WhatsApp werkt aan interoperabiliteit chatapps, vindt privacy waarborgen lastig

WhatsApp werkt met het oog op de DMA aan een manier om verschillende chatapps via de dienst te kunnen gebruiken, maar noemt het waarborgen van de privacy van gebruikers als pijnpunt. Het is niet duidelijk welke andere apps meewerken aan interoperabiliteit met WhatsApp.

In een interview met Wired licht Dick Brouwer, Director of Engineering bij WhatsApp, toe wat de mogelijkheden en problemen van interoperabiliteit via de berichtendienst zijn. "Het is lastig om een toegankelijk platform voor interoperabiliteit aan derden te bieden en de privacy-, beveiligings- en integriteitsstandaarden van WhatsApp te waarborgen", zegt Brouwer.

WhatsApps iOS-bèta: sectie 'Third-Party Chats'
Bron: WABetaInfo

Uit bètaversies van de berichtendienst bleek eerder dat er een apart scherm in de WhatsApp-app moet komen waar berichten van gebruikers van andere chatdiensten binnenkomen. Brouwer licht toe dat deze functie, waarvan vooralsnog geen releasedatum bekend is, in ieder geval opt-in moet worden. De Digital Markets Act treedt in maart van dit jaar in werking, en vanaf dan heeft de berichtendienst volgens de medewerker enkele maanden om aan de verplichting van interoperabiliteit te voldoen.​​​​​De exacte plannen worden in maart verder geopenbaard.

Wired zet echter vraagtekens bij de werkbaarheid van het huidige plan. Het medium stelt dat WhatsApp afhankelijk is van de samenwerking met derden, maar dat de berichtendienst uiteindelijk de eisen kan bepalen. Zo wil het dochterbedrijf van Meta dat aangesloten chatapps gebruikmaken van het Signal Protocol-encryptiestandaard en dat clients van derden direct aangesloten worden op de serverinfrastructuur van WhatsApp. Brouwer zegt dat derden ook kunnen kiezen voor een eventuele proxy tussen de servers van derden en WhatsApp. Dit zou de noodzaak van overeenkomende beveiligingsprotocols wegnemen.

Tot dusver heeft nog geen enkele prominente chatdienst bevestigd dat het werkt aan interoperabiliteit volgens de parameters van WhatsApp. Berichtendienst Matrix zegt tegen Wired dat het een geheimhoudingsovereenkomst moest tekenen. Een andere dienst, Threema, laat tegenover het medium weten dat derden op basis van de huidige plannen geen inzicht hebben in wat WhatsApp met gebruikersgegevens doet. Ook zou er bij deze vorm van interoperabiliteit het risico ontstaan dat de identiteit van gebruikers gekoppeld kan worden aan andere gegevens. Threema noemt als voorbeeld de koppeling van een anoniem gebruikers-ID van de dienst aan een telefoonnummer van WhatsApp.

Door Yannick Spinner

Redacteur

08-02-2024 • 14:32

54

Lees meer

Reacties (54)

54
54
15
0
0
38
Wijzig sortering
WhatsApp werkt aan interoperabiliteit chatapps, vindt privacy waarborgen lastig
Een andere dienst, Threema, laat tegenover het medium weten dat derden op basis van de huidige plannen geen inzicht hebben in wat WhatsApp met gebruikersgegevens doet.
Meta (Whatsapp) die het over privacy heeft werkt toch altijd wel op mijn lachspieren. Zie ook de tegenstrijdigheid hierboven.
Volgens mij is de E2E van Whatsapp gewoon prima op orde toch? Het enige waar Meta bij zou kunnen is de (*ahum) metadata wat ik begrijp. Daarmee kunnen ze ook goed 'zien' met wie en waar je chat, alleen niet in detail.
Volgens mij is de E2E van Whatsapp gewoon prima op orde toch?
Hoe weten we dat? Zonder regelmatige, onafhankelijke audits (en ik kan daar zo snel niets over vinden) kan het toch gewoon zo zijn dat ze, na de samenwerking met OWS, een backdoor hebben ingebouwd?
Dat weten we dus niet zolang de client code niet opensource is en verifieerbaar is met de APK die je installeert. Op blauwe ogen geloven is wat er overblijft.
Inderdaad. Volgens mij blijft de stelling E2E encrypted staan, als je je bericht tussen zender (jij) en ontvanger versleutelt, maar parallel een kopietje van je bericht online opslaat.
Dan is het E2E encrypted (met een kopie online).

Daarnaast zou er ook een backdoor in kunnen zitten. Wat mij vooral bezig houdt, is dat er jaren geleden in de media wereldwijd wel gesteld werd dat backdoors wenselijk zijn in bijvoorbeeld Whatsapp en dat dit (voor mijn gevoel) ineens niet meer werd verzocht. Dan is het logisch om te denken dat uiteindelijk inlichtingendiensten mee kunnen lezen in E2E versleutelde berichtendiensten zoals Whatsapp.

Los daarvan gebruikt Meta de metadata en dat wil je ook al niet.
Overheden/commerciële partijen hebben de afgelopen tien jaar al het vertrouwen gesloopt, dus wat mij betreft krijgen ze de komende jaar helemaal niks.
Ik denk zelf dat die meta data een groter probleem is.

Hoe snel hebben mensen geen oordeel / roddel als ze 2 mensen zien praten,
dan hebben ze al een idee dat ze weten waar het over gaat.

Na lang zoeken gebruik ik nu simplex-chat .
Perfect is het nog zeker niet maar het is wel goed werkbaar.
Volgens mij is de E2E van Whatsapp gewoon prima op orde toch?
Die is heel goed en wordt door een aantal partijen gebruikt zoals Facebook messenger, Google messages, Signal (uiteraard), whatsapp.

Maar bijvoorbeeld Threema gebruikt NaCl (old school website :D ) en de grootste concurrent Telegram gebruikt een eigen encryptie protocol. Overigens heb je bij deze laatste wel een uitdaging omdat je e2e encrypted messages wat lastiger (onmogelijk?) te bewaren zijn op een centrale server zoals telegram dat doet. Daarmee doe je één van de meest gewilde functionaliteiten van telegram teniet, namelijk je berichten vanuit elke willekeurige device kunnen lezen.
Weet niet hoe het ondertussen op iOS zit met de containers van applicaties. In het verleden zijn daar wel issues mee geweest. Dat applicaties van dezelfde leverancier OF in dezelfde container zaten OF ze konden bij de data van elkaar.
Als je dan ook Instagram en/of Facebook geïnstalleerd hebt staan dan zou Meta via die manier ongestraft bij de WhatsApp data kunnen komen. In dat geval is het wel iets meer dan alleen metadata.

Kan zo snel dat artikel niet meer vinden op het net, zal later vandaag nog wel even zoeken en bij deze reactie posten als ik hem kan vinden.
Ik wilde hetzelfde posten. Toch nog humor op enige wijze bij een enkeling daar ;) (of naïviteit :X )
De developers die gaan over vertrouwelijkheid van berichten & inhoud daar van zijn hele andere mensen dan die gaan over marketing.

Kan me voorstellen dat de technische uitdaging van bericht-encryptie gewoon goed geïmplementeerd moet worden, ook al verkopen andere data advertentieruimte.
De developers die gaan over vertrouwelijkheid van berichten & inhoud daar van zijn hele andere mensen dan die gaan over marketing.
Volledig akkoord dat dat twee compleet gescheiden functies zijn, maar als het hele verdienmodel van het bedrijf dreigt in te storten als 100% privacy moet worden ingebakken, dan denk ik dat de developers wel zeer duidelijke richtlijnen zullen krijgen over wat mag en moet. Neem die beperking weg, en je ziet dat een bedrijf zoals Matrix Foundation erin slaagt om het goed te implementeren met een fractie van de resources waarvor Meta/Whatsapp beschikt.
Whatsapp zal de wetgeving gewoon moeten respecteren en zijn nu bezig deze te implementeren. Men geeft aan hierbij uitdagingen te hebben. Dat is toch niet zo raar?
Als ze het over de privacy hebben verklaren ze niet om wiens privacy het gaat. In dit geval denk ik dat het om de pricavy van Meta gaat en niet om de gebruikers.
Er zou gewoon één standaard moeten komen waarbij de ontwikkelaars hun eigen app eromheen kunnen bouwen en daarbij verschillende toeters en bellen wel of niet kunnen toevoegen.
Er zou gewoon één standaard moeten komen
Insert xkcd over standaarden :P
Je bedoelt Andy Tanenbaum https://en.wikiquote.org/wiki/Andrew_S._Tanenbaum
(American–Dutch computer scientist and professor emeritus of computer science at the Vrije Universiteit Amsterdam in the Netherlands.
)

The nice thing about standards is that you have so many to choose from.

Computer Networks, 2nd ed., p. 254.

[Reactie gewijzigd door ronaldvr op 23 juli 2024 15:08]

Ik bedoelde uiteraard deze https://xkcd.com/927/, maar die van jou werkt ook ja.
WhatsApp is oorspronkelijk gebaseerd op zo'n open en vrije, interoperabele standaard: XMPP. Oh, de ironie. Laat dat maar aan big tech over.
Je loopt dan tegen het onvermijdelijke probleem aan dat een commissie die geen belang heeft bij nieuwe features gaat bepalen welke toeters en bellen toegestaan zijn.

Vergelijk het met PTT telecom vroeger die bepaalde welke toestellen je aan je aansluiting mocht hangen. Toen had iedereen hetzelfde grauwe toestel in huis...
Die van ons was groen hoor ;)
Een interoperabele standaard, zoals XMPP wil niet zeggen dat je ook daadwerkelijk alle features moet implementeren in een client.
Nee, maar het beperkt wel behoorlijk welke nieuwe features gebouwd kunnen worden.
Dat hoeft elkaar niet tegen te werken. Maar dat vergt wel aandacht.
Hoe dan? Je gaat toch geen idee voor een onderscheidende nieuwe feature ontwikkelen, dat met veel pijn en moeite door een standaardisatie commissie heen werken waarna je concurrenten precies hetzelfde kunnen aanbieden en mogelijk soms beter. De business case voor zo'n actie is er domweg niet, dus dat zet gewoon een enorme rem op de hoeveelheid werk die mensen er in kunnen steken.
Niet alles is een business case. Soms is het een believers case
Het glas kan half vol zijn, niet half leeg,
Waar een wil is, is een weg
Positief i.p.v. negatief
Mindset op Can Do! i.p.v. Can not.
Geen beren op de weg zoeken

Niet alles hoeft of is onderscheidend op functie / feature. Er zijn veeeeel meer dingen om te beconcureren.
Geloof en mindset doen niets af aan het feit dat er toch ergens aan verdiend moet worden om je werk te financieren.
Daar zit je mis.. Er zijn nog steeds genoeg bedrijven die dingen doen omdat het goed is, omdat ze voor de samenleving iets terug willen doen. Overall moet er zeker geld verdiend worden, maar op onderdelen kun je best investeren in maatschappelijk goede dingen.

Het is niet zo zwart/wit als jij stelt.
Maar dat is op internet toch al niet anders? Of gebruik jij iets anders dan de Web-standaard?
De web standaard is maar 1 radartje in het geheel en is feitelijk gewoon een platform voor het afleveren van proprietary software van de big tech bedrijven geworden. In de praktijk gebruik je niet 'het web', maar Google, Amazon, Facebook, X en andere diensten. Die zijn allemaal tot de huidige vorm gekomen in een tijd dat er geen restricties opgelegd waren hoe een zoekmachine, webshop of sociaal netwerk zou moeten werken of geld zou kunnen verdienen.
Vergelijk het met PTT telecom vroeger die bepaalde welke toestellen je aan je aansluiting mocht hangen. Toen had iedereen hetzelfde grauwe toestel in huis...
Dat was uitsluitend regelgeving van PTT Telecom. De aansluitingen voldeden wel aan ITU standaarden voor lusstroom, belsignaal, signalering enz. Toen Blokker goedkope Chinese white-label toestellen ging verkopen bleken die ook gewoon te werken.
Als Whatsapp wat om privacy gaf zou de app niet de adresboeken van gebruikers uploaden naar whatsapp.
Had laatst Telegram uitgeprobeerd en kreeg binnen 5 minuten een bericht van mijn tante die via haar contacten dus zag dat ik me had geregistreerd 8)7 8)7
Yup. Telegram doet het ook, het is natuurlijk wel de makkelijkste manier om direct te zien wie van je vriendjes ook Telegram heeft.
Op zichzelf is daar niet veel mis mee. Het probleem is alleen dat je toestemming móet geven. Als het optioneel was, zou het geen probleem zijn.
En los van wat ik verder zei: het klopt ook niet altijd. Heb ook wel eens gehad dat iemand die mijn nummer had zei “ik heb je een bericht gestuurd op WhatsApp”, terwijl ik geen WhatsApp heb/had.
Je kunt dat trouwens wel weigeren, dan kun je alleen zelf geen nieuwe groepschat meer starten. Wel deelnemen. En zie je dan voor 1:1 gesprekken telefoonnummers of indien ingesteld een WhatsApp alias, maar geen volledige info meer. Je kunt ook nieuwe chats enkel met het volledige tel nr starten, niet opzoeken of iets.
WhatsApp probeert je zo wat te ontmoedigen, maar ik gebruik het nu een paar jaar zo en is goed genoeg als je toch vooral op andere reageert terwijl je zelf vooral zit op Signal, Threema, Matrix. Dan moet je alleen een ander vragen om een groepschat te maken en je toe te voegen, maar dat doen er stiekem al meer dan ik lief heb. Theoretisch als te veel mensen dit zouden gaan doen kun je een situatie krijgen dat niemand dat meer kan in een groepje mensen, maar ik ken er verder nog niet, en dan zitten ze steeds vaker gelukkig ook wel op Signal.
Want…? De hele dienst draait om het zijn van een drop-in replacement voor andere vormen van messaging, dan is een contact discovery een enorm logisch onderdeel van de featureset. Je kan het uploaden van de contacten echter weigeren als je dat niet wil. Het is dus maar net wat je zelf kiest.
Als privacy en gemak botsen dan zou privacy moeten winnen. Laat al die messengers maar werken via hetzelfe principe als msn/skype/icq/etc waar je handmatig contacten moest toevoegen en die vervolgens toestemming moesten geven. De enige reden dat het niet verboden is is omdat als de massa zou moeten kiezen tussen privacy en whatsapp, privacy het onderspit zou delven.
Wint privacy enkel als het werkt op de (omslachtige vanuit het perspectief van de meesten) manier die jij voorstelt dan? :/ Privacy is iets persoonlijks, vergeet dat niet. Als ik het prima vind dat een Signal bijvoorbeeld m’n adresboek gebruikt voor contact discovery, dan is dat mijn persoonlijke keuze over mijn persoonlijke privacy. Net als dat ik, en jij ook, de keuze hebben om een systeem te gebruiken waar je handmatig contacten moet toevoegen.

Ik ben blij dat het niet verboden is puur omdat sommige mensen vinden dat een stukje techniek enkel op manier X mag werken omdat dat toevallig je persoonlijke keuze is.
Nee, dat is niet jouw persoonlijke privacy, dat is de privacy van de mensen in jouw adresboek. Het zijn de persoonsgegevens van alle mensen in jouw adresboek die jij deelt met derden zonder dat zij daar toestemming aan jouw voor hebben gegeven.
Nee hoor, bij Signal (en bij WhatsApp eveneens) worden enkel de telefoonnummers uitgewisseld; en daarnaast ook nogeens in hashed formaat. (Al moet ik zeggen dat dat laatste geen ruk uitmaakt.) De namen en overige (meta)data worden niet meegestuurd. Als je dat een privacyprobleem vindt heb ik slecht nieuws voor je: met een scriptje kan ik alle telefoonnummers die er kunnen bestaan in Nederland, en de rest van de wereld, genereren in luttele seconden.

[Reactie gewijzigd door WhatsappHack op 23 juli 2024 15:08]

Als ze al eens beginnen met één chatdienst van Meta te hebben...
Nu krijg ik berichten via Facebook Messenger en via Whatsapp van dezelfde mensen...
Als de functionaliteit binnen WhatsApp als volgt zou functioneren:
  • Je krijgt een bericht binnen op een ander platform, laten we zeggen: Signal
  • WhatsApp toont (binnen de app) een extra balkje, met het icoon van Signal, en een tellertje/badge van het aantal ongelezen berichten
  • Wanneer je op dat icoon tikt, ga je automatisch naar Signal en kun je lezen/antwoorden
Dan zou ik (met enige terughoudendheid) vertrouwen dat WhatsApp/Meta/Facebook niet alsnog een hoop (meta)data bij elkaar kan harken.

Zodra WhatsApp ook berichteninhoud, naam van afzender (of nog erger: telefoonnr), datum/tijd van ontvangst etc. kan uitlezen en tonen binnen de app, hebben ze meer dan genoeg informatie om (aan de hand van eerder verworven informatie) de relatie met jou als persoon te leggen - terwijl je nou juist WEG wilde van Meta. En ja, ze schermen met encryptie, en gescheiden omgevingen, beloftes en meer van dat moois. Maar ik geloof daar niet meer in.
naam van afzender (of nog erger: telefoonnr),
Dat weet WhatsApp al, want die leest het adresboek uit waar dit in staat.

De beste oplossing is voor de Signalgebruiker om een keuze te hebben over of die via Signal bereikbaar wilt zijn op andere chatnetwerken.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 15:08]

Inderdaad, het enige voordeel van e2e encryptie in een communicatieprotocol is dat het niet inzichtelijk is op de server..
De cliënts (apps) kunnen de gedecrypte text prima alsnog als "telemetrie" terugsturen naar meta. Alleen de source code kan hier bewijs van zijn dat het dat niet doet.

[Reactie gewijzigd door jkommeren op 23 juli 2024 15:08]

Ik vraag mij af of het voor de DMA voldoende is dat WhatsApp een aanvaardbare mogelijkheid biedt om te integreren, ongeacht of andere partijen er gebruik van maken. Als dan niemand het wil, dan is dat maar zo, lijkt me toch?
Ik vraag me af hoe ze dit voor elkaar willen krijgen. En wat de eisen van de EU precies zijn.
Moet WA berichten van ELKE andere chatapp kunnen ontvangen (en terugsturen?).

Dan zijn ze zeker afhankelijk van de medewerking van andere chatapps.
Wat je anders nu gaat krijgen is een soort Franz, maar dan voor je telefoon.
Je hebt dan 1 client met daarin meerdere chat accounts die je in verschillende tabs kunt inzien.
Tja. Ik, en denk meer mensen die expliciet om privacyredenen geen WhatsApp gebruiken, heb vergelijkbare zorgen als Threema (en niet enkel hun voorbeeld, maar uberhaupt het alsnog data in een Metadienst gooien op Meta's servers en voorwaarden). En dat de concurerende diensten die op privacy gericht zijn, dus ook niet super happig zijn op hier zomaar op in springen. Dat was vanaf moment 1 dat over interoperabiliteit gesproken werd al een punt.

Vraag me af hoe dit verder gaat. Ik zit eigenlijk niet te wachten dat straks mijn Signal en Matrix chats in iemand anders z'n WhatsApp zitten. Dan wordt het net zoals email een privacy-hell waar de zwakste schakel jouw privacy bepaald. En ik vrees dat een aardig deel van mijn Signal contacten dan ook opeens uit Signal verdwijnen want "nu kan het weer makkelijk in WhatsApp", tenzij ik van mijn kant uit WhatsApp integratie kan blokkeren. Dit zou dan juist een enorm averechts effect hebben op privacy.

Ik waardeer dus ook wel de tegenslag van de concurerende diensten. Fijn dat die niet blindelinks mee gaan. "Werkt met WhatsApp, maar heeft meer privacy" klinkt natuurlijk als leuke marketing tegen de leek die niet genoeg weet om er verder op in te gaan, dus ik ben blij om te zien dat ze daar niet op in springen maar juist vraagtekens zetten.
Berichtendienst Matrix zegt tegen Wired dat het een geheimhoudingsovereenkomst moest tekenen.
Berichtendienst Matrix? Matrix is een protocol, geen dienst.

T.net heeft het goed overgenomen van Wired, maar Wired heeft het fout. Matthew Hodgson is een oprichter van Matrix.org (de organisatie en dienst). Vanuit die context is een geheimhoudingsverklaring ondertekend. Dat heeft geen invloed op Matrix (het protocol) of op hoe WhatsApp-bridges nu gebruikt worden via dat protocol.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 15:08]

Ach, dienst, protocol… Linux is ook maar een kernel, maar wie gebruikt het niet om te verwijzen naar het platform? (“Ik gebruik Linux”, “de overheid gebruikt Linux”, etc.).
In dit geval is het onderscheid belangrijk, want de gerefereerde geheimhoudingsverklaring heeft niets te maken met het federatieve netwerk.
Het is ook een volstrekt van de pot gerukte wetgeving die op meerdere vlakken tekort schiet. Ik heb nog altijd het idee dat het enige doel hiervan is dat men uiteindelijk liever encryptie eruit sloopt dan boetes te moeten betalen aan de EU wegens het niet voldoen aan de wetgeving.

Op dit item kan niet meer gereageerd worden.