News WhatsApp: Verschlüsselung kann umgangen werden
- Ersteller Fetter Fettsack
- Erstellt am
- Zur News: WhatsApp: Verschlüsselung kann umgangen werden
Shoryuken94
Admiral
- Registriert
- Feb. 2012
- Beiträge
- 9.014
@Bonanca
wow, mit 100mb kommt man ja wirklich weit ^^
wow, mit 100mb kommt man ja wirklich weit ^^
Keine Ahnung, ob ich das richtig verstehe:
1) User A senden verschlüsselte Nachrichten nach User B
2) User B sendet ‘message was received by recipient’ notification, die Server aber "bewusst" blockieren muss
3) Angreifer zwingt User A zum Aushandeln neuer Verschlüsselungskeys, jedoch mit dem Angreifer
4) User A sendet aufgrund "retransmission vulnerability" erneut die Nachrichten, die User B nach Kenntnis von User A nicht erhalten haben soll
5) Angreifer gibt `received Notification`an User A
6) User A denkt, alles ist gut
Irgendwie muss es aber noch ein danach geben...
7) User A schickt weitere Nachrichten (aber mit gegenüber User B unbekannten Verschlüsselung)
8) User B merkt, das Verschlüsselung nicht funktioniert und fordert neue Aushandlung an
9) User A handelt neue Verschlüsselung mit User B aus
10) User A sendet aufgrund "retransmission vulnerability" erneut die Nachrichten, die User B nach Kenntnis von User A nicht erhalten haben soll
11) User B ist empfängt die Nachrichten und sendet ‘message was received by recipient’ notification
... u.s.w.
Ich denke so könnte das Problem aussehen. Dazu wäre noch zu überlegen, ob dies in beide Richtungen funktioniert. Wenn ja, dann könnte ein geschickter Angreiofen Nachrichten abgreifen. Jedoch würde das zu ständigen Neuaushandeln von Verschlüsselungen kommen. Zwischen dem Aushandeln wäre die Double-Ticks nicht gesetzt.
PS: Wichtiger Punkt hier, die Whatsapp Server müssen bewusst die Notifications blockieren.
Edit-PS: Whatsapp könnte anzeigen, dass eine neue Verschlüsselung ausgehandelt wurde. Dadurch würde das Mitlesen (oder ein Bug) schnell erkenntlich. Dies ist aber dann genau das, was nicht gewollt ist, nehme ich an.
Zuletzt bearbeitet:
GrumpyDude
Lt. Commander
- Registriert
- Okt. 2007
- Beiträge
- 1.315
kann man eigentlich Signal selbst kompilieren als APK? Welche Messenger sind "fully" opensource, so dass ich sie selbst kompilieren kann? Da würd
Zuletzt bearbeitet:
q3fuba
Lieutenant
- Registriert
- Jan. 2009
- Beiträge
- 934
Wie schon von vielen Vorpostern erwähnt, ist nahezu unmöglich die Dummies von Whatsapp weg zu bringen...
Deswegen ja auch Dummies
Aber das interessiert sowieso keinen Dummy wobei man sagen muss, 90% der User haben gerade mal Ahnung haben wie man ein Smartphone einschaltet!
Ja, ich habe es erlebt -> einige wissen nicht wie sie ihr Gerät ausschalten/rebooten können...
Ist ganz einfach, wenn man sich "treiben" lassen kann, wieso soll man dann selbst "schwimmen"
Und so lange es solche "Dummies" gibt, wird sich auch nichts ändern!
Deswegen ja auch Dummies
Aber das interessiert sowieso keinen Dummy wobei man sagen muss, 90% der User haben gerade mal Ahnung haben wie man ein Smartphone einschaltet!
Ja, ich habe es erlebt -> einige wissen nicht wie sie ihr Gerät ausschalten/rebooten können...
Ist ganz einfach, wenn man sich "treiben" lassen kann, wieso soll man dann selbst "schwimmen"
Und so lange es solche "Dummies" gibt, wird sich auch nichts ändern!
H
hroessler
Gast
Ist da wirklich jemand ernsthaft überrascht? Leute, nehmt endlich einen alternativen Messenger und nehmt Abstand von dem Facebook Dreck!
greetz
hroessler
greetz
hroessler
GIGU
Lieutenant
- Registriert
- Juli 2005
- Beiträge
- 757
Wie sicher ist ein App, dessen Server in der Schweiz stehen überhaupt noch?Crys schrieb:Benutzt Threema!
Das Letzte Stück Freiheit hat das Schweizer Stimmvolk mit einem JA zur Massenüberwachung leider verspielt.
(OK, zweit letzte, in der EU sind wir noch nicht machen nur jeden Quatsch mit der uns Brüssel droht)
pmkrefeld
Captain
- Registriert
- Feb. 2012
- Beiträge
- 4.025
BIESNAKER schrieb:
Der Preis von Threema sollte doch wirklich kein Argument darstellen.
Ich hab in meinem Freundeskreis Threema etabliert, es war nicht einfach aber ich kann sie mittlerweile alle so erreichen.
Und wenn der Stein ins Rollen kommt wird es für alle immer einfacher.
Das einzige was mich noch stört ist dass es keine Möglichkeit gibt jmd diese App zu schenken, dann wäre das noch viel einfacher gewesen.
Matunuctus
Cadet 4th Year
- Registriert
- Juni 2012
- Beiträge
- 67
R
Rhizojo
Gast
bitte nicht, sonst ist threema als nächstes dran..hroessler schrieb:
Gandalf2210
Commodore
- Registriert
- Mai 2010
- Beiträge
- 4.175
Hätte eigentlich gedacht die machen die Verschlüsselung wirklich gut. So wie Apple auf ihren iPhones, damit man nicht mit Behörden kooperieren muss
piepenkorn
Captain
- Registriert
- März 2007
- Beiträge
- 3.376
D4rk_nVidia schrieb:
Was hast du für Freunde?
Meine Freunde sind trotzdem da und nutzen trotz Whatsapp auch Telegram.
Chesterfield
Fleet Admiral
- Registriert
- Sep. 2011
- Beiträge
- 10.764
Ist das jetzt so verwunderlich ? Nun ja wir werden alle eines Tages wieder bitter erfahren wie wertvoll Privatsphäre mal war
psYcho-edgE
Admiral
- Registriert
- Apr. 2013
- Beiträge
- 7.601
piepenkorn schrieb:Benutzt Telegram.
Lässt sich z.T. auch auslesen.
https://netzpolitik.org/2016/bundeskriminalamt-knackt-telegram-accounts/
Marcel55
Fleet Admiral
- Registriert
- Nov. 2007
- Beiträge
- 18.090
Whatsapp...habe ich auch nur noch zu Kompatibilitätsgründen drauf.
Mit meinem Freundeskreis bin ich schon lange zu Telegram gewechselt und es ist so viel besser als Whatsapp...man kann sogar Bots programmieren dafür.
Desktop-Client, Web-Client der auch ohne direkte Verbindung zum Smartphone funktioniert...
Mit meinem Freundeskreis bin ich schon lange zu Telegram gewechselt und es ist so viel besser als Whatsapp...man kann sogar Bots programmieren dafür.
Desktop-Client, Web-Client der auch ohne direkte Verbindung zum Smartphone funktioniert...
- Registriert
- Feb. 2012
- Beiträge
- 2.097
@soares: Ich kenne die Eigenheiten der Google Messaging Plattform nicht, aber wenn es ein universeller Dienst ist, dann liege ich wahrscheinlich nicht falsch wenn ich mal etwas rate: die üblichen Metadaten wie Absender- und Empfängeradresse (wie auch immer die aussehen, gehe aber stark davon aus das eine Verknüpfung zum Google-Konto möglich oder vorhanden ist), Timestamps und verschlüsselter Body. Und ich denke es wäre naiv zu glauben, dass Google bei der Gelegenheit nicht so viel wie möglich zusätzlich speichert. Könnte mir da vorstellen, wenn vorhanden: Standort, Telefonnummer, IMEI, Verbindungsinfos (Mobilfunk oder WLAN, zzgl. Netz-IDs oder SSIDs usw.), etc.
Mir ist klar das einiges davon notwendig ist damit der Dienst funktioniert, mich stört aber die Häufung (und Verknüpfung mit der Beute aus den anderen Google-Diensten) der Daten an einer zentralen Stelle. In Sachen Sicherheit ist Dezentralisierung ein gutes Mittel zur Risikominimierung.
Mir ist klar das einiges davon notwendig ist damit der Dienst funktioniert, mich stört aber die Häufung (und Verknüpfung mit der Beute aus den anderen Google-Diensten) der Daten an einer zentralen Stelle. In Sachen Sicherheit ist Dezentralisierung ein gutes Mittel zur Risikominimierung.
blueGod
Commander
- Registriert
- März 2006
- Beiträge
- 2.241
Das Beispiel zeigt sehr gut, was man von den Marketing-Sicherheitsversprechen halten kann. Das übliche "wussten wir nicht" zieht da auch nicht mehr. Es ist schlichtweg kein Interesse da die Lücke schnell und effektiv zu schliessen.
Zuletzt bearbeitet:
(blueGod)
Telegramm benutzt nur die unsicher SHA-1 Verschlüsselung und von Threma gibt es keinen einsehbaren Quellcode, alles was man darüber weiß kann also alles gelogen sein. Signal speichert hingegen alle Metadaten bei Google. Die WhatsApper sind im großen Cyberkrieg auch schon so gut wie erledigt.
Wer den Todesdrohnen entkommen will sollte also besser auf altbewährtes setzen:
https://de.wikipedia.org/wiki/One-Time-Pad
Wer den Todesdrohnen entkommen will sollte also besser auf altbewährtes setzen:
https://de.wikipedia.org/wiki/One-Time-Pad
Zuletzt bearbeitet:
Ähnliche Themen
