C0D1 ONLINE

Klage behauptet, WhatsApp besitzt keine End-to-End-Verschlüsselung

Feuersbrunst die nach oben schießt

Verfasst von

Norbert

in

Das ist ein Burner. Eine Klage zitiert Whistleblower. Denen zur Folge kann Meta alle Nachrichten von Benutzern mitlesen.

“A worker need only send a ‘task’ (i.e., request via Meta’s internal system) to a Meta engineer with an explanation that they need access to WhatsApp messages for their job,” the lawsuit claims. “The Meta engineering team will then grant access—often without any scrutiny at all—and the worker’s workstation will then have a new window or widget available that can pull up any WhatsApp user’s messages based on the user’s User ID number, which is unique to a user but identical across all Meta products.

Autsch. Sucht euch einen anderen Messenger.

Zusatz: Im Grunde ist es einfach: Hast du den Verschlüsselungskey nicht, dann kannst du dich nicht auf die Verschlüsselung verlassen. Das ist übrigens auch bei Signal und Threema so. Eine höhere Vertrauenswürdigkeit verbessert das Grundproblem nicht. Tendentiell ist es aber noch immer besser, Signal oder Threema zu verweden. WhatsApp ist damit mal absolut keine Alternative mehr.

Fediverse-Reaktionen

Kommentare

16 Antworten zu „Klage behauptet, WhatsApp besitzt keine End-to-End-Verschlüsselung“

  1. Avatar von Erik
    Erik

    Wundern würde es mich nicht. Das Interesse an den Daten der User ist für WhatsApp wahrscheinlich so groß, dass da auch gerne mal ein Auge zugedrückt wird, wenn es um Datenschutz geht.

    Antworten
    1. Avatar von Norbert
      Norbert

      Ich sehe das auch so. Die Verwunderung hält sich bei mir daher in Grenzen. Man wird sehen, was da rauskommt. Vermutlich kommt es zu einer außergerichtlichen Einigung und wir erfahren nichts.

      Antworten
  2. Avatar von K@rsten :verified_gay:
    K@rsten :verified_gay:

    @hello da die Nachrichten Ende zu Ende verschlüsselt sind, dürften es maximal die verschlüsselten Nachrichten sein. Und natürlich die Metadaten.

    1. Avatar von Norbert
      Norbert

      Anscheinend sammeln sie die privaten Schlüssel ein. Damit ist die Geschichte gegessen.

      Antworten
      1. Avatar von K@rsten :verified_gay:
        K@rsten :verified_gay:

        @hello Ich bin bisher der irrigen Annahme erlegen, dass bei einer Ende-zu-Ende Verschlüsselung die privaten Schlüssel ausnahmslos auf dem eigenen Endgerät liegen. Oder auf einem eigenen Yubikey oder sowas.

        1. Avatar von Norbert
          Norbert

          Hast du bei WhatsApp, Signal, Threema schon die Möglichkeit gesehen, selbst einen Schlüssel anzugeben?

          Antworten
          1. Avatar von K@rsten :verified_gay:
            K@rsten :verified_gay:

            @hello Ich bin davon ausgegangen, dass der bei erstmaliger Verwendung automatisch erzeugt wird und in einer Secure Enclave abgelegt wird. Machen andere ja auch so. Selber Schlüssel erzeugen, am besten auf Computern, die nicht mit dem Internet verbunden sind und nie in irgendeinem Netzwerk waren und sind, ist sowieso was für Nerds 🤓

          2. Avatar von Norbert
            Norbert

            Den Key erstellst nicht du, sondern die App. Ergo hat die App die Hoheit darüber.

  3. Avatar von BjoernAusGE
    BjoernAusGE

    @hello worauf stützt sich die Aussage das auch Signal und Threema Zugriff auf die private Keys der User haben? Das wäre bzgl. E2E Verschlüsselung ja mehr als unsinnig.

    1. Avatar von Norbert
      Norbert

      Die App am Handy erstellt den privaten Schlüssel und hat natürlich Zugriff auf ihn. Ergo kann der Betreiber auch alle privaten Schlüssel einsammeln. Dass Signal und Threema das tun, habe ich nicht gesagt. Aber sie könnten. Angeblich macht das ja WhatsApp, wenn die Berichte stimmen.

      Antworten
      1. Avatar von K@rsten :verified_gay:
        K@rsten :verified_gay:

        @hello Wenn man Paranoia hat, darf man sowieso nur Open Source Messenger benutzen, die man sich aus dem Quellcode selber übersetzt hat. :mastolol:

        1. Avatar von Norbert
          Norbert

          Man kann sich natürlich lustig darüber machen, das zeugt aber nicht von besonders viel Ahnung.

          Antworten
          1. Avatar von BjoernAusGE
            BjoernAusGE

            @hello Naja um einen Schlüssel zu nutzen muss die App auch Zugriff darauf haben. Die Clients von Threema und Signal liegen im Gegensatz zu Whatsapp im Quelltext vor, würde eine Funktion bestehen um die Keys zu exfiltrieren sollte das schon jemandem aufgefallen sein.
            Die gleiche Annahme müsste man dann alle Softwareprojekten unterstellen zum Beispiel auch den Machern von ssh?

      2. Avatar von Jan Kruse
        Jan Kruse

        @hello
        Das könnte 1 bei Threema im Quellcode prüfen.

        1. Avatar von Norbert
          Norbert

          Könnte.
          Aber weißt du, ob genau dieser Quellcode bei dir am Smartphone läuft?

          Antworten
          1. Avatar von Jan Kruse
            Jan Kruse

            @hello
            Nein, aber ich gehe davon aus, dass Leute, die das können, auch gucken, ob sich aus dem Quellcode das apk erzeugen lässt, welches jeweils aktuell verteilt witd. Da hängt ein Ruf an dem Grschäftsmodell.

Likes

Neuveröffentlichungen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

To respond on your own website, enter the URL of your response which should contain a link to this post’s permalink URL. Your response will then appear (possibly after moderation) on this page. Want to update or remove your response? Update or delete your post and re-enter your post’s URL again. (Find out more about Webmentions.)

Weitere Beiträge