Om heel kort op jouw bericht te reageren. Download en installeer de WhatsApp apk voor Android en alles wat je krijgt is een binary blob, wat hij precies doet kun je niet controleren.
Dat kan wel. Althans, tot op zeer grote hoogte.
Er is geen broncode beschikbaar die je zelf kunt controleren of compileren.
Er wordt geen broncode open gepubliceerd door WhatsApp, dat is een ander verhaal. De broncode krijgen van de ontwikkelaar is een luxe, maar geen vereiste in een onderzoek naar het gedrag van een applicatie.

Kijk eens met Wireshark naar het verkeer wat WhatsApp ontvangt en stuurt naar de servers en je ziet alleen maar encrypted verkeer van en naar de WhatsApp servers. Je kunt dit niet lezen of decrypten en je kunt dus ook niet controleren wat er naar de servers van Facebook wordt verzonden.
Er is wel traffic analysis mogelijk.
End-to-end encryption is leuk, absoluut. Maar wat is in dit geval een endpoint? Juist, dat is de gesloten en niet controleerbare WhatsApp binary die de berichten kan lezen, scannen, indexeren of doorsturen. Geloof je het niet? Als je in een groep een bericht markeert als ongepast dan wordt dat bericht vervolgens gelezen door een van de 1000 zogenaamde WhatsApp moderators.
Uhm... wut? Je springt van de hak op de tak. Wat moet ik precies wel of niet geloven en wat heeft die netjes gedocumenteerde rapport-functie in vredesnaam met de beveiliging te maken of hoe bewijst dit... uh... ja waar moet het nou eigenlijk bewijs voor zijn? Is het bewijs voor de "
niet controleerbare WhatsApp binary die de berichten kan lezen, scannen, indexeren of doorsturen", ofzo? En... Hoe dan precies? En wat moet ik nou wel of niet precies geloven...?

Wat heeft die functie überhaupt met de veiligheid van de app, het protocol of end-to-end encryptie te maken? Die hele zin slaat nergens op. Maar goed, ik geloof dat je op een hele vage manier probeert te suggereren dat die rapport functie op de een of andere manier iets slechts, onveiligs of onvoorspelbaars is dat de app (aldanniet in het geheim) doet en dat dit een breuk in de encryptie/veiligheid van de app zou zijn ofzo...? Welnu, dan kan ik je van dat waanidee afhelpen:
Als je een bericht rapporteert als ongepast, dan stuur *jij* een kopie naar de moderators toe. *Jij* besluit dus actief om dit bericht te delen met de moderators. (Ironisch wordt dat ook end-to-end encrypt overigens.

) Dit doet dus helemaal niets af aan de end-to-end encryptie in het protocol, noch zegt het iets over opslag of enig “nefarious” gedrag van de app. Dit wordt overigens ook gewoon helder uitgelegd door WhatsApp zelf.
Even jouw redenatie volgend: als ik dus een screenshot maak van een gesprek en ik stuur dit aan een moderator team, of naar jou door of ik post dit op mijn Twitter account (as if), dan betekent dat volgens jou dus dat de end to end encryptie in WhatsApp niet werkt, lek is of Twitter een backdoor in WhatsApp heeft…? Of nog anders zelfs: als ik binnen WhatsApp een bericht doorstuur van gesprek A naar gesprek B dan is volgens jouw redenatie de end-to-end encryptie in gesprek A opeens gebroken of moet zo beschouwd worden?
With all due respect, dat slaat echt nergens op.

Aan je reacties te zien heb je volgens mij niet heel veel kennis van deze materie: althans, in ieder geval niet van WhatsApp en diens protocol/functies, maar ook niet perse van beveiligingsonderzoeken… Klopt dat? Kreeg zowat het gevoel: nog even en hij begint claims te maken over hoe de Smart Blockchain de oplossing is voor alle cybersecurity uitdagingen. :’)
Je hebt zo te zien eens wat dingetjes gelezen en wat tooltjes bekeken, zoals Wireshark, maar daar is het bij gebleven. Dat geeft natuurlijk helemaal niets, maar waarom stel je dan geen vragen ipv onwaarheden of onvolledige info te presenteren als feit?

Ik beantwoord ze graag hoor, ken de app en diens protocol namelijk van binnen naar buiten… (Ik heb over de jaren heen zelfs verbeteringen voorgesteld die daadwerkelijk geïmplementeerd zijn en vandaag de dag nog altijd in gebruik zijn.

)
Over het opslaan van berichten op de servers van WhatsApp. Dit gebeurt.
Neen, dat gebeurt dus helemaal niet binnen de context waar we het over hadden: opslag voor onbepaalde tijd van plain-text accessible data.
Alle berichten die via WhatsApp worden verzonden worden opgeslagen op de servers van WhatsApp. Dit kun je zelf testen.
*knip*
Ja, dag.

Ik heb dit toegelicht, ik heb dit onderdeel van het protocol notabene benoemd in m’n vorige reactie (al heb je dat kennelijk niet door.) en je rukt het daarnaast uit de context waar we het over hadden. We hadden het in de context van “opslaan van berichten” niet over relay/mere-conduit van asynchrone en daarnaast versleutelde data, maar over het voor onbepaalde tijd opslaan van plain-text toegankelijke inhoud van berichten en bijlagen; en ik begin nu toch wel te twijfelen of je dat écht niet weet (of nu alweer vergeten bent...) of doelbewust zit te trollen door te doen alsof je dat niet weet.

In mijn post staat deze context uitvoerig beschreven en dit is waar we het vanaf het begin over hadden. Of je leest niet, of je zit nu gewoon aan te klooien.
Maar het is wel allemaal gebaseerd op aannames en vertrouwen.
Neen dat is het niet en ik vertrouw Facebook/Meta al helemaal niet.

Alles dat ik heb gezegd en uitgelegd is gebaseerd op kennis van de materie, vele onderzoeken van mij en collega onderzoekers en gewoon een goed onderbouwd verhaal dat gebaseerd is op ofwel de feiten of uitvoerig onderbouwde verbonden conclusies aan de observaties van mij, collega onderzoekers en vooraanstaande beveiligingsexperts. En ja, uiteraard natuurlijk soms ook wat grondig overwogen aannames (na exclusie)/theorie omdat niet altijd alles 100% zeker kan zijn of te testen valt. Je kan dat proberen te downplayen en net doen alsof ik niet zorgvuldig te werk ga of niet weet waar ik over praat, maar dat is simpelweg incorrect. Overigens hou ik netjes slagen om de arm.
Ik weet trouwens niet of je ‘t écht niet door hebt, maar je bent zelf de gene die allerlei aannames doet en simpelweg door fout begrip van hoe de app werkt en hoe beveiligingsonderzoeken werken allerlei aannames en conclusies presenteert als feiten.

Even een kleine lijst: je doet een aanname over Web die niet klopt, je doet een aanname over de builds en bronnen die niet klopt, je zegt dat er totaal geen TA mogelijk is wat niet klopt, je doet een aanname over de rapportage functie die niet klopt en verbindt daar conclusies aan die er niet thuishoren en daarnaast volstrekt irrelevant zijn, je snapt het verschil blijkbaar of zogenaamd niet tussen een relay van encrypted berichten in de asynchrone setup en het constant permanent opslaan van plain-text accessible berichten; en dit is slechts een greep uit de selectie. Maar je wil dan net doen alsof ik de gek ben die maar wat aannames doet en uit z’n nek lult?

Kom op.

Ik kan het vertrouwen in je vermeende eigen kennis van zaken waarderen, maar dat vertrouwen is, met alle respect, hier wel misplaatst.

Ik hoop en neem aan dat je meer verstand van zaken hebt rondom blockchain technologie.

Ik zou dan ook iedereen willen adviseren om WhatsApp zo snel mogelijk te verwijderen en Telegram en Signal te gaan gebruiken.
FTFY.
Telegram zou niemand moeten gebruiken die ook maar enige vorm van privacy en veiligheid wil en afgaande op deze discussie ben ik er, met alle respect, niet helemaal van overtuigd dat je gekwalificeerd bent om hier advies over te geven in die context.

Uiteraard mag je Telegram wel een fijne client vinden e.d.; maar dat is een ander verhaal en over smaak valt niet te twisten.
Ik denk dat ik het hier maar bij laat, want we gaan er denk ik niet uitkomen en het is een wat vermoeiende discussie op deze manier. Mocht je echter nog *vragen* hebben (dus geen foutieve statements gepresenteerd als feit) over iets waar je je zorgen om maakt in WhatsApp of ook van denkt/voor jezelf tot de conclusie was gekomen dat het iets heel ergs of onveiligs is (terwijl dat hoogstwaarschijnlijk niet zo is

), stel ze dan gerust; dan leg ik het graag uit. Geen probleem.
TL;DR: wat je schrijft klopt niet. Mensen die privacy en veiligheid zoeken kunnen nog beter bij WhatsApp blijven dan naar Telegram te verhuizen gezien Telegram een stuk risicovoller is, maar kunnen het allerbeste beiden ver links laten liggen en naar een daadwerkelijk veilige dienst zoals Signal gaan.
[Reactie gewijzigd door WhatsappHack op 25 juli 2024 17:58]