Facebook breidt end-to-endencryptie in Messenger uit naar miljoenen gebruikers

Facebook gaat in de komende maanden meer gebruikers van chatdienst Messenger voorzien van end-to-endversleuteling. Moederbedrijf Meta breidt het testen van de versleuteling uit naar miljoenen gebruikers en voegt nieuwe features toe voor die gesprekken.

In de komende maanden worden 'miljoenen gebruikers over de hele wereld' overgezet, schrijft Meta. Het sociale netwerk heeft voor een beperkt aantal Messenger-gebruikers al end-to-endencryptie ingeschakeld, maar die testgroep is nog beperkt. In de toekomst wil Facebook Messenger volledig versleutelen, maar daarvoor wil het eerst meer proefdraaien. Hoeveel gebruikers er in de komende periode worden overgezet, is niet bekend. Volgens Meta is het selectieproces volledig willekeurig en zegt het daar verder niets over. Meta zegt dat het systeem zo is opgebouwd zodat de infrastructuur goed blijft werken.

Gebruikers die worden overgezet, krijgen daarvan een melding te zien, vergelijkbaar met hoe dat op WhatsApp gaat. Dat gebeurt in individuele chatgesprekken, waar dan bovenaan komt te staan dat gesprekken voortaan versleuteld worden.

Er worden ook nieuwe features toegevoegd aan versleutelde chats. Voorheen was het alleen mogelijk om te chatten, maar binnenkort wordt het ook mogelijk achtergronden in te stellen, eigen emoji's en stickers te sturen en groepsprofielfoto's in te stellen. Ook kunnen gebruikers actieve statussen inzetten en worden er linkpreviews toegevoegd. Tot slot wordt het mogelijk om ook de Bubbles in end-to-endversleutelde gesprekken te gebruiken. Dat zijn de overlays van chatbolletjes die gebruikers in Android over andere apps heen kunnen gebruiken om te blijven chatten.

Door Tijs Hofmans

Nieuwscoördinator

24-01-2023 • 07:29

28 Linkedin

Reacties (28)

28
28
7
3
0
20
Wijzig sortering
Zolang je altijd via hun servers moet gaan en de app closed source is kan je nooit bewijzen dat er niet een 3e sleutel in elk gesprek is toegevoegd.

Aangezien ze geld verdienen aan gerichte reclame en de 3 letter agencies in Amerika erbij komen kan je er vanuit gaan dat het geen zuivere koffie is.
Zolang je altijd via hun servers moet gaan en de app closed source is kan je nooit bewijzen dat er niet een 3e sleutel in elk gesprek is toegevoegd.
Een derde sleutel is niet nodig. Een zwakheid van WhatsApp, Signal, Facebook Messenger, etc. is dat de organisaties die E2EE in diens producten verwerken ook toegang hebben tot het betreffende sleutelmateriaal en plain text berichten via de codebases van de betreffende applicaties, die zij zelf (vaak automatisch) actualiseren. Met een enkele software update kunnen zij benodigd sleutelmateriaal of plain text berichten ophalen.

De enige reden dat het (waarschijnlijk) niet gedaan wordt is dat zo'n wijziging in client-side code kan uitlekken, en dan zijn de rapen gaar. Zo'n wijziging zou wel verhuld kunnen worden (bijvoorbeeld door een stukje code online op te halen, en dan enkel in bepaalde gevallen).

De enige bescherming hiertegen is reactief, en dan is de schade door het lekken al gedaan.

[Reactie gewijzigd door The Zep Man op 24 januari 2023 08:18]

Veel mensen beseffen zich dit niet, maar het klopt wat je zegt. Het feit dat de apps text leesbaar op je scherm kunnen toveren zonder dat je eerst een key in moet voeren, betekent dat de apps op elk moment beschikking hebben tot de gegevens. Dus een kwestie van malicious update en je gegevens liggen voor het rapen. Het draait dus enorm om vertrouwen in de app-makers.

De nadruk ligt hier om end-to-end, maar dat zegt niks over hoe veilig die endpoints zelf dan zijn.

[Reactie gewijzigd door CykoByte op 24 januari 2023 08:12]

Kan het wel vergelijken als de slot van je hotelkamer. Derden kunnen er niet in, maar wel het hotelpersoneel.
Alleen is bij dit hotel bekent dat ze ook diverse andere mensen toegang geven tot gegevens. Sterker nog, het is bewezen dat ze dit in het verleden al vele malen gedaan hebben. Zowel richting diverse adverterende partijen als de overheid.
Enige waar je het aan gaat zien is als je datagebruik ineens maal twee gaat. Er wordt zó vaak naar huis gecommuniceerd, allemaal versleuteld dus niet makkelijk van in te zien wat er over het lijntje gaat, dat ze heel makkelijk wat extra info kunnen versturen.

Maar dat geldt ook voor de veilige alternatieven, behalve diegenen die opensource zijn en waarvan je van die source, die je zelf hebt nagekeken op dit soort praktijken, zelf de app compileert en op je telefoon installeert met tevens door jou zelf nagekeken en gecompileerde kernel die het niet mogelijk maakt om in de data te grutten van andere geïnstalleerde apps. Dit laatste is natuurlijk wat over-the-top maar is in feite hoever je tegenwoordig bijna moet gaan; het vertrouwen is wat geslonken in de goede wil en errlijkheid van deze grote tech-bedrijven...
Veel mensen schreeuwen als ik dat zeg:"MaAr OpEnWhIsPeR heeft geholpen bij de implementatie" alsof ze daarna niet een deurtje hebben toegevoegd....

Maar eens, omdat het zichtbaar is in de app kunnen ze inderdaad alles terug hengelen op het moment dat ze het willen. En niemand gaat een decompiled app helemaal uitziften.
De Signal client is open source en je kan de APK die je instaleert ook verifieren. Als ze in Signal dergelijke code in de client verwerken dan is het niet de vraga of het gaat lekken, dan is het vrijwel direct bekend. Bij closed source heb je een punt en blijft het altijd een risico.
Als ze in Signal dergelijke code in de client verwerken dan is het niet de vraga of het gaat lekken, dan is het vrijwel direct bekend. Bij closed source heb je een punt en blijft het altijd een risico.
Je neemt aan dat iedereen dezelfde code ontvangt en gebruikt. Dit hoeft niet waar te zijn:
Zo'n wijziging zou wel verhuld kunnen worden (bijvoorbeeld door een stukje code online op te halen, en dan enkel in bepaalde gevallen).
En zoals genoemd is de schade dan al gedaan, want er is alleen reactieve bescherming. Dat jij de code analyseert stopt anderen niet van het automatisch binnenhalen en uitvoeren van de code.

[Reactie gewijzigd door The Zep Man op 24 januari 2023 10:06]

Je neemt aan dat iedereen dezelfde code ontvangt en gebruikt. Dit hoeft niet waar te zijn:
Alle versies (sinds 2016?) die je kan installeren kan je verifieren, dus ik snap je punt niet helemaal
Dat jij de code analyseert stopt anderen niet van het automatisch binnenhalen en uitvoeren van de code.
Als je je zorgen maakt over de aanwezigheid van "vreemde" code dan zou je dat kunnen doen, waarschijnlijk ook geautomatiseerd (misschien heeft iemand zoiets al geimplementeerd). Wat hier belangrijk is is dat de client software verifieerbaar is, wat in de andere gevallen niet kan. De kans dat hierin "vreemde" code wordt toegevoegd is dan niet zonder consequenties, want dat komt hoe dan ook naar buiten.
[...]


Alle versies (sinds 2016?) die je kan installeren kan je verifieren, dus ik snap je punt niet helemaal
Een programma kan code van een online locatie opvragen en ophalen. Bij de ene aanvraag kan een bepaalde versie van de code worden gegeven, en bij een andere aanvraag een ander. Dit is slecht tot niet te verifieren.

Verder is het probleem dat verificatie plaatsvindt nadat code is gepubliceerd en uitgevoerd. Er zijn manieren om dergelijke acties te obfusceren, zodanig dat gedistribueerde client-side code wel door verifiers heen komt.

[Reactie gewijzigd door The Zep Man op 24 januari 2023 11:33]

Een programma kan code van een online locatie opvragen en ophalen
Zeker, dat zie je dan ook terug in de code, want die is openbaar
Dit is slecht tot niet te verifieren.
Je hebt de sources van de client, hoezo is het niet te verifieren dat het vreemde code gaat ophalen?
Verder is het probleem dat verificatie plaatsvindt nadat code is gepubliceerd en uitgevoerd.
wat bedoel je met uitgevoerd? geinstaleerd? daar heb je als gebruiker een keuze in, pas installeren als je dat wilt en niet automatisch, of bedoel je iets anders?
Moet zelfs niet zo ver gaan.
Ze kunnen meekijken met je keyboard en zien via metadata met wie en wanneer je stuurt.

Voeg dat samen en je ziet bijna alles.
Aangezien ze geld verdienen aan gerichte reclame
Whatsapp gebruikt ook photodna,
door foto’s te scannen weten ze ongeveer wat er op die foto’s staat en die tags houden ze waarschijnlijk bij,
soortgelijk heb je ook op facebook, instagram maar Google en Apple doen hetzelfde.

https://www.wired.co.uk/a...pp-encryption-child-abuse

Dat is ooit en techniek ontworpen tegen kindermisbruik om bepaalde foto’s snel te herkennen,
maar het wordt al heel lang gebruikt om andere voorwerpen te herkennen en je daar mee dood te gooien door middel van reclames en “relevante” aanbevelingen.
Gelukkig dat ik al die diensten en bedrijven ontwijk als de pest.
Ik vraag me af wat de incentive is van Meta om dit te doen. Is het te ver gezocht dat ze hiermee minder werk hebben qua compliance, omdat ze de berichten niet kunnen inkijken?

Hoewel het een goede zaak is, kan ik me niet voorstellen dat de gemiddelde messenger gebruiker hier op zat te wachten...
> E2EE
> Closed source

Mensen die gebruik maken van facebook messenger hebben toch een andere kijk op privacy, of je hun nou E2EE geeft of niet... het maakt hen niets uit.
Je zou dit inderdaad zo kunnen stellen. FB voetg E2EE gewoon toe alsof het een mode trend is, het is gewoon een checkbox die je op de feature lijst terug zult zien zodat je functionaliteit tussen verschillende oplossingen kunt vergelijken. Uiteindelijk gaat het natuurlijk om de details, de implementatie en het vertrouwen dat we in dergelijke oplossingen moeten hebben. FB en Vertrouwen is al niet direct een combinatie die mij een goed gevoel geeft. Closed source en E2EE maakt dat gevoel niet sterker.
Zijn er überhaupt cijfers van hoeveel mensen die app nog gebruiken? Ik ken überhaupt niemand in mijn omgeving die die app gebruikt, alhoewel niet standaard
Hier in de filippijnen wordt het massaal gebruikt. Ik ken werkelijk geen persoon, bedrijf of overheid die niet via messenger bereikbaar is.
Messenger wordt best veel gebruikt in Midden-/Zuid-Amerika (vooral Brazilië en Mexico, maar ook Colombia en Argentinië). Ook in Azië wordt het veel gebruikt, vooral in India, de Filipijnen, Vietnam, Thailand en Indonesië hebben ze heel erg veel gebruikers.
Facebook messenger is wat je gebruikt als je iemand op FB marketplace een bericht wilt sturen. Dus het wordt zeker veelgebruikt.
Ook in Polen gebruiken ze niets anders dan Messenger!
Afhankelijk van waar je woont op de wereld gebruik je whatsapp, wechat, FB messanger enz. Hier heb je een overzicht van de gebruikte social apps wereldwijd. FB messanger in gebruik door bijna 1 miljard mensen, dus ja, best veel gebruikt ja
Ik meen me te herinneren dat e2e al sinds minstens 2016 mogelijk is op Messenger. Destijds, als ik het me goed herinner, moest je dat expliciet inschakelen en werkte het niet altijd perfect. Nieuw is blijkbaar dat het nu standaard aan komt te staan.

Uit het bronartikel
We’ve also started gradually expanding testing default end-to-end encryption for Messenger.
Heeft lang geduurd. Zeker gezien het feit dat Meta Whatsapp heeft overgenomen en dus allang over de middelen beschikt om dit breed uit te rollen.

[Reactie gewijzigd door CykoByte op 24 januari 2023 08:08]

E2EE zegt weinig over de privacy van de berichten, het is een buzzword door marketeers. Er zijn zoveel mogelijkheden om toch bij je berichten te komen. Toevoegen van een verborgen gebruiker, slechte random nummergenerators, lange sleutels waarvan de eerste 128 bits nullen zijn, slechte implementatie, programmacode met achterdeurtjes, kopiëren van sleutels etc. Kijk naar bijvoorbeeld China met een eigen smime certificaatsysteem. Of de tekst is wel gecodeerd, maar de foto of het bijgevoegde document wordt van een externe server geladen.

Zolang de gebruiker de sleutels niet zelf genereert en in eigen beheer heeft op eigen hardware en software, zou ik geen commerciële bedrijfsgegevens met dit soort berichtendiensten versturen.
Domme vraag misschien, maar kan iemand misschien uitleggen hoe je E2EE kunt implementeren *en* de conversatie op meerdere devices kunt voeren? Gezien het feit dat de public/private keys lokaal op de device wordt gegenereerd? Jan en ik hebben een iPhone en voeren een gesprek dat is versleuteld met keys op onze beide iPhones. Nu log ik in op Facebook met mijn laptop, en wil ik de conversatie met Jan lezen via mijn laptop. Maar die laptop beschikt toch niet over de keys? En elke overdracht van deze keys van de iPhone naar de laptop zou toch inherent onveilig zijn?
Heel slim dat Facebook ook WhatsApp kocht, want hier in Europa onmisbaar. Messenger gebruik ik alleen als ik een onbekende die ik op FB tegenkom een bericht wil sturen.


Om te kunnen reageren moet je ingelogd zijn

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee