Messenger schakelt end-to-endencryptie standaard in, krijgt editfunctie

Meta schakelt end-to-endencryptie in Messenger voortaan standaard in. De functie voor de berichtendienst zou volledig opnieuw gemaakt zijn. Tot dusver konden gebruikers end-to-endencryptie handmatig inschakelen. Meta kondigt daarnaast enkele nieuwe functies aan.

In een blogpost legt Meta uit dat standaard encryptie van berichten jaren duurde omdat het bedrijf het naar eigen zeggen goed wilde doen. Het is niet duidelijk wat het bedrijf hiermee bedoelt, want de functie is al langer beschikbaar voor Messenger, al moest een gebruiker dit per individueel chatgesprek handmatig inschakelen. Zowel berichten als gesprekken tussen twee personen worden voortaan standaard end-to-end versleuteld via Facebook en Messenger. Encryptie voor groepsgesprekken is vooralsnog opt-in.

End-to-end versleutelde berichten krijgen daarnaast enkele nieuwe functionaliteiten. Zo kunnen gebruikers onlangs verstuurde berichten binnen 15 minuten editen. Daarnaast introduceert Meta een aangepaste versie van verdwijnende berichten. Een dergelijk verzonden bericht is nu duidelijker aangemerkt als een verdwijnend bericht. Deze berichten verdwijnen standaard 24 uur na verzending. Eerder konden gebruikers zelf een timer zetten. Tot slot beweert het bedrijf dat via Messenger of Facebook verzonden foto's en video's voortaan een betere kwaliteit krijgen. Dit wordt eerst onder een beperkte groep gebruikers getest. Er is ook een nieuwe lay-out voor media.

Messenger is door de Europese Unie aangewezen als een van de poortwachters die onder de Digital Markets Act aan bepaalde regels moeten voldoen. Hier is Meta het niet mee eens. Mede vanwege deze positie koppelt Meta deze maand Messenger los van Instagram.

IT-banen

Reacties (41)

NotWise 7 december 2023 14:09

Allemaal leuk en aardig, de data loopt nog steeds via de Meta servers. Ik kan me een discussie herinneren met een familielid, waarbij ik zei dat Whatapp niet echt veilig is. Dat was volgens dit familielid niet waar, want Whatsapp gebruikt encryptie.

Dus mijn vraag is voor wie is deze E2EE eigenlijk bedoeld? Meta verkoopt gewoon je data en geeft ook gewoon je data aan de politie/inlichtingendiensten.

Patriot @NotWise • 7 december 2023 14:29

In de basis zouden berichten die E2EE zijn niet door Facebook inzichtelijk moeten kunnen zijn. Het is wel zo dat ze nog steeds kunnen zien naar wie je je berichten stuurt, maar als zij kunnen zien wat er in de berichten staat is het niet E2EE. Dat wil niet zeggen dat ik zeker weet dat de E2EE implementatie van Facebook correct is en goed werkt, maar als dat niet het geval is dan is het eigenlijk per definitie geen E2EE.

r03n_d @Patriot • 7 december 2023 14:48

Is het niet ook zo dat alleen tekstberichten E2E encrypted zijn, en de rest (foto's, video's, spraakberichten) niet? Ik ben zelf niet echt thuis hierin, maar meen dit eens gelezen te hebben.

30carbonclocks @r03n_d • 7 december 2023 15:16

In het geval van WhatsApp wordt de afbeelding eerst ge-encrypt en dan als blob verstuurd naar de WhatsApp-servers, tot dat iedereen het bestand heeft gedownload.

Bron: pagina 10 van de WhatsApp Security Whitepaper: https://www.whatsapp.com/...p-Security-Whitepaper.pdf

Patriot @r03n_d • 7 december 2023 15:17

Whatsapp zelf zegt dat die dingen ook encrypted zijn. Je kunt dat zien als je in het gele waarschuwingsbericht klikt op "Learn more" (of het equivalent in jouw taal).

Triblade_8472 @Patriot • 7 december 2023 15:06

Als de app de berichten ná ontvangst doorsluist naar Meta servers dan hebben ze alsnog alles.

E2EE is niet heilig als je de cliënt niet vertrouwd. En die blijft immers van Meta. Zij hadden volgens mij ook plannen om lokaal berichten te scannen en de profilering ervan in je online profiel op te slaan.

Patriot @Triblade_8472 • 7 december 2023 15:39

Als de app de berichten ná ontvangst doorsluist naar Meta servers dan hebben ze alsnog alles.

Ik zou zeggen dat het dan per definitie niet end to end is, want één van die twee was blijkbaar nog niet het 'end'.

Ik ben echt geen fan van Facebook en gebruik Whatsapp alleen als het echt niet lukt om de tegenpartij te overtuigen om Signal te gebruiken, maar ik twijfel eigenlijk niet aan de bescherming van de inhoud van de berichten. Ook bevind je je dan mijns inziens (en geloof dat een rechter me daarin zou bijvallen) ver over de grens van het frauduleuze als het gaat om de claims dat het allemaal veilig en privé is.

Maurits van Baerle

Facebook

@Patriot • 7 december 2023 15:59

Een 'end' is altijd unencrypted anders kan de ontvanger het niet lezen, de client verwijdert de encryptie. Daarna zou de client het alsnog terug kunnen sturen naar het bedrijf dat de dienst runt.

Ik zeg niet dat één van de grote jongens dat doet, ontdekking ervan zou het einde van de dienst betekenen en waarschijnlijk vervolging. Maar, veel malware richt zich bijvoorbeeld wel op de client omdat het verkeer onderweg niet te lezen is maar op de client wel. Technisch is het dus geen belemmering.

Patriot @Maurits van Baerle • 7 december 2023 16:29

We praten een klein beetje in cirkels nu. Ik snap dat de client (normaliter één van de 'ends' in E2EE) altijd toegang moet hebben tot de plaintext. Mijn punt is dat het geen E2EE is als de client de data nog doorstuurt want dan is de client dus geen 'end'. Dat lijkt op deze manier vooral semantisch, maar het maakt wel het verschil tussen of het al dan niet frauduleus is om te claimen dat je dienst E2EE is en dat was waar ik op doelde.

Guru Evi @Triblade_8472 • 7 december 2023 16:44

Je moet ook ergens de key opslaan. Als je dus van client-naar-client kan gaan zonder je key op de client te houden of via een andere weg over te brengen wil dit zeggen dat FB ook toegang heeft tot je sleutels (waarschijnlijk want Meta is verplicht om berichten door te geven aan de overheid binnen het EU GateKeepers framework)

[Reactie gewijzigd door Guru Evi op 22 juli 2024 18:29]

blorf @Patriot • 7 december 2023 15:41

Liht eraan. Als het OS of de FB-app gewoon kan kijken wat er op een smartphone in beeld staat en dat kan doorsturen is dat e2e een grote grap.
Hier zit ook de misleiding. Wat zijn die "ends" precies volgens Facebook? Ik denk niet personen...

lenwar

Websites en community's
Meta

@blorf • 7 december 2023 15:57

Per definitie niet de personen, want de personen versleutelen niet. (Dooddoener, maar wel een essentieel detail)

Eindtoteindversleuteling is van applicatie naar applicatie. Net zoals een browser naar een webserver.

Het primaire belang is dat eventuele malware niet naar de verstuurde berichten kan kijken. Het OS ziet niet de data van de berichten die verstuurd worden.

Uiteraard zou het OS binnen de app kunnen klikken. Daar ontkom je niet aan. Als de persoon het kan lezen kan het OS het ook lezen.
Voor malware wordt het moeilijker. Om binnen een ander stuk geheugen te kijken, moet je redelijk die in het OS zitten.

Bovenstaande is ook de primaire reden dat DoH door de applicatie geregeld moet worden en niet het OS. Zodra het de applicatie verlaat is het versleuteld en ondertekend. Een stuk malware kan zo niet (makkelijk) je DNS-verzoek manipuleren aan de cliënt kant.

blorf @lenwar • 7 december 2023 16:13

Waterdichte e2e communicatie waar geen derde bij betrokken kan zijn is best haalbaar. Alleen niet als je een OS gebruikt wat geen root-permissies wil afstaan aan de eigenaar. Dan houdt het gewoon op. Is hetzelfde als gehackt zijn. Iemand anders ownt de permissies en maakt de dienst uit.

[Reactie gewijzigd door blorf op 22 juli 2024 18:29]

lenwar

Websites en community's
Meta

@blorf • 7 december 2023 16:32

Ik zou niet weten hoe je dat ziet, of je wel of geen beheer-rechten op een OS hebt en dat dat ‘in de praktijk’ aldanniet veel uitmaakt als het gaat om eindtoteindversleuteling..

Ook als je zelf beheerrechten hebt, kan een stuk malware op je systeem terecht komen.
Ook als je beheerrechten hebt kan de applicatie je versleutelde berichten naar een derde sturen. Prettige wedstrijd met het uitvogelen of dat is gebeurd is niet meer versleutelde data.

Veel applicaties laten zich auditeren. Dat is in de praktijk tweeledig. Enerzijds kan een auditeur fouten vinden, maar het is ook een methode om aan je klanten te laten zien dat je doet wat je zegt.
Ik zeg niet dat dat de heilige graal is hè? Ook auditeurs missen dingen.

Onder aan de streep komt het neer op vertrouwen. Vertrouw je dat Apple/Google/Samsung/Microsoft/Red hat/Oracle niet meeleest, dan is het prima.
Als het je niet interesseert (wat denk ik ook voor veel mensen geldt) dan maakt het al helemaal niet uit.
Kijk maar naar hoeveel mensen Facebook/X/TikTok gebruiken. Ook als die mensen weten dat die bedrijven je privacy als een woord in een woordenboek beschouwen.
Hoeveel Android-gebruikers zijn er wel niet.

blorf @lenwar • 7 december 2023 16:58

Wat je nodig hebt is dat je e2e communicatie-oplossing de uitzonderlijke toegang tot je video-framebuffer, netwerkverbinding en invoer-apparatiur heeft, en dat voor de gebruiker ook verifieerbaar is.
Bij PC's geen probleem. Bij smartphones is de boel gekaapt door de verplichte OS-verstrekker. Die heeft eerst een schoonmaakbeurt nodig maar ook dat is onmogelijk gemaakt. Je kan niet eens met zekerheid de achtergrond-activiteiten van een app vertellen, want "die computer is niet je eigendom".

[Reactie gewijzigd door blorf op 22 juli 2024 18:29]

Microwilly @blorf • 7 december 2023 17:50

Wat je nodig hebt is dat je e2e communicatie-oplossing de uitzonderlijke toegang tot je video-framebuffer, netwerkverbinding en invoer-apparatiur heeft, en dat voor de gebruiker ook verifieerbaar is.
Bij PC's geen probleem.

Je video framebuffer?

en dat voor de gebruiker ook verifieerbaar is.Bij PC's geen probleem.

Denk dat je veel waard bent voor geheime diensten met je kennis.

blorf @Microwilly • 8 december 2023 12:01

Zoek anders even op wat het is. Bij afgeschermde communcatie wil je niet dat iets of iemand kan zien wat je in beeld hebt staan. Wie of wat dat kunnen is significant. Bij smartphones is dat gewoon helemaal overboord gegooid. De gebruiker heeft er niks mee te maken wat we met die info doen, aldus het OS.

[Reactie gewijzigd door blorf op 22 juli 2024 18:29]

CivLord

@blorf • 8 december 2023 11:43

Het apparaat zelf (computer/ telefoon) is je eigendom, wanneer je dat zelf gekocht hebt. De software die er op draait is echter in 'bruikleen' onder voorwaarden die in de licentie-overeenkomst staan.
Alleen wanneer je software zelf schrijft, of alle rechten van de maker hebt overgekocht is de softeware echt 100% van jou.

blorf @CivLord • 8 december 2023 11:54

Mooi argument mnaar ze zitten aan elkaar. Zonder Android of iOS krijg je geen I/O.

Microwilly @blorf • 9 december 2023 00:33

Haha volgens mij ben je aan het trollen

Hoop ik tenminste.

blorf @Microwilly • 9 december 2023 00:45

Wat is de troll, volgens jou?

Microwilly @blorf • 9 december 2023 11:03

Bijvoorbeeld:

Android of iOS krijg je geen I/O?

Bij smartphones is de boel gekaapt door de verplichte OS-verstrekker?

Wat je nodig hebt is dat je e2e communicatie-oplossing de uitzonderlijke toegang tot je video-framebuffer, netwerkverbinding en invoer-apparatiur heeft?

—————
Dit alles gaat echt nergens over. Ben zelf nu 20/15 jaar c / c++ programmeur. Libsodium, openssl libs. Ken ik bijna uit mijn hoofd. Dus weet wel een beetje waar ik over praat. Afgelopen maanden minimaal 10 pr’s gemaakt aan verschillende crypto projecten.

Een vraag aan jou welke software draai je op je pc? Zelf gemaakt?

[Reactie gewijzigd door Microwilly op 22 juli 2024 18:29]

blorf @Microwilly • 9 december 2023 11:25

Wel eens een toetsenbord op je telefoon geprobeerd? Je hebt geen hardwired console. Dat is een fundamenteel probleem. Geen invoer. alleen via een touchscreen op OS-level. Als dat niet meer werkt, om wat voor reden dan ook, heb je een onbruikbaar stuk ijzer over die nergens naar luistert en zijn "boot-volume", wat de enige optie is om van op te starten ergens intern heeft. Goed over nagedacht...

[Reactie gewijzigd door blorf op 22 juli 2024 18:29]

Microwilly @blorf • 9 december 2023 16:10

Wel eens een toetsenbord op je telefoon geprobeerd? Je hebt geen hardwired console. Dat is een fundamenteel probleem. Geen invoer. alleen via een touchscreen op OS-level. Als dat niet meer werkt, om wat voor reden dan ook, heb je een onbruikbaar stuk ijzer over die nergens naar luistert en zijn "boot-volume", wat de enige optie is om van op te starten ergens intern heeft. Goed over nagedacht...

mijn laatste reactie want het gaat echt nergens over. Eerst gaat het over security nu over als je touch screen kapot gaat.

blorf @Microwilly • 9 december 2023 16:13

Dat is ook je enige argument. "gaat nergens over". Dat kan iedereen in alle gevallen beweren en niemamd heeft er een punt mee.

Inhoudelijk, misschien? Of is dit je manier van indekken tegen een counter? Beetje kinderachtig...

Noem eens 1 ding wat ik beweerde, wat niet waar is, en wat het dan wel is...

[Reactie gewijzigd door blorf op 22 juli 2024 18:29]

Microwilly @blorf • 10 december 2023 00:39

Waterdichte e2e communicatie waar geen derde bij betrokken kan zijn is best haalbaar.

Fout: Waterdicht kan je bij encryptie nooit zeggen + Je bent altijd afhankelijk van een derde partij al is het om je encrypted verkeer af te handelen.

2.

Alleen niet als je een OS gebruikt wat geen root-permissies wil afstaan aan de eigenaar. Dan houdt het gewoon op. Is hetzelfde als gehackt zijn.

OMG!!! Serieus?

3.

Wat je nodig hebt is dat je e2e communicatie-oplossing de uitzonderlijke toegang tot je video-framebuffer

Fout: Dit is totale onzin wat je hier verteld Video-framebuffer

.

4.

Bij smartphones is de boel gekaapt door de verplichte OS-verstrekker.

Even serieus verplichte OS-verstrekker?

Wel eens een toetsenbord op je telefoon geprobeerd? Je hebt geen hardwired console. Dat is een fundamenteel probleem. Geen invoer. alleen via een touchscreen op OS-level.

Wanneer je een toetsenbord aan je pc koppelt. En je genereert invoer voor je e2e applicatie. Die hierna het netwerk op moet om data te versturen

Die gaat zeker niet naar 'OS-level'

Er is weinig gezegd wat overkomt dat je ook maar iets van security weet

. Maar hier laat ik het nu echt bij! haha volgens mij zit je echt te trollen. Geloof niet dat je serieus bent.

blorf @Microwilly • 10 december 2023 02:15

Gewoon ontkennen. Dat was allemaal duidelijk en vereist geen uitleg.
Maar vooruit, punt 1. Encrypted verkeer afhandelen is iets anders dan het manipuleren. Bij e2e encryptie is het de bedoeling dat er 2 partijen zijn. Anders noem je het niet zo.
Het is wel een probleem als de encryptie en decryptie ergens plaatsvinden waar die partijen geen controle over hebben. Zoals Android of iOS in vertrouwen moeten nemen is een beveiligingsprobleem.

CivLord

@blorf • 9 december 2023 14:48

iOS is inderdaad lastig, maar voor telefoons die standaard met Android geleverd worden zijn alternatieve besturingssystemen beschikbaar, als je van knutselen houdt.

blorf @CivLord • 9 december 2023 15:09

Ik heb mijn vorige Galaxy nog, zonder sim. Ding ligt in een la, nergens bruikbaar voor. Rooten enzo is flauwekul, een aangelegd straatje om het idee te geven. Het blijft Android en je permissies blijven ingedamd.
Zou wat zijn als die een ARM-kernel boot vanaf een USB-stick met keyboard-support en een vrije graphics driver. Dan was het gewoon een ARM 'PC' geweest, maar dat gaat niet gebeuren want dan klapt de hele smartphone-verkoop omdat iedereen alles kan voor 50 euro zonder ergens Android voor nodig te hebben.

[Reactie gewijzigd door blorf op 22 juli 2024 18:29]

Microwilly @blorf • 7 december 2023 17:40

Alleen niet als je een OS gebruikt wat geen root-permissies wil afstaan aan de eigenaar. Dan houdt het gewoon op. Is hetzelfde als gehackt zijn. Iemand anders ownt de permissies en maakt de dienst uit.

Haha zelfde als gehackt? Ga jij met root toegang op linux/android ( geroot ) alle code langs van apps, root tools en libs. Om te kijken of er iets niet goed zit. niet dat je er door heen kan lezen en fouten kan uitsluiten. Ik denk dat geen root op telefoons het beste is voor de veiligheid. Vertrouwen moet je toch hebben in de maker of je nu root bent of niet.

blorf @Microwilly • 7 december 2023 18:31

Google of Apple heeft de eind-zeggenschap over de computer, in het geval van een smartphone. Die bepaalt wat de gebruiker kan en mag en kent de exacte activiteiten. Die produkten liggen letterlijk in compromised toestand in de winkel. Dat iedereen dat normaal vindt maakt het niet iets anders.

Zyppora @Patriot • 7 december 2023 14:48

Kwestie van het bericht twee keer e2e encrypted versturen: 1 keer voor de ontvanger en 1 keer voor meta

Maurits van Baerle

Facebook

@NotWise • 7 december 2023 14:47

E2EE is erg handig in je marketing, vooral als de concurrenten dat ook doen, om mensen een gerust gevoel te geven om via een commercieel platform te blijven communiceren.

In de praktijk denk ik dat clubs als Meta niet zo geïnteresseerd zijn in dat jij je vriendin hebt gevraagd na haar werk nog even een pond spuitjes te kopen. De metadata over die gesprekken zijn minstens net zoveel waard. Wie praat met wie, hoe vaak, op welke tijdstippen, de geolocatie als ze dat doen, namen, telefoonnummers, emailadressen uit het contactboek zijn allemaal erg waardevol en vallen niet onder de E2EE.

NotWise @Maurits van Baerle • 7 december 2023 14:55

In de praktijk denk ik dat clubs als Meta niet zo geïnteresseerd zijn in dat jij je vriendin hebt gevraagd na haar werk nog even een pond spuitjes te kopen.

Zou kunnen. Tenzij je natuurlijk een klant hebt die spruitjes verkoopt.

Laten we wel wezen, Meta heeft een heel erg slecht imago en de lijst van schandalen is behoorlijk. Er lopen op dit moment al weer de nodige rechtszaken.

Even een kleine bloemlezing wbt scandalen:

https://www.businessinsid...uring-the-2016-election-4

Byron010 7 december 2023 13:59

Dit oogt alsof ze puur de functies uit whatsapp gekopieerd hebben naar messenger.
Ik vraag me af of het onder de motorkap anders werkt

Verwijderd 7 december 2023 18:00

kan iemand mij vertellen of FB messenger cloud gebasseerd is zoals telegram?

Roerdomp @Verwijderd • 7 december 2023 22:09

Bedoel je inplaats van dat alles lokaal opgeslagen wordt? In dat geval ja, bij Facebook staat alles via je account in de cloud opgeslagen.

Roel1966

7 december 2023 23:51

Waar ik veel meer op zit te wachten is dat je dat vervelende filter voor achtergrondgeluiden uit kan schakelen.

JaymzHetfield 8 december 2023 12:56

Hoe weet je of hun app überhaupt E2E encryptie toepast en niet doet alsof, of het daarnaast tevens unencrypted naar Meta stuurt? Het valt of staat toch met het vertrouwen in de client (app) lijkt me.

jcbvm

@JaymzHetfield • 8 december 2023 23:06

Het unencrypted opsturen is natuurlijk simpel te checken door je netwerk verkeer te monitoren. Lijkt me sterk dat ze dat doen. Wil natuurlijk niet zeggen dat ze dat misschien wel remote zouden kunnen inschakelen bij verdachte accounts.

JaymzHetfield @jcbvm • 11 december 2023 11:16

Uncenrypted zou wel opvallen idd, maar dan blijft nog de vraag hoe je weet of ze echt E2E encryptie toepassen. Als je de implementatie niet kan checken, dan weet je dat gewoon niet zeker, is mijn beeld. Of mis ik iets?

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (41)

Sorteer op:

Weergave: