Whatsapp - Seite 33

Seite 33 von 58 - Forum: Smartphones & Tablets auf overclockers.at

URL: https://www.overclockers.at/smartphones-tablets/whatsapp_226509/page_33 - zur Vollversion wechseln!


semteX schrieb am 08.07.2020 um 14:55

bei uns schlägt regelmäßig der handshake fehl wenn der key sich ändert, woraufhin ein client nur noch garbage data bekommt. und du kannst ned mal leute aus gruppen entfernen weil signal keine admin konzepte auf gruppenebenen hat... :facepalm:

aus einer techniker + security sicht alles sachn die sinn machn. für einen end-benutzer aus UX sicht fatal


JDK schrieb am 08.07.2020 um 16:22

Schade, Gruppen find ich in WhatsApp schon sehr mangelhaft gelöst.
Versuche momentan größere Gruppen zu Discord zu bewegen.


JDK schrieb am 20.07.2020 um 00:06

Hat einer von euch schon Erfahrungen mit Matrix bzw. Element gemacht?

Hab mir da gestern mal testweise einen eigenen Server aufgesetzt, muss mir aber noch anschauen, ob das irgendwas besser macht als Discord (abgesehen von dem Datenhandling). Convenience/Usability is halt ein wichtiger Faktor, sollt ich Leute dazu bewegen wollen.


mr.nice. schrieb am 22.07.2020 um 08:24

Damit ist es wohl offiziell, dass Behörden im Bedarfsfall und trotz Ende-zu-Ende Verschlüsselung bei Whatsapp mitlesen können:


Indigo schrieb am 22.07.2020 um 08:39

liest sich aber so als würden sie whatsapp web genauso benutzen wie der benutzer selbst, weils anscheinend erstmal physischen zugang zum gerät brauchen um es zu aktivieren.
die frage ist eher was passiert wenn die person selber auch whatsapp web benutzt, dann hauts das BKA nämlich (theoretisch) raus :D


rad1oactive schrieb am 22.07.2020 um 08:52

Zitat aus einem Post von Indigo
liest sich aber so als würden sie whatsapp web genauso benutzen wie der benutzer selbst, weils anscheinend erstmal physischen zugang zum gerät brauchen um es zu aktivieren.
die frage ist eher was passiert wenn die person selber auch whatsapp web benutzt, dann hauts das BKA nämlich (theoretisch) raus :D

Wieso, du kannst ja mehrere websessions offen haben auf verschiedenen Endgeräten, wird einem ja angezeigt.


Smut schrieb am 22.07.2020 um 08:55

Ja. Mehrere Sessions parallel. Das ist halt Kategorie „hacking“. Ging bei Skype auch schon dass man mehrere Sessions unentdeckt hat. Das gleiche bei Dropbox mir der Kopie des session keys. Braucht halt alles mal Zugriff auf ein device bzw. Zugangsdaten.


mr.nice. schrieb am 22.07.2020 um 09:03

Ob ein physischer Zugang zum Gerät für die Ersteinrichtung tatsächlich benötigt wird ist unklar und hängt wohl von mehreren Faktoren ab.
Ich gehe davon aus, dass danach der Zugriff auf die Informationen nicht über das gewöhnliche Webinterface erfolgt, wie wir es kennen.


22zaphod22 schrieb am 22.07.2020 um 09:32

naja die "normale" whatsapp web funktionalität wirds wohl nicht sein ... denn da sehe ich ja "whatsapp web ist aktiv" bzw. die liste der angemeldeten geräte in der app ...

also wird es nicht so sein dass der "geheimagent" während seine aufreizende partnerin mich ablenkt mein handy nimmt, whatsapp startet und dann den qr code auf seinem dienstlaptop scannt um sein whatsapp web mit meinem handy zu verbinden ...


Mr. Zet schrieb am 22.07.2020 um 09:55

Ich hab im Signal Forum letztens gelesen, dass es in Whatsapp quasi einen WebServer gibt, der es eben mittels WhatsApp Web von überall ermöglicht auf die Daten im Gerät zuzugreifen ohne die Ende-zu-Ende Verschlüsselung aufweichen zu müssen (weil die weiterhin nur im Gerät passiert).

Ging im wesentlichen darum, warum es für Signal keine ähnlich komfortable Web-Oberfläche gibt und wieso der Signal Desktop Client bzw dessen Verbindung zur App am Phone so viel schlechter funktioniert.

Unterm Strich ist halt der Webserver von WhatsApp eine mögliche Angriffsroute wenn man den Handshake mit dem Handy irgendwie faken kann und/oder hat vielleicht sogar eine backdoor eingebaut?


Smut schrieb am 22.07.2020 um 10:54

Zitat aus einem Post von mr.nice.
Ob ein physischer Zugang zum Gerät für die Ersteinrichtung tatsächlich benötigt wird ist unklar und hängt wohl von mehreren Faktoren ab.
Ich gehe davon aus, dass danach der Zugriff auf die Informationen nicht über das gewöhnliche Webinterface erfolgt, wie wir es kennen.
Wüsste jetzt nicht wie man das Protokoll anders „bezwingt“. Theoretisch ist man in the middle möglich aber dafür musst das Netzwerk rund um das Smartphone im Griff haben was defacto unmöglich ist aufgrund von wlan. Unter Android kannst ihn mit lokaler Software stealth umleiten. Unter iOS wird ein loopback VPN notwendig.
Jedenfalls ändert sich der Security Code (Fingerprint) bei diesem Eingriff. Update notification auf fingerprint/security Code ist deaktiviert per default.
Leider kann WhatsApp kein Security Code pinning (vgl. Threema), dadurch ist die ganze e2e encryption so lala.
Aja und Zugriff auf die messages ist auf einem kompromittieren Smartphone natürlich auch möglich. WhatsApp bzw. Die Messenger legen e2e encryption ja sehr locker aus. Beim speichern auf das device wird die Nachricht ja entschlüsselt und dann nur noch mit dem App-key verschlüsselt- der funktioniert natürlich nur so lange es keinen Root User/app am System gibt.


Smut schrieb am 23.07.2020 um 00:19


Hier noch ein Bericht von heute in dem ebenfalls von physischem Zugriff auf das device gesprochen wird.


Obermotz schrieb am 23.07.2020 um 07:07

Am liebsten wär ihnen natürlich eine API wo man Nummer und Governmental Decryption Key mitgibt und dann schön mitlesen kann..


mr.nice. schrieb am 23.07.2020 um 08:20

Ich tippe auf ein oder zwei modifizierte UI und XML Dateien am Whatsapp Client, um z.B. die Benachrichtigung kürzer sichtbar und dann ganz unsichtbar zu machen und eventuell irgendeine Mini-Routine,
die die Dateien nach einem Update wieder zurückschreibt. Wie diese Anpassungen auf's Gerät kommen ist letztlich egal, ob NFC, Bluetooth, WiFi exploit oder physischen Zugriff.

Die Daten der Webauswertung werden wohl aggregiert und gefiltert, das meinte ich mit "nicht das Interface wie wir es kennen".


Smut schrieb am 23.07.2020 um 08:36

Aber genau das ist mit aktuellen Smartphones extrem schwierig. Oder wie verankerst du dort Software so dass sie andere Apps modifizieren kann?




overclockers.at v4.thecommunity
© all rights reserved by overclockers.at 2000-2024