maar of ze dit ook echt doen (met echt alle berichten) kunnen we niet controleren.

Ik lees in jouw bericht heel veel optimisme en passie, wat ik trouwens enorm kan waarderen. Maar het is wel allemaal gebaseerd op aannames en vertrouwen. Voor mij persoonlijk is dat vertrouwen in Facebook veel minder waard.

https://arstechnica.com/g...t-that-private-after-all/
Het is dan ook nog niet te laat natuurlijk, je kan van Telegram overstappen naar een veilige(re) dienst. WhatsApp is een optie maar wel een mindere en die wil je niet, ik zou Telegram dan toch inruilen voor Signal en mensen aansporen dat ook te doen of op z’n minst ernaast te zetten.
Zoals ik al aangaf gebruik ik zelf al Signal, dus ik hoef niet over te stappen. Sowieso werken Telegram en Signal prima naast elkaar. Ik zou dan ook iedereen willen adviseren om WhatsApp zo snel mogelijk te verwijderen en Telegram en Signal te gaan gebruiken.
Ze kunnen het bericht vervolgens natuurlijk weggooien, maar of ze dit ook echt doen (met echt alle berichten) kunnen we niet controleren.
Voor zover ik weet gebeurt dit wel met foto's/video's/documenten. Je hebt ongeveer 2-3 weken (weet niet exact) de tijd om de bijlage te downloaden op een van je apparaten. Je kan namelijk ook de bijlage downloaden, verwijderen van je telefoon en opnieuw de bijlage downloaden.

Ik hecht niet veel waarde aan mijn berichten, mocht het echt prive zijn, zou ik het persoonlijk bespreken ipv over een chat app. Telegram past bij mij het beste omdat ik graag gebruik maak van alle functies en de integratie is nou eenmaal lichtjaren voor die van WhatsApp. Tenslotte gebruik ik een Xiaomi telefoon, dan hoef je al geen zorgen te maken over privacy en security, want dat is er niet.

[Reactie gewijzigd door FPSUsername op 10 december 2021 22:46]

Voor zover ik weet gebeurt dit wel met foto's/video's/documenten. Je hebt ongeveer 2-3 weken (weet niet exact) de tijd om de bijlage te downloaden op een van je apparaten. Je kan namelijk ook de bijlage downloaden, verwijderen van je telefoon en opnieuw de bijlage downloaden.
Klopt, de blobstore is volatiel; evenals de buffers. Over het algemeen is de TTL maximaal 30 dagen voor zowel bijlagen als versleutelde berichten in de buffer.

Uiteraard zou WhatsApp in theorie een kopie kunnen maken van de bestanden die daar opgeslagen worden. Voor de duidelijkheid: bij audits is daar nooit enig bewijs voor gevonden of aanleiding om te vermoeden dat ze dat wel eens aan het doen zouden kunnen zijn. En ik zou zo ook niet inzien waarom ze dat überhaupt ook maar zouden willen doen. Bijlagen worden namelijk met AES versleutelt, vervolgens geupload naar de blobstore en daarna wordt de pointer naar de blobstore + de decryptie-KEY naar de ontvanger(s) verzonden over het end-to-end encrypted kanaal tussen de verzenders en de ontvangers. WhatsApp heeft er dus geen reet aan om een kopie van te maken van die blobs, want ze hebben enkel het versleutelde bestand; maar niet de sleutel.
Ik hecht niet veel waarde aan mijn berichten, mocht het echt prive zijn, zou ik het persoonlijk bespreken ipv over een chat app.
Dat is de juiste insteek. :) Wel zou ik onthouden: als je om wat voor reden dan ook toch via een digitaal kanaal moet communiceren, kies dan wel een app en methode met het laagst mogelijke risico. (Eg: doe een oproep via Signal)
Tenslotte gebruik ik een Xiaomi telefoon, dan hoef je al geen zorgen te maken over privacy en security, want dat is er niet.
Hehe. :P Ik vind dit wel mooi. :) Je hebt iig geen illusies en waant je niet veilig. Toch ben ik dan benieuwd he... Hoezo dan toch niet een net tikkeltje veiliger apparaat aanschaffen? :P Is de Xiaomi zó fijn? :) (Of boeit het je niets? Mag natuurlijk he, privacy is iets van jezelf en iedereen mag helemaal zelf weten hoeveel ze weggeven of waarde aan hechten.)
De xiaomi die ik heb, Mi 9T Pro, heeft top end hardware voor een mid end prijs. Als ik de Mi 9T Pro niet had gekocht had ik nu wel een pre order op de Pixel 6 via MediaMarkt Duitsland gedaan. 650 euro + een gratis 200+ euro bose koptelefoon erbij is het zeker wel waard.
Ik vind zelf 700+ euro neertellen voor een telefoon dat een hardware lifetime van zo'n 2 a 3 jaar heeft net te veel voor wat ik er mee doe (chatten, browsen en af en toe foto's/video's maken). Wel wil ik dat het snel/vlot is, een goed scherm en goede camera heeft.

Met hardware lifetime bedoel ik dat elk jaar de meeste telefoons een grote vooruitgang boeken in hardware en dat je destijds top end hardware al gauw matig is (vooral bij de camera)
Om heel kort op jouw bericht te reageren. Download en installeer de WhatsApp apk voor Android en alles wat je krijgt is een binary blob, wat hij precies doet kun je niet controleren.
Dat kan wel. Althans, tot op zeer grote hoogte.
Er is geen broncode beschikbaar die je zelf kunt controleren of compileren.
Er wordt geen broncode open gepubliceerd door WhatsApp, dat is een ander verhaal. De broncode krijgen van de ontwikkelaar is een luxe, maar geen vereiste in een onderzoek naar het gedrag van een applicatie. :)
Kijk eens met Wireshark naar het verkeer wat WhatsApp ontvangt en stuurt naar de servers en je ziet alleen maar encrypted verkeer van en naar de WhatsApp servers. Je kunt dit niet lezen of decrypten en je kunt dus ook niet controleren wat er naar de servers van Facebook wordt verzonden.
Er is wel traffic analysis mogelijk.
End-to-end encryption is leuk, absoluut. Maar wat is in dit geval een endpoint? Juist, dat is de gesloten en niet controleerbare WhatsApp binary die de berichten kan lezen, scannen, indexeren of doorsturen. Geloof je het niet? Als je in een groep een bericht markeert als ongepast dan wordt dat bericht vervolgens gelezen door een van de 1000 zogenaamde WhatsApp moderators.
Uhm... wut? Je springt van de hak op de tak. Wat moet ik precies wel of niet geloven en wat heeft die netjes gedocumenteerde rapport-functie in vredesnaam met de beveiliging te maken of hoe bewijst dit... uh... ja waar moet het nou eigenlijk bewijs voor zijn? Is het bewijs voor de "niet controleerbare WhatsApp binary die de berichten kan lezen, scannen, indexeren of doorsturen", ofzo? En... Hoe dan precies? En wat moet ik nou wel of niet precies geloven...? :P Wat heeft die functie überhaupt met de veiligheid van de app, het protocol of end-to-end encryptie te maken? Die hele zin slaat nergens op. Maar goed, ik geloof dat je op een hele vage manier probeert te suggereren dat die rapport functie op de een of andere manier iets slechts, onveiligs of onvoorspelbaars is dat de app (aldanniet in het geheim) doet en dat dit een breuk in de encryptie/veiligheid van de app zou zijn ofzo...? Welnu, dan kan ik je van dat waanidee afhelpen:

Als je een bericht rapporteert als ongepast, dan stuur *jij* een kopie naar de moderators toe. *Jij* besluit dus actief om dit bericht te delen met de moderators. (Ironisch wordt dat ook end-to-end encrypt overigens. :+) Dit doet dus helemaal niets af aan de end-to-end encryptie in het protocol, noch zegt het iets over opslag of enig “nefarious” gedrag van de app. Dit wordt overigens ook gewoon helder uitgelegd door WhatsApp zelf.

Even jouw redenatie volgend: als ik dus een screenshot maak van een gesprek en ik stuur dit aan een moderator team, of naar jou door of ik post dit op mijn Twitter account (as if), dan betekent dat volgens jou dus dat de end to end encryptie in WhatsApp niet werkt, lek is of Twitter een backdoor in WhatsApp heeft…? Of nog anders zelfs: als ik binnen WhatsApp een bericht doorstuur van gesprek A naar gesprek B dan is volgens jouw redenatie de end-to-end encryptie in gesprek A opeens gebroken of moet zo beschouwd worden?

With all due respect, dat slaat echt nergens op. :P Aan je reacties te zien heb je volgens mij niet heel veel kennis van deze materie: althans, in ieder geval niet van WhatsApp en diens protocol/functies, maar ook niet perse van beveiligingsonderzoeken… Klopt dat? Kreeg zowat het gevoel: nog even en hij begint claims te maken over hoe de Smart Blockchain de oplossing is voor alle cybersecurity uitdagingen. :’)

Je hebt zo te zien eens wat dingetjes gelezen en wat tooltjes bekeken, zoals Wireshark, maar daar is het bij gebleven. Dat geeft natuurlijk helemaal niets, maar waarom stel je dan geen vragen ipv onwaarheden of onvolledige info te presenteren als feit? :) Ik beantwoord ze graag hoor, ken de app en diens protocol namelijk van binnen naar buiten… (Ik heb over de jaren heen zelfs verbeteringen voorgesteld die daadwerkelijk geïmplementeerd zijn en vandaag de dag nog altijd in gebruik zijn. :P)
Over het opslaan van berichten op de servers van WhatsApp. Dit gebeurt.
Neen, dat gebeurt dus helemaal niet binnen de context waar we het over hadden: opslag voor onbepaalde tijd van plain-text accessible data.
Alle berichten die via WhatsApp worden verzonden worden opgeslagen op de servers van WhatsApp. Dit kun je zelf testen.

*knip*
Ja, dag. :+ Ik heb dit toegelicht, ik heb dit onderdeel van het protocol notabene benoemd in m’n vorige reactie (al heb je dat kennelijk niet door.) en je rukt het daarnaast uit de context waar we het over hadden. We hadden het in de context van “opslaan van berichten” niet over relay/mere-conduit van asynchrone en daarnaast versleutelde data, maar over het voor onbepaalde tijd opslaan van plain-text toegankelijke inhoud van berichten en bijlagen; en ik begin nu toch wel te twijfelen of je dat écht niet weet (of nu alweer vergeten bent...) of doelbewust zit te trollen door te doen alsof je dat niet weet. :+ In mijn post staat deze context uitvoerig beschreven en dit is waar we het vanaf het begin over hadden. Of je leest niet, of je zit nu gewoon aan te klooien.
Maar het is wel allemaal gebaseerd op aannames en vertrouwen.
Neen dat is het niet en ik vertrouw Facebook/Meta al helemaal niet. ;) Alles dat ik heb gezegd en uitgelegd is gebaseerd op kennis van de materie, vele onderzoeken van mij en collega onderzoekers en gewoon een goed onderbouwd verhaal dat gebaseerd is op ofwel de feiten of uitvoerig onderbouwde verbonden conclusies aan de observaties van mij, collega onderzoekers en vooraanstaande beveiligingsexperts. En ja, uiteraard natuurlijk soms ook wat grondig overwogen aannames (na exclusie)/theorie omdat niet altijd alles 100% zeker kan zijn of te testen valt. Je kan dat proberen te downplayen en net doen alsof ik niet zorgvuldig te werk ga of niet weet waar ik over praat, maar dat is simpelweg incorrect. Overigens hou ik netjes slagen om de arm. :)

Ik weet trouwens niet of je ‘t écht niet door hebt, maar je bent zelf de gene die allerlei aannames doet en simpelweg door fout begrip van hoe de app werkt en hoe beveiligingsonderzoeken werken allerlei aannames en conclusies presenteert als feiten. :P Even een kleine lijst: je doet een aanname over Web die niet klopt, je doet een aanname over de builds en bronnen die niet klopt, je zegt dat er totaal geen TA mogelijk is wat niet klopt, je doet een aanname over de rapportage functie die niet klopt en verbindt daar conclusies aan die er niet thuishoren en daarnaast volstrekt irrelevant zijn, je snapt het verschil blijkbaar of zogenaamd niet tussen een relay van encrypted berichten in de asynchrone setup en het constant permanent opslaan van plain-text accessible berichten; en dit is slechts een greep uit de selectie. Maar je wil dan net doen alsof ik de gek ben die maar wat aannames doet en uit z’n nek lult? :P Kom op. :) Ik kan het vertrouwen in je vermeende eigen kennis van zaken waarderen, maar dat vertrouwen is, met alle respect, hier wel misplaatst. :P Ik hoop en neem aan dat je meer verstand van zaken hebt rondom blockchain technologie. ;)
Ik zou dan ook iedereen willen adviseren om WhatsApp zo snel mogelijk te verwijderen en Telegram en Signal te gaan gebruiken.
FTFY. :)

Telegram zou niemand moeten gebruiken die ook maar enige vorm van privacy en veiligheid wil en afgaande op deze discussie ben ik er, met alle respect, niet helemaal van overtuigd dat je gekwalificeerd bent om hier advies over te geven in die context. :) Uiteraard mag je Telegram wel een fijne client vinden e.d.; maar dat is een ander verhaal en over smaak valt niet te twisten.

Ik denk dat ik het hier maar bij laat, want we gaan er denk ik niet uitkomen en het is een wat vermoeiende discussie op deze manier. Mocht je echter nog *vragen* hebben (dus geen foutieve statements gepresenteerd als feit) over iets waar je je zorgen om maakt in WhatsApp of ook van denkt/voor jezelf tot de conclusie was gekomen dat het iets heel ergs of onveiligs is (terwijl dat hoogstwaarschijnlijk niet zo is ;)), stel ze dan gerust; dan leg ik het graag uit. Geen probleem. :)


TL;DR: wat je schrijft klopt niet. Mensen die privacy en veiligheid zoeken kunnen nog beter bij WhatsApp blijven dan naar Telegram te verhuizen gezien Telegram een stuk risicovoller is, maar kunnen het allerbeste beiden ver links laten liggen en naar een daadwerkelijk veilige dienst zoals Signal gaan.

[Reactie gewijzigd door WhatsappHack op 11 december 2021 06:32]

Dat kan wel. Althans, tot op zeer grote hoogte.
Nee. Behalve dat je met een disassembler wat tamelijk onleesbare obfuscated code kan genereren kun je geen broncode lezen.
Er wordt geen broncode open gepubliceerd door WhatsApp, dat is een ander verhaal. De broncode krijgen van de ontwikkelaar is een luxe, maar geen vereiste in een onderzoek naar het gedrag van een applicatie. :)
Nee dat is geen luxe, dat is een vereiste om de app te kunnen controleren.
Er is wel traffic analysis mogelijk.
Nee dat is niet mogelijk. Alleen op hoog niveau (TCP sessies, DNS requests) kun je zien dat er verkeer van en naar Facebook servers loopt.
Uhm... wut? Je springt van de hak op de tak.
Nee hoor, dat is het bewijs dat berichten die jij verstuurt wel degelijk door WhatsApp leesbaar zijn, in ieder geval in incidentele gevallen. Jij beweerde eerder ten onrechte dat WhatsApp nooit mee kan lezen met berichten.
Als je een bericht rapporteert als ongepast, dan stuur *jij* een kopie naar de moderators toe. *Jij* besluit dus actief om dit bericht te delen met de moderators.
Nee niet alleen ik. Dat kan ook de andere kant van het gesprek zijn. Of ze zouden automatisch berichten kunnen markeren en doorsturen.
Aan je reacties te zien heb je volgens mij niet heel veel kennis van deze materie
Jammer hoor, toch even op de man spelen om mij in diskrediet te brengen. Ik zal er maar verder niet op reageren.
Dat geeft natuurlijk helemaal niets, maar waarom stel je dan geen vragen ipv onwaarheden of onvolledige info te presenteren als feit?
Idem dito. En no offense hoor, maar je komt gewoon erg naief over. Je vertrouwt Facebook en WhatsApp zonder gedegen kennis van software architectuur en beveiliging. En in plaats van bewijs te presenteren zeg je louter 'het is mogelijk' en verwijs je naar de documentatie van WhatsApp zelf. Doe jezelf en anderen een plezier en presenteer vermoedens niet als feiten. Feit is dat WhatsApp informatie stuurt naar Facebook servers. Vermoeden is dat in die informatie geen WhatsApp berichten zitten. Feit is Facebook al jouw berichten opslaat op hun servers. Vermoeden is dat ze dit ook weer allemaal braaf weggooien als jij de berichten hebt gedownload.
Neen, dat gebeurt dus helemaal niet binnen de context waar we het over hadden: opslag voor onbepaalde tijd van plain-text accessible data.
Precies dit dus. Je presenteert een aanname als een feit. Jij gaat er vanuit dat Facebook doet wat hij zegt en zegt wat hij doet. Overigens heb ik nooit genoemd dat de opslag plain text zou zijn. Ik beticht Facebook van kwade wil, niet van onbekwaamheid. Feit is, tenzij jij mij het tegendeel kunt bewijzen, dat we simpelweg niet weten of Facebook die berichten daadwerkelijk verwijdert van hun servers.
Ik heb dit toegelicht, ik heb dit onderdeel van het protocol notabene benoemd in m’n vorige reactie (al heb je dat kennelijk niet door.) en je rukt het daarnaast uit de context waar we het over hadden. We hadden het in de context van “opslaan van berichten” niet over relay/mere-conduit van asynchrone en daarnaast versleutelde data, maar over het voor onbepaalde tijd opslaan van plain-text toegankelijke inhoud van berichten en bijlagen
Feitelijk worden alle berichten opgeslagen door Facebook. WhatsApp is niet peer to peer, maar gecentraliseerd en alle berichten worden eerst (al dan niet tijdelijk danwel encrypted) opgeslagen op servers van Facebook. Natuurlijk kun je dit een relay noemen en ervan uitgaan dat Facebook die berichten weer braaf wist na de transmissie, maar dat is een aanname en geen feit. Tenzij jij bewijst kunt leveren natuurlijk, dan hoor ik het graag.
Alles dat ik heb gezegd en uitgelegd is gebaseerd op kennis van de materie, vele onderzoeken van mij en collega onderzoekers en gewoon een goed onderbouwd verhaal dat gebaseerd is op ofwel de feiten of uitvoerig onderbouwde verbonden conclusies aan de observaties van mij, collega onderzoekers en vooraanstaande beveiligingsexperts.
Ik geloof best dat jij dat gelooft. Maar als jij steeds feiten en aannames door elkaar haalt dan breng jij jouw stellingen wel ernstig in diskrediet. Wat op zich jammer is, want als jij jouw berichten meer wetenschappelijk zou onderbouwen met inhoudelijke bewijzen en door feiten en aannames correct te onderscheiden dan zou je veel beter jouw mening tot recht kunnen brengen.
Overigens hou ik netjes slagen om de arm.
Eigenlijk vind ik om eerlijk te zijn dat je wel iets meer een slag om de arm mag houden. Ik lees in jouw tekst toch wel heel veel onwaarheden als feit, zonder die slag om de arm. Bijvoorbeeld als jij zegt dat berichten niet worden opgeslagen door Facebook dan presenteer je dat als feit. Terwijl het is bewezen dat Facebook de berichten wel opslaat. Jij bedoelt misschien dat jij erop vertrouwt dat Facebook de berichten alleen maar tijdelijk opslaat. Maar houd dan ook die slag om de arm. Je zou bijvoorbeeld iets als "Inderdaad Facebook slaat alle berichten eerst op hun eigen servers op, dit is noodzakelijk om berichten te kunnen overdragen aan gebruikers die op dat moment niet online zijn. Naar eigen zeggen verwijdert Facebook na de overdracht de berichten weer van hun servers, hoewel dit helaas niet is te bewijzen geloof ik dat Facebook dit daadwerkelijk doet." kunnen zeggen.
je doet een aanname over Web die niet klopt, je doet een aanname over de builds en bronnen die niet klopt
Daar wil ik toch even op inzoomen. Ik vermoed dat je deze stelling bedoelt: "Alles wat je stuurt of leest via WhatsApp Web is per definitie niet end to end encrypted, want je browser zit in de keten nog achter de WhatsApp app waar de vermeende encryptie wordt toegepast. Het verkeer tussen de app en de browser gaat dan vaak zelfs gewoon via internet."

Om even duidelijk te zijn, wat ik hier specifiek bedoel met end to end encryption is dat een bericht wordt versleuteld door de verzender (in dit geval WhatsApp Web) en alleen kan worden ontsleuteld door de ontvanger (WhatsApp op het device van de ontvanger). Maar wat er feitelijk gebeurt als je een bericht stuurt met WhatsApp Web, is dat het bericht wordt versleuteld door WhatsApp Web (in de browser) en (via Facebook) wordt verzonden naar jouw eigen mobiele device. Daar wordt de versleuteling eraf gehaald en het bericht opnieuw versleuteld en (via Facebook) naar de ontvanger gestuurd. Dus de versleutelde payload die jij verstuurt via WhatsApp web komt niet een op een over bij de ontvanger. Feitelijk is die encryptie dus niet meer end to end als WhatsApp Web een van de endpoints is. Zonder enige argumentatie of bewijs zeg jij dat dit 'niet klopt'.
je zegt dat er totaal geen TA mogelijk is wat niet klopt
Je hebt hier gelijk in. Er is wel "enige" traffic analysis mogelijk. Je kunt zien dat WhatsApp verbinding maakt met Facebook en daar data mee uitwisselt. Is dat wat je bedoelt? Wat ik namelijk bedoelde is dat je niet kunt zien wat er precies wordt uitgewisseld. Je kunt niet op basis van netwerk captures uitsluiten dat WhatsApp geen private keys of voor Facebook leesbare berichten stuurt naar Facebook servers.
je doet een aanname over de rapportage functie die niet klopt en verbindt daar conclusies aan die er niet thuishoren en daarnaast volstrekt irrelevant zijn
Wederom geef je geen onderbouwing, geen tegenargumenten en geen bewijs. Je kunt net zo goed "lekker nietus" zegggen.

Feit is dat er een methode in WhatsApp zit die berichten naar Facebook stuurt op een manier dat Facebook de berichten kan lezen. Feit is dat je die methode kunt aanroepen met de Report functie. *Aanname* is dat die methode alleen maar wordt aangeroepen met de Report functie. Je kunt dus niet uitsluiten dat WhatsApp ook op andere manieren berichten doorstuurt naar de Facebook servers.
je snapt het verschil blijkbaar of zogenaamd niet tussen een relay van encrypted berichten in de asynchrone setup en het constant permanent opslaan van plain-text accessible berichten;
Nee. Dat blijkt helemaal niet en ik weet het verschil heel goed. Feit is dat Facebook alle WhatsApp berichten opslaat op hun servers. Aanname is dat ze het na transmissie weer verwijderen.
Maar je wil dan net doen alsof ik de gek ben die maar wat aannames doet en uit z’n nek lult?
Nee hoor, dat wil ik absoluut niet. Ik heb niks tegen jou persoonlijk. Ik wil alleen voorkomen dat er aannames als feiten worden gepresenteerd. Facebook heeft een geschiedenis van leugens en bedrog. Het is naief om te geloven dat ze wel eerlijk zijn met hun WhatsApp dienst. Mensen hebben het recht om hun keuzes op feiten te kunnen baseren en daarom kom ik met tegenargumenten en -bewijzen op jouw aannames dat WhatsApp echt veilig zou zijn. Zolang er geen bewijs is dat WhatsApp veilig is, wat vooralsnog niet is gelukt, is WhatsApp niet veiliger dan bijvoorbeeld Telegram.
Ik hoop en neem aan dat je meer verstand van zaken hebt rondom blockchain technologie. ;)
Waarom hoop je dat en wat heeft blockchain hier mee te maken? Doel je op mijn gebruikersnaam? Dat was letterlijk het eerste wat er in mij is opgekomen toen ik een gebruikersnaam moest kiezen.
FTFY
Je moet begrijpen dat het advies voor Telegram niet voortkomt uit betere beveiliging (dan WhatsApp). Veiligheid zit hem namelijk niet alleen in de techniek, maar ook in de marktpositie en dominantie van Facebook. Hoe vaak ik niet hoor dat mensen zeggen dat ze niet zonder WhatsApp kunnen, want dan zouden ze niemand meer kunnen bereiken, geen nieuws meer krijgen en hun werk niet meer goed kunnen doen. En dat is naar mijn mening het echte gevaar. Mensen zijn afhankelijk en leunen op grote schaal op een zogenaamde gratis dienst die onderdeel is van het Facebook netwerk, waarbij (direct en indirect) manipulatie plaatsvindt van eigenlijk de hele wereldbevolking. Ik kan op persoonlijke titel alleen maar mijn best doen om mensen zoveel mogelijk iets anders te adviseren. Neem die stap en verwijder WhatsApp. Alle beetjes helpen. Sinds ik geen WhatsApp meer heb zijn er al tientallen mensen uit mijn directe contacten overgestapt op Signal en Telegram. Dit doorbreekt stukje bij beetje de macht en manipulatie van Facebook.

Conclusie: Voor mensen die privacy en veiligheid zoeken zou WhatsApp zo'n beetje het laatste moeten zijn om te gerbuiken. WhatsApp biedt louter schijnveiligheid, maar misbruikt dankzij hun marktpositie wel jouw contacten, berichten en andere metadata. Mocht je nog inhoudelijke vragen hebben over WhatsApp, netwerkarchitectuur, security of privacy dan stel ze gerust en leg ik het graag uit, dat mag natuurlijk ook altijd met een privebericht.
Maar in vergelijk met WhatsApp moet je beseffen dat Telegram dus evenveel zo niet meer (meta)data van je verzamelt en bewaart dan Facebook en daarnaast nauwelijks te controleren zijn vanwege het enorme rookscherm dat ze optrekken omtrent alles dat ze doen. Nee, dan is WhatsApp duidelijk veel en veel veiliger…
Rookschermen. Facebook kunnen controleren. Cambridge Analytica anyone?

Sorry, maar dit is echt wel héél kort door de bocht als je kijkt wat er de afgelopen paar jaar rondom Facebook heeft afgespeeld. Klopt, Facebook is qua bedrijf "in the open", maar de afgelopen paar jaar heeft toch wel héél duidelijk aangetoond dat dit echt geen rol speelt. Facebook verkoopt die data ook gewoon aan derde partijen en laat ze er ook maar mee doen wat ze willen. In mijn optiek op een andere wijze, maar geen haar beter.

Verder grote aanname over de "plain-text accessible storage" van Telegram. Misschien heb ik iets gemist, maar waaruit blijkt dat er geen enkele vorm van encryptie wordt toegepast op bijvoorbeeld een gebruikers volume met data? Wellicht is het bekend hoe het beheer van de encryptionkeys is ingericht binnen Telegram? Als we dat niet weten, is het dan per definitie slecht? Is roepen dat bigtech per definitie "veel en veeeeel veiliger is" niet ook een beetje eenzijdig en riskant? FB kunnen aanspreken als iets met jouw privacy niet in de haak is...? Denk je écht dat dit beter zal gaan dan Telegram aanspreken?

Ik denk vooral dat we moeten opletten om niet bevooroordeeld te kijken naar bedrijven in landen waar wij niet zo'n goed beeld of gevoel van hebben.

Volgens mij komt het uiteindelijk allemaal neer op: "als je niet wilt dat je betaalt met je gegevens, moet je betalen met geld (of je niet zo mee laten slepen in de idioterie van de grote massa)".
Het grootste probleem voor mij persoonlijk met Telegram is gewoon dat het niet secure by design is. Het is allemaal opt in. Waarbij hoe dan ook als de server in welke vorm dan ook gecomprimeerd is ze mee kunnen kijken bij alle groepsgesprekken en (bijna) alle privé gesprekken omdat E2E niet aan staat. Ongeacht hoe de servers zijn versleuteld. Daarnaast hebben we de vaagheid waarachter ze zich verschuilen met shell bedrijven etc, wat voor mij persoonlijk ook geen vertrouwen opwekt. Matrix (Element) heeft tegenwoordig E2E standaard aan staan (Al heeft Matrix in zichzelf ook problemen kwa beveiliging en security) en bij Signal hoef je de server niet eens te vertrouwen door het E2E protocol wat er is, dit is gecontroleerd en kun je ook zelf controleren of de build die jij draait op je telefoon gelijk is aan wat er op Github staat. Conclusie, op het gebied van security (let op niet privacy) is Whatsapp veiliger dan Telegram. Wanneer we het over privacy gaan hebben denk ik dat je toch echt bij Signal, Threema en een eigen Matrix terecht komt.
Conclusie, op het gebied van security (let op niet privacy) is Whatsapp veiliger dan Telegram.
Ik vind niet dat je dit zo kan stellen op basis van het feit of E2E beschikbaar is. Je weet namelijk niet wat er achter de schermen speelt bij deze partijen.

Pur-sec lijkt Whatsapp hier de betere partij, maar ook die hebben een poppetje of 1000 zitten aan moderators, die "improper messages" reviewen als die door gebruikers gemeldt worden. Als een gebruiker dat doet, gaan een aantal eerdere berichten ook mee in die melding. Dat lijkt toch wel een gat, want zo'n beslissing om die berichten terug op de lijn te zetten gebeurt door de ontvangende gebruiker, of de app zelf. Over die laatste heeft Whatsapp dan weer controle en dat lijkt ook lastig te detecteren omdat improper content meldingen zelf ook weer encrypted blijken te zijn, dus moeilijk te sniffen (want opzich weer goed is :+ ), alleen dit keer met Whatsapp zelf.

Meer hierover bijvoorbeeld hier: https://arstechnica.com/g...t-that-private-after-all/

Persoonlijk zou ik dus geen conclusie durven trekken wat qua security beter is. Over het algemeen heb ik ook wel de awareness om geen dingen te delen op zo'n platform dat ik niet in een druk winkelcentrum zou willen/durven bespreken. Qua privacy echter heb ik mijn gegevens sowieso liever niet bij bigtech (al is dat soms heel lastig/onmogelijk).
Ik vind niet dat je dit zo kan stellen op basis van het feit of E2E beschikbaar is. Je weet namelijk niet wat er achter de schermen speelt bij deze partijen.
Maar wanneer er door verschillende bekende partijen is gecontroleerd of de encryptie die client side gebeurd te vertrouwen is. Dan hoef je de server niet te vertrouwen. Signal is letterlijk de ontwikkelaar van het protocol wat Whatsapp gebruikt. Daarbij is zichtbaar bij Signal wat er wordt opgeslagen, omdat er version releases van de server zijn, hierbij moet je de test bedrijven dan wel vertrouwen, want zij zien wat er in productie gedraaid wordt. Je basis regel om niks te delen wat je ook niet in een winkelcentrum zou zeggen is natuurlijk altijd een goede regel.
[...]Signal is letterlijk de ontwikkelaar van het protocol wat Whatsapp gebruikt. Daarbij is zichtbaar bij Signal wat er wordt opgeslagen, omdat er version releases van de server zijn, hierbij moet je de test bedrijven dan wel vertrouwen, want zij zien wat er in productie gedraaid wordt.
Dat het bij Signal goed zit geloof ik eerder, dan dat Facebook dit protocol 1:1 zou overnemen zonder ergens wat modificaties/toevoegingen te maken voordat het in gebruik wordt genomen.

Overigens is het makkelijker om onderzoekers te vertrouwen, omdat die een ander belang hebben dan de onderzochte partij.
Klopt, het probleem is alleen dat dit bij FB na te trekken valt en Telegram dit extreem lastig maakt door allerlei shells op te richten in vage landjes die eigenaar van elkaar zijn, steeds opgeheven worden en weer vervangen voor een nieuwe in een ander land, etc.
Verder grote aanname over de "plain-text accessible storage" van Telegram.
Dat is totaal geen aanname, dat is letterlijk hoe het wordt geadverteerd (als je de enorme stortvloed aan PR-shit negeert tenminste en gewoon leest wat er technisch staat.). Telegram bewaart de data en de keys, dus is het plain-text accessible. Als je de claim wilt verifiëren hoef je enkel maar op hun website te kijken en de technische documentaties te lezen. :P Maar daarnaast is er natuurlijk ook het feit dat als jij inlogt op je account op een nieuw device dat meteen je complete geschiedenis terugkomt inclusief alle bijlagen/media zonder dat je daar iets voor hoeft te doen of te koppelen. Dat kan niet als de data niet plain-text accessible is voor de server, daar het account wachtwoord niet de key is. ;) Ergo, nee dit is echt alles behalve een aanname. :P

Trouwens, we hebben dat wel eens voorgesteld. Even heel basaal: Telegram zou dit wel kunnen doen, de data versleutelen in de cloud met een user-defined key of op basis van het wachtwoord een key versleutelen. Dan kan Telegram er niet bij, is het tóch in de cloud (dus convenient), etc. Win-win. Nooit een reactie op gekregen, helaas.
Misschien heb ik iets gemist, maar waaruit blijkt dat er geen enkele vorm van encryptie wordt toegepast op bijvoorbeeld een gebruikers volume met data?
Dat blijkt nergens uit en dat is ook absoluut niet wat ik zeg. Ik zeg niet dat het plain-text wordt opgeslagen, ik zeg dat het plain-text accessible wordt opgeslagen - wat echt een wereld van verschil is. De at-rest versleuteling die toegepast wordt beschermt je niet tegen Telegram zelf noch tegen een aanvaller die de infrastructuur weet te compromitteren. Het beschermt wel tegen lokale technici die toegang tot de hardware of één server weten te krijgen.
Is roepen dat bigtech per definitie "veel en veeeeel veiliger is" niet ook een beetje eenzijdig en riskant?
Lijkt me wel eenzijdig en riskant ja, vandaar dat je mij dat ook niet hebt horen zeggen. :)
FB kunnen aanspreken als iets met jouw privacy niet in de haak is...? Denk je écht dat dit beter zal gaan dan Telegram aanspreken?
Ik moest hier even over nadenken. Maar: ja, ik denk het uiteindelijk wel eigenlijk. Waar ik bij FB nog tegen de AP of Amerikaanse DPA-equivalenten kan klagen of ze als consument vrij makkelijk kan aanklagen, moet ik dat bij Telegram zien te doen in Panama, Belize of de Britse Maagdeneilanden. Dat… gaat hem realistisch gezien gewoon echt niet worden. :P Telegram heeft overigens wel een Amerikaanse entiteit, maar die lijkt op papier geen enkele zeggenschap te hebben en louter voor appdistributie te gelden.
Ik denk vooral dat we moeten opletten om niet bevooroordeeld te kijken naar bedrijven in landen waar wij niet zo'n goed beeld of gevoel van hebben.
Zeker. De origine van Telegram op landniveau bekeken zal mij dan ook een rotzorg zijn, evenmin als dat het me geen hol boeit waar de oprichter vandaan komt, maar ik ga natuurlijk niet negeren dat de hele bedrijfsstructuur is ingericht als een schimmig geld witwas bedrijfje. Met de beste wil van de wereld kun je daar de alarmbelletjes niet zomaar van negeren. Misschien als dat het enige probleem was, maar dat is het helaas niet - en dan gaat het toch echt meetellen in het optelsommetje waarom Telegram een onbetrouwbare en in de basis niet privacy vriendelijke dienst is. :)
Ik zeg niet dat het plain-text wordt opgeslagen, ik zeg dat het plain-text accessible wordt opgeslagen
Nee, je had het over "plain text accessible storage". Wat je daar dan denk ik bedoelde is: "plain text accessible data" .

Overigens vind ik Facebook minstens zoveel "alarmbelletjes" hebben. Op nog veel grotere schaal zelfs. De schaal van "Senate hearings" zegmaar.

Ik vermoed dat jij, als individu, nog geen deuk in een pakje boter slaat, als jij "iets niet ok vindt" . Een heel legertje (gespecialiseerde) advocaten staat je namelijk op te wachten en dat is ook exact een van de grote problemen van bigtech. Overheden hebben namelijk altijd gedacht dat zij (de overheid) wel de overhand zou houden. Dat is al een paar keer bewezen niet het geval te zijn.

Ik vind Telegram in de basis overigens ook geen privacy vriendelijke dienst. Whatsapp evenmin. Ik vind wel dat het vergelijken van de twee, of zelfs de ene beter noemen dan de ander, jezelf op heel, heeel glad ijs begeven is.
Maar met het belangrijke verschil dat Facebook/WhatsApp openlijk je data verkoopt. Misschien niet de inhoud van de berichten, maar alle metadata (wie praat me wie, hoe vaak, hoe lang, wie kent wie, wie zit met wie in groepen) gaat gewoon naar de hoogste bieder.

Terwijl Telegram openlijk aangeeft niets te doen met dergelijke informatie
In the end omdat het niet standaard E2E is moet je ze alsnog op hun woord geloven. Bij Signal kun je zien wat ze aan de overheid geven, en wat ze hebben, naast dat je in de code kunt kijken: https://signal.org/bigbrother/
Signal is een Amerikaans bedrijf. Geloof je echt dat ze alles (mogen) laten zien? Iets met sealed court records, privacy act, patriot act. Zoveel loopholes.
Nee, maar ze vragen wel om het openbaar te maken. En ze laten het publiekelijk zien. Het is trouwens een non-profit stichting.

Daarbij kun je zien wat ze opslaan. Dus je kunt ook zien wat ze eventueel kunnen delen. Je hoeft ze niet te vertrouwen dat is het mooie aan privacy by design.
Anoniem: 734539
@david-v10 december 2021 02:04
Geen idee of dit inmiddels gefikst is (vermoedelijk niet), maar simpelweg over kopiëren van iemands browser profielfolder waarin Whatsapp Web ingelogd stond, kon ik zo gebruiken als nieuw profiel op mijn eigen computer. Dit heb ik samen met de collega (van wie het Whatsapp account was) uitgeprobeerd enkele jaren terug.

Zijn Whatsapp Web sessie bleef gewoon actief staan waarbij ik alle berichten, media etc. kon inzien en ook berichten kon versturen naar zijn contacten, ook al had hij de PC waar de sessie op was ingezet compleet afgesloten. Daarnaast werkte deze sessie op beide PC's, terwijl je binnen Whatsapp geen melding ontving dat er een andere PC was ingelogd of dat deze uit veiligheid automatisch de sessie afsloot. Berichten van zowel de collega zelf als diens contacten kwamen in beeld, ik kon als 3e persoon ook gewoon tegelijkertijd berichten versturen.

Mensen met volledige admin rechten zoals IT-medewerkers kunnen zo deze data van je PC af plukken. Nu zal je in een bedrijf van een paar duizend man, rustig een honderdtal hebben die Whatsapp Web op een werk computer gebruiken buiten een privénavigatievenster om.

Wat ook mooi is, heb dit zojuist getest: Is het overhevelen van Whatsapp + Data via bijvoorbeeld OAndBackupX van telefoon #1 naar telefoon #2, waarbij het initiële gesprek zichtbaar blijft maar als jij vervolgens berichten verstuurt vanaf #2 naar een contact toe komt dit niet in beeld bij telefoon #1 en ook het antwoord dat je ontvangt komt niet op #1 binnen, pas toen ik de applicatie geforceerd afsloot kwamen berichten weer binnen op #1.

Nu zal dit zeer wisselvallig werken, dus echt volledige gesprekken inzien zal niet lukken, daarnaast is het ook geen garantie dat je ALLE berichten zal kunnen onderscheppen, maar een boosdoener kan rustig haatberichten versturen naar anderen via jouw Whatsapp-account zonder dat maar iets terechtkomt in jouw chatgeschiedenis op telefoon #1. Als je telefoon vatbaar is voor een remote-exploit, is het overzetten van deze userdata naar een ander apparaat binnen enkele minuten verricht, daarbij bestaat ook de mogelijkheid als iemand je telefoon in handen krijgt deze dit kan overzetten naar bijvoorbeeld een SD-kaart o.i.d.

Als iemand echt toegang wilt hebben tot je gegevens dan valt er toch wel een manier voor te vinden, de enige 'veilige' manier om berichten onderling te versturen is door deze direct te laten self-destructen na inzage.
“Als je een PC gebruikt waar een ander/IT-team rechten op heeft”, “als iemand je pincode weet”, “als iemand op een manier toegang krijgt tot je device”.

Ja so what’s new? Als iemand toegang tot je apparaat heeft maakt de beveiliging tussen twee endpoints geen reet meer uit nee, maar dat zegt niets over de veiligheid van het gebruikte protocol en de servers. :P Maw: je punt is dat als mensen toegang hebben tot je apparaat, niets meer veilig is. Dat klopt, maar dat heeft helemaal niets te maken met onveiligheid op de server van een dienst waar david het over heeft en het daar kunnen aftappen en inzien van volledige historie incl bijlages… En daar heb jij geen controle over. Als ik iemand toegang geef tot mijn device of iemand hackt z’n weg naar binnen en heeft toegang tot alles, dan wil dat niet zeggen dat de app die ik gebruikte en waar ze de data gan hebben gejat onveilig is/was.

[Reactie gewijzigd door WhatsappHack op 10 december 2021 04:37]

Ik vind 't toch wel opvallend dat WhatsApp blijkbaar niet opmerkt dat er 2 clients 1 client ID/E2EE key delen.

Dat maakt iemand z'n WhatsApp aftappen toch wel erg makkelijk als je bijvoorbeeld een stukje malware via email weet te installeren op iemand z'n PC
Anoniem: 734539
@Tozz10 december 2021 10:23
Geen idee of dit op dit moment nog speelt, heb geen tweede telefoonnummer om te testen maar je zou het met een familielid bijvoorbeeld kunnen testen door deze te laten inloggen op een browser met Web Whatsapp. Hierna de profile-folder of gehele folder van de browser binnen appdata over te kopiëren naar een andere PC en het proberen te openen daarop. Kan zijn dat dit inmiddels gefikst is.

Maar dat was inderdaad een behoorlijke misser, dat twee PC's met verschillende identifiers en verschillende netwerken op dezelfde sessie actief kon zijn. Dit was namelijk een laptop die netwerk had via een 4G-simkaart.
Krijg je niet de popup, deze messenger is al in gebruik ergens anders. Al zal dat bij deze nieuwe beta natuurlijk anders werken.
Als iemand toegang tot je apparaat heeft maakt de beveiliging tussen twee endpoints geen reet meer uit nee
Mijn post was dan ook meer om te benadrukken dat men zich 100% veilig waant met E2E encryption terwijl het apparaat waarop je Whatsapp of Whatsapp Web gebruikt de entrypoint kan zijn voor een inbraak. Dit d.m.v. exploits of anderzijds social engineering.

Het Android-besturingssysteem heeft relatief veel vulnerabilities die misbruikt kunnen worden, hiernaast worden mensen gefopt met nep-apps via bijvoorbeeld SMS zoals hieronder te zien valt of via malafide apps op de Playstore.
https://www.rtlnieuws.nl/...ienduizenden-nederlanders

Het protocol dat gebruikt wordt is veilig of in Telegram's geval onveilig/onbekend, maar los van de veiligheid van de protocollen van beide apps, als iemand de data wilt hebben zijn er talloze mogelijkheden voor.
Oh niets is 100% veilig, daar zijn we het zeker helemaal over eens. :) Ging mij er enkel om dat het er op leek dat je wilde suggereren dat dingen die je kan doen met fysieke toegang op de een of andere manier iets zeggen over de veiligheid van de app of het protocol zelf; en dat klopt natuurlijk niet en zou een oneerlijke vergelijking zijn.
Het enige wat er tussen iemand zijn chat history en een hacker zit is een 5 cijferige code die je via SMS kan ontvangen
Zo 'veilig' zijn je chats op telegram
Heel telegram is schijnveiligheid, want chats worden nog steeds niet standaard encrypt. Echter doordat je het wel aan 'kunt' zetten, staat er overal dat het encrypted is.

Ik blijf het wat dat betreft bijzonder vinden dat mensen de voorkeur hebben voor Telegram i.p.v. Signal. Wel zonde, want ze hadden dan best wel eens de grootste concurrent kunnen worden.
Het is nog erger. Zelfs voor de standaard chats zegt men misleidend dat het “encrypted messaging” is, want “er is client-server encryptie en de data wordt at-rest versleuteld opgeslagen”. :+ En doen dan net alsof ze niet dondersgoed weten dat het om end-to-end encryptie gaat als men spreekt van encrypted messsging. Die at-rest encryptie is enkel fijn voor een doel: als men de schijven van één server jat, bijvoorbeeld door een lokale technician, dan is de data op die schijven waardeloos. That’s it. Het beschermt je niet tegen Telegram zelf noch tegen hackers als die de (key)servers binnen weten te dringen… Dan is het geen versleutelde data meer, maar gewoon plain-text.

Alle data op de Telegram servers is plain-text accessible, zo simpel is het. De rookgordijnen en leuke praatjes over in-transit en at-rest versleuteling veranderen daar helemaal niets aan.

[Reactie gewijzigd door WhatsappHack op 10 december 2021 04:48]

Het blijft me dan ook steeds verbazen dat er hier Tweakers zijn die Telegram kiezen boven Signal.

Mijn oren stonden laatst zelfs te klapperen dat een aantal mensen van de redactie van Tweakers (tijdens een podcast) ook aangaven Telegram te gebruiken 'omdat de stickers zo leuk zijn'

Ik verbaas mij sowieso wel vaker tijdens de podcasts dat de redactie niet enorm privacy bewust bezig zijn. Dit is echter een gevoel wat zij op mij overbrengen tijdens de podcasts. Ik kan er natuurlijk naast zitten.
Tja, ik heb het hier al eerder genoemd, het is echt een keuze die je als gebruiker maakt. Wat die stikkers betreft, ik heb voor Signal mijn eigen VR stickers gemaakt. Het was wel even een werk, maar uiteindelijk heel leuk om te gebruiken. Maar zoals gezegd, privacy en security gaat vaak ten koste van gemak en functionaliteit, dat is nou eenmaal het gegeven. Het gros kiest voor gemak en functionaliteit. Wat mij een beetje tegenstaat is dat men weggaat bij whatsapp om de privacy om vervolgens bij telegram verder te gaan. Dat argument slaat natuurlijk nergens op. Hopelijk beseffen mensen die telegram gebruiken dat wel.
Maar je mist toch niks op Signal t.o.v. Whatsapp. Sterker nog Signal heeft veel meer functionaliteit dan Whatsapp en gaat beter om met privacy. Daarom snap ik er echt werkelijk niks van dat mensen zo vast houden aan Whatsapp.

En ja, "iedereen zit op Whatsapp" kennen er nu wel. Maak zelf in ieder geval de start bereikbaar te zijn op Signal. De rest komt vanzelf :)

Ik ben het overigens volledig met je eens wat betreft Telegram en dat mensen vanwege privacy overstappen naar dit platform. Werkelijk onbegrijpelijk!
De enige reden die ik om me heen hoor om bij whatsapp te blijven is inderdaad "iedereen zit erop". Nou ja, iedereen, ik ben al bijna een jaar whatsapp free. Ik mis dan ook werkelijk niks. En via sms één op één gaat prima. Geen security via SMS, maar dat weet je als gebruiker.

Toch zie ik wel veel mensen die alternatieven naast Whatsapp installeren en dat doet me goed. Dat is al een begin om van de monopolie van Meta/Facebook/whatsapp af te komen, want het is echt een wurgmonopolie aan het worden. Het bewijs is de laatste aanpasingen van whatsapp met privacy. Je gaat ermee akkoord of niet. Geen keuze. Dat krijg je met miljarden gebruikers wereldwijd
Zelfs voor de standaard chats zegt men misleidend dat het “encrypted messaging” is, want “er is client-server encryptie en de data wordt at-rest versleuteld opgeslagen”.
In die zin is een goed ingestelde email client ook encrypted messaging :P
Haha ja precies, sterker nog: gewoon gmail in je browser al. HTTPS dus client-server versleutelt en Google past at-rest encryptie toe. :+
Ik blijf het wat dat betreft bijzonder vinden dat mensen de voorkeur hebben voor Telegram i.p.v. Signal.
Heel simpel, de sociale kring zit niet op Signal.
Geen zin in verschillende messaging apps.

Als je kijkt naar maandelijks actieve gebruikers:
  • Whatsapp: ~2.000 miljoen (2 miljard)
  • Telegram: ~500 miljoen (= 25% van Whatsapp)
  • Signal: ~100 miljoen (= 20% van telegram, 5% van whatsapp)
Cijfers van medio 2021 afkomstig van Statista en Similarweb.
Wederom zoals echt al veel veel vaker aangegeven door anderen (en mij) Als JIJ nou eens start met Signal te gebruiken....

Waarom heb ik al mijn vrienden en kennissen (meer dan 50 man) over naar Signal? Je kunt zelf beginnen met het verschil maken. Wij gebruiken het al meer dan een jaar met elkaar en een aantal van hun zijn net als ik ook volledig over naar Signal. Het blijft een kip/ei verhaal. Als jij Signal niet installeert "omdat er niemand op zit" dan gaat er ook nooit iets gebeuren ;)

Overigens de reden dat Telegram meer gebruikers heeft is ook omdat het een totaal ander platform is (met bots en kanalen) het is dus echt appels met peren vergelijken.
Maar nog steeds geen encryptie als standaard terwijl drommen mensen lijken te denken dat ze zich daar juist mee onderscheiden.
De reden is dat de chat gesprekken in de cloud zijn opgeslagen. Daardoor kun je ook zonder dat je telefoon aan is door je hele geschiedenis heen.
Maar wat is hier anders aan dan email? Via mail sturen de meeste mensen gevoeligere informatie zelfs als je wachtwoord resets komen daar binnen. Dan zou ik dat liever meer beveiligd hebben dan mijn telegram gesprekken.
E-mail staat niet bepaald bekend om encryptie, veiligheid en privacy. Een wachtwoord reset is iets wat maar heel tijdelijk is. Je krijgt een tijdelijk ww om in te kunnen loggen en direct weer een nieuw wachtwoord aan te maken (tenminste ik hoop dat mensen wel slim genoeg zijn om dat te doen). Meestal krijgt je geen tijdelijk wachtwoord in je mail maar een link die zeer beperkt geldig is zodat je je nieuwe wachtwoord kan instellen. Dat laatste is dan beter omdat mensen dat niet dat geresette wachtwoord kunnen blijven gebruiken.
Waarom maakt een vergelijking met email (wat een oud en relatief krakkemikkig systeem is naar moderne standaarden) het gebrek aan versleuteling goed?
Omdat er perceptie anders is. Van Telegram vinden sommigen het een mega probleem dat het blijkbaar onvoldoende versleuteld is, maar bij e-mail, waar veel vaker gevoelige data over gaat, lijkt niemand zich daar aan te storen.
...lijkt niemand zich daar aan te storen.
Dat is nogal een aanname. Je moet dit natuurlijk niet aan de standaard e-mailgebruiker vragen maar ik denk dat veel systeembeheerders dit heel graag anders zouden willen zien. Het probleem is dat SMTP zo'n enorm ingeburgerd protocol is dat je het niet zomaar aan kunt passen. En zelfs als je het aan kunt passen is het nog maar de vraag of je een voldoende veilig protocol kunt bedenken wat dezelfde functionaliteit heeft als e-mail. Bovendien moet dat nieuwe protocol dan ook nog heel wat jaren backwards compatible zijn met het huidige SMTP protocol om een soepele overgang te garanderen. Kortom, er zitten nogal wat haken en ogen aan.
Waarom zou een systeembeheerder het anders willen zien? Wat heeft een systeembeheerder er aan als de e-mail van Pietje encrypted op disk staat?

Als systeembeheerder vind ik het juist heerlijk. Als een gebruiker klaagt over een overactief spamfilter dan kan ik gewoon de mail (na toestemming) openen om de headers te lezen wat het spamfilter er mis mee vind. Een stuk makkelijker dan de gebruiker moeten vragen de headers op te zoeken, wat zeker in Outlook per versie op een andere manier moet.
Ah ja, het gemak van de systeembeheerder. Dat heeft al voor heel wat beveiligingslekken gezorgd. 8)7
Systeembeheerders en IT-ers storen zich eraan idd. Gebruikers totaal niet, die hebben echt geen idee dat het niet veilig is.
Telegram geeft via een appversie 8.3 groep- of kanaalbeheerders de optie om het doorsturen, opslaan of screenshotten van berichten in groepsgesprekken te verhinderen.
Maar dat garandeert natuurlijk niet dat gespreksdeelnemers dat ook echt niet via andere wegen doen.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee