Facebook test standaard ingeschakelde end-to-endencryptie 'bij sommigen'

Facebook is begonnen met het testen van standaard ingeschakelde end-to-endencryptie op Facebook Messenger. De chatdienst bood de functionaliteit al wel, maar dit moet nu nog handmatig worden ingeschakeld.

Facebook zegt deze week te beginnen met de test en dat 'sommige mensen' daar automatisch deel aan nemen. Indien een gebruiker geselecteerd wordt voor de test, dan wordt 'een deel van de frequentste chats automatisch end-to-end versleuteld'. Berichten die vanaf dat moment in die chats verstuurd worden, zullen standaard van encryptie voorzien zijn.

Het is onduidelijk of de chat ook bij de ontvanger versleuteld wordt; dan zou de andere correspondent ook bij de test betrokken moeten worden, in ieder geval voor wat betreft dat specifieke gesprek. Het is in ieder geval aannemelijk dat het transport van het bericht en de opslag bij de testdeelnemer versleuteld geschieden.

WhatsApp, ook van moederbedrijf Meta, heeft al sinds 2014 end-to-endencryptie die standaard ingeschakeld is. Eind vorig jaar gaf Meta commentaar over waarom andere producten, zoals Instagram en Facebook Messenger, daarin achterbleven. De motivatie was indertijd een vrees dat misbruik minder goed gedetecteerd zou kunnen worden als gesprekken versleuteld zouden zijn. Wat Meta met die zorg doet, meldt het niet, maar het begin van standaard end-to-endencryptie is er nu in ieder geval.

Het nieuws volgt zeer kort op een spraakmakende kwestie in de Verenigde Staten: Facebook gaf gehoor aan een gerechtelijk bevel om chatlogs van gesprekken tussen een moeder en dochter te overhandigen aan de politie. In die gesprekken bespraken de twee de abortus die de dochter thuis zou hebben gepleegd, met medicatie. De opt-invariant van de versleuteling voor Messenger bestaat sinds 2016, maar deze moeder en dochter hebben die dus schijnbaar niet gebruikt.

Facebook zegt verder tests uit te voeren met andere Messenger-zaken. Zo zullen verwijderde berichten gesynchroniseerd worden op alle verbonden apparaten, komt er een unsend-functie voor berichten en krijgen meer gebruikers de mogelijkheid tot een opt-in voor versleuteling op Instagrams berichtendienst.

Door Mark Hendrikman

Redacteur

11-08-2022 • 17:04

35 Linkedin

Reacties (35)

Wijzig sortering
wel leuk een aardig, maar precies op het verkeerde moment.
https://twitter.com/mothe...&t=eKBN-AhsVnl4gCyeEEwbPA

''NEW: We've obtained court documents that show Facebook gave police a Nebraska teenager’s private chats about her abortion, then used those chats to seize her phone and computer.''
Vanuit de PR-afdeling is dit dan denk ik juist gekozen als hét perfecte moment. Probleem is dat Facebook gedwongen is om die gesprekken af te staan als de overheid daarom vraagt. Dat is evengoed ook zo hier in Nederland. Nu kunnen ze dus zeggen "maar om het hiervoor te gebruiken gaat ons wel zó'n stap te ver, dat we versneld E2EE uit gaan rollen om onze gebruikers te beschermen". Dat geeft dan weer de indruk dat Facebook écht wel om je privacy en veiligheid geeft and so on and on en blabla.

Ik snap in dit geval overigens dat het helemaal als verrassing komt. Die moeder en dochter bespraken iets dat tot zeer recent nog volledig legaal was... Moet je nu zien. Echt zo'n situatie waarin "you can trust your government now, but you never know about tomorrow" uitkomt. ;(

Ik vind trouwens ook niet dat je Facebook hier echt scheef op kan aankijken. Die wet is knettergek en Facebook mag zo'n subpoena om gesprekken waar ze toegang tot hebben te overhandigen niet negeren. Hetzelfde kan gebeuren bij je ISP, je mailprovider (maakt niet uit welke, zelfs als je bij onbekende hoster A zit) en ga zo maar door. Vooral Mail is ook rampzalig omdat echt bijna niemand gebruik maakt van S/MIME of zelfs PGP. En ja, dat mensen dan ook onveilige diensten als SMS (heel groot in de VS; nog altijd), Facebook Messenger, Skype, Telegram, Discord, etc. gebruiken voor hun (gevoelige) privégesprekken maakt het er niet beter op.

Dit is eigenlijk een van de redenen dat privacy advocates al jarenlang roepen dat het continu weggeven en centraal opslaan van al je data inclusief privégesprekken simpelweg een slecht plan is. Niet omdat privacy iets is om "iets illegaals te verbergen" of "geniepig" te zijn wat veel mensen je vaak proberen aan te lullen. ("Heb je iets te verbergen dannnnn? Wat kan het daglicht niet verdragen??" Joh, het gaat je al niets aan wat ik vanmiddag voor lunch gegeten heb!) Nee, het gaat niemand en zeker die bedrijven niet eigenlijk ene hol aan - en tja: als de wetgeving dan ook nog eens radicaal veranderd krijg je dit soort situaties.

Long story short: als je het nog niet doet (algemeen gesproken hé, niet perse aan jou gericht juliank ;)), begin dan vandaag met het beschermen van je online privacy en veiligheid. Een mooi begin is om de onveilige diensten zoals dus FB Messenger, Telegram, SMS, maar eigenlijk ook WhatsApp i.v.m. de metadata verzameling (al is de CONTENT van je gesprek in ieder geval versleutelt, dat scheelt.) etc. links te laten liggen voor privégesprekken en over te stappen naar een veilige messenger zoals Signal. Het is dan ook goed om te zien dat je naar aanleiding van dit nieuws van die moeder en dochter een surge in registraties ziet bij Signal vanuit de VS. En kijk ook eens op https://privacyguides.org/

[Reactie gewijzigd door WhatsappHack op 11 augustus 2022 17:53]

Ook WhatsApp stuurt desgevraagd gewoon de berichteninhoud door aan overheidsinstanties (https://yewtu.be/watch?v=1Pg7pKUVONU&t=1291). Dit gaat dan niet om oude berichten, maar de berichten vanaf het moment van aanvraag: ik neem aan dat er gewoon een in de client onzichtbare "gesprekspartner" toegevoegd wordt aan je gesprekken, waarna de client ook ieder bericht versleutelt voor die "gebruiker". Dit is in theorie ook prima mogelijk bij Signal, want hun 1) ze gebruiken allebei axolotl/libsignal, 2) dit is centraal te regelen omdat de gehele serverarchitectuur onder beheer is van 1 bedrijf, en 3) de Signal-client is maar gedeeltelijk en vaak sterk vertraagd open-source (en officieuze clients werden iig in het verleden geweerd van het netwerk of er "gedreigd" en gezeurd totdat ze stopten).

[Reactie gewijzigd door guillaume op 11 augustus 2022 20:09]

Ik heb het al vaker geroepen: die E2EE is geen functie om je gesprekken te beschermen tegen de aanbieder van de software. Het enige dat het doet is de netwerkcommunicatie versleutelen tussen de clients, zodat *andere* partijen niet meer mee kunnen kijken (zoals je ISP en de overheid). Wat er met je berichten gebeurt voor en na die netwerkcommunicatie heb je geen zicht en controle over. Whatsapp is immers een closed source programma, van een onbetrouwbaar datamining bedrijf nog wel. Ze kunnen alles met je berichten doen wat ze willen voordat het het netwerk op gaat, en alles doen nadat het ontsleuteld is, inclusief het alsnog doorsturen naar hun eigen server via een https verbinding ofzo. Vergelijk het met een https pagina in een browser: wanneer deze geladen is in de browser, kun je de broncode inzien en wijzigingen aanbrengen in de DOM via de console, terwijl de pagina versleuteld het internet over ging. Je kunt alles met die pagina doen wat je wilt, en addons in je browser ook. In het geval van Whatsapp is Whatsapp de browser *en* de addons in 1.

E2EE in Whatsapp is een wassen neus en geen reden om Whatsapp als veiliger dan welke client dan ook te bestempelen. Sterker nog, aangezien het van Meta komt is het wellicht de meest onveilige chat client die je kunt gebruiken van alles wat momenteel beschikbaar is (ja, ook erger dan unencrypted SMS), aangezien je bij Meta sowieso al weet dat ze je zover mogelijk gaan datamelken.
e2ee is wel degelijk nuttig, maar dan bij open-sourceprojecten waarbij je kunt nagaan dat er geen gebruikers stiekem kunnen worden toegevoegd. Zelfs als de server wordt gecompromitteerd, dan zul je in je client toch de verandering zien.

Voor Meta zelf is de inhoud van je berichten heus niet zo interessant: zij gooien alles op de metadata en het linken van jou met al je contacten. Het toevoegen van e2ee is ze dierbaar, omdat ze dan niet bij ieder wissewasje mankracht moeten inzetten om gegevens over te dragen aan overheden. Het is simpelweg eigenbelang. Zo'n tap inzetten vanaf het moment dat een overheid dat oplegt, is niet al te moeilijk natuurlijk. Zoals gezegd: WhatsApp stuurt niet alles door, maar voegt ws. een verborgen gebruiker aan de gesprekken toe, want alleen berichten vanaf het moment van het plaatsen vd tap worden doorgestuurd naar het overheidsorgaan.
Voor Meta zelf is de inhoud van je berichten heus niet zo interessant
Voor Meta is alles interessant, tot in de kleinste details. Ze houden zelfs bij hoe lang je bepaalde content op je scherm hebt. Klinkt misschien nutteloos, maar hun kunnen overal kennis over jou uithalen.
Ga er maar vanuit dat ze gewoon mee kunnen kijken met alles wat je zegt. Als dat niet zo is, is dat mooi meegenomen, en als het volgens verwachting wel zo is, voel je je in ieder geval achteraf niet bedrogen ;)
Zou dat niet eerder de aanleiding geweest zijn? Zeker aangezien het hier over het in de VS zeer gevoelige abortus-onderwerp gaat...

Vind het eerder nog een sterk staaltje marketing-techniek van het management.
Niet om Meta/Facebook te verdedigen, maar was dit een gewone achterhaalde chatlog, dan was de wereld te klein rond die 28 weken zwangerschap.
Maar vanwege de hele strikte abortus wetgeving in delen van de VS is dit een gevaarlijk precedent.

Wat ze heeft gedaan zou overigens ook in Nederland illegaal zijn. Alleen een arts mag een abortus uitvoeren. En bij 28 weken alleen als dat medisch noodzakelijk is.
Ze was 28 weken zwanger, is dat nog abortus of inmiddels al wel moord?. En dat is dan gewoon strafbaar,
In NL is de grens 24 weken. Dokters gebruiken 22 weken. Maar zwaarwegende redenen kunnen de termijn oprekken.
(bron)
Maar het gaat om de privacy… als de encryptie er nu had geweest was er niks bekend
Als de encryptie er was geweest was er nog steeds een misdrijf volgens US en ook NL wetgeving. Ja dat was dan goed verstopt gebleven maar "het gaat om privacy" is nogal een zwak argument hier.
Ene site zegt 28, de ander 23, en weer een ander 24 weken..
Het is onduidelijk of de chat ook bij de ontvanger versleuteld wordt
Om een end-to-end versleuteld gesprek te voeren moeten beiden "ends" natuurlijk versleuteld zijn, anders is het niet end-to-end.
Facebook heb ik nooit gebruikt, maar is dit bij een centrale server niet al een probleem? Althans, het klinkt onwaarschijnlijk dat ze versleutelde p2p gaan toestaan.
Dat "end-to-end" van Facebook moet creatief zijn met definities. Wat als de app nog steeds doorstuurt wat er in beeld staat, met een andere versleuteling die Facebook zelf kent? Vanuit gebruikers-persoectuef kun je de communicatie dan nog steeds als end-to-end interpreteren....
De motivatie was indertijd een vrees dat misbruik minder goed gedetecteerd zou kunnen worden
Da's een grapje van een bedrijf dat misbruik van andermans data tot een kunst heeft verheven...

De werkelijke reden:
"FB had de vrees dat ze niet alle data van gebruikers goed konden misbruiken"
Hoewel ik persoonlijk skeptisch ben over de implementatie, zie ik dit alsnog als een goede stap. End to End encryptie hoort overal de default te zijn, net als https nu de default is geworden boven http.
De motivatie was indertijd een vrees dat misbruik minder goed gedetecteerd zou kunnen worden als gesprekken versleuteld zouden zijn.
Waarom zou dat niet spelen bij WhatsApp?
Ik denk omdat je met Messenger in principe berichten kunt versturen naar alle FaceBook gebruikers.
Je kunt op Facebook naar profielen zoeken van personen die voor jou op de een of andere manier interessant zijn als slachtoffer. Je kunt al hun openbare berichten lezen en ze dan via Messenger een berichtje sturen waarmee je iets uitlokt. Facebook zelf gebruikt dat om goed te praten dat ze met alles meelezen, want zo kunnen ze (naast het speuren van alle mogelijke informatie om je profiel verder te vullen om je nog beter van advertenties te kunnen voorzien) kijken of iemand bv. een kind een berichtje stuurt om een afspraakje te maken waar ze hun ouders vooral niets over mogen weten, of wanneer gebruiker XXX oma van 88 een berichtje stuurt dat hij bij de bank werkt en dat ze haar bankpas op moet sturen, met een briefje er op geplakt met haar PIN.

Bij WhatsApp kan je ook iedereen een berichtje sturen, maar dan is het veel lastiger om te bepalen wie voor jou een interessante potentiële slachtoffer is.
Alleen de titel al doet mijn wenkbrauwen fronsen. Standaard ingeschakeld...uh ok, maar dan bij sommigen. Dan is het ook niet standaard toch?

Ben ik nou zo slim of......
Misschien een goed idee dan ook de tekst te lezen...
Alleen meta kan aan een positieve functie een sketchy gevoel geven. Ik heb het idee dat ze zulke functie alleen introduceren om enigszins positief in het nieuws te blijven komen. Maar het is uiteindelijk altijd een half gebakken oplossing.
Whatsapp E2E encryptie is leuk! Maar gebruiken ze alleen de public key van de ontvanger. Of versleutelen ze het ook nog naar de public key van Meta of ...? ( Als ze dit nodig vinden ) Dit is niet te controleren omdat eenmaal E2E encryptie is toegepast. Het over TLS naar Meta gaat. Plus in de code niet te controleren. Want whatsapp is in staat om meerdere ontvangers tegelijk het zelfde bericht te sturen, met E2E encryptie. De public keys van ontvangers krijg je van Meta. Ook weer via TLS.

Nu is er waarschijnlijk met wat programmeer werk wel een manier om te kijken welke public keys je krijgt van Meta. Maar ben je niet verdacht, journalist of belangrijk persoon. Zullen deze public keys wel kloppen.

[Reactie gewijzigd door Microwilly op 11 augustus 2022 17:45]

Wa werkt met het signal protocol, over het algemeen gezien als gouden standaard voor e2ee. Hun documentatie en werking is wel in te zien.
https://en.wikipedia.org/wiki/Signal_Protocol
Klopt het protocol van Signal is goed. Op Android kan je Signal controleren of de Sourcecode het zelfde is als het eind product. Op IOS gaat dit ( Vrijwel ) niet.

Bij Whatsapp kan dit bij Android en IOS niet. En hoe goed het protocol ook is. Als je een public key kan toevoegen. Maakt de sterkte van het protocol niks uit.
WA is closed source en kun je dus niet controleren. Hoe kun jij bewijzen dat WA geen aanpassingen aan het signal protocol gemaakt heeft? Closed source en E2EE gaan niet samen.
Ik ben dat met je eens, dat is een van de redenen dat ik geen wa gebruik. Desondanks is dat m.i. de beste benadering van hoe het waarschijnlijk werkt. Die vraag van microwilly probeerde ik te beantwoorden
Goede stap natuurlijk maar wat is nu de waarde nog van wat Facebook/META zegt als ze via andere manieren toch overal nog een framework of PIXEL injecteren via hun eigen browser als je ergens op een link klikt.
Het lijkt dan met deze End to End encryptie dat het gesprek misschien dan beveiligd is, maar eigen weten ze via een andere (heimelijke) weg toch al alles van je.

Dus wat is het waard ?
Is er ook maar 1 iemand (met enige kennis van encryptie) die gelooft dat Facebook encryptie en Whatsapp encryptie daadwerkelijk end-to-end encrypted zijn?

Ik bedoel het is ontzettend eenvoudig voor ze om aan de server kant berichten naar keus te decrypten zonder dat zender of ontvanger daar ook maar iets van hoeven te merken.

Dus mensen geloven dit soort bedrijven gewoon op hun blauwe ogen?

Of om het om te draaien: welke baat heeft Meta/Facebook/Whatsapp om berichten daadwerkelijk end-to-end te encrypten (gaan baat)? En welke baat heeft Meta bij het stiekem kunnen decrypten van berichten zonder dat publiekelijk toe te geven (hint: heel veel baat).

[Reactie gewijzigd door GeoBeo op 12 augustus 2022 09:01]

Op dit item kan niet meer gereageerd worden.

Kies score Let op: Beoordeel reacties objectief. De kwaliteit van de argumentatie is leidend voor de beoordeling van een reactie, niet of een mening overeenkomt met die van jou.

Een uitgebreider overzicht van de werking van het moderatiesysteem vind je in de Moderatie FAQ.

Rapporteer misbruik van moderaties in Frontpagemoderatie.




Google Pixel 7 Sony WH-1000XM5 Apple iPhone 14 Samsung Galaxy Watch5, 44mm Sonic Frontiers Samsung Galaxy Z Fold4 Insta360 X3 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee