"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

Whatsapp

watchout 02.10.2011 - 20:04 134918 867 Thread rating
Posts

semteX

Risen from the banned
Avatar
Registered: Oct 2002
Location: Pre
Posts: 14308
bei uns schlägt regelmäßig der handshake fehl wenn der key sich ändert, woraufhin ein client nur noch garbage data bekommt. und du kannst ned mal leute aus gruppen entfernen weil signal keine admin konzepte auf gruppenebenen hat... :facepalm:

aus einer techniker + security sicht alles sachn die sinn machn. für einen end-benutzer aus UX sicht fatal

JDK

Oberwortwart
Avatar
Registered: Feb 2007
Location: /etc/graz
Posts: 2737
Schade, Gruppen find ich in WhatsApp schon sehr mangelhaft gelöst.
Versuche momentan größere Gruppen zu Discord zu bewegen.

JDK

Oberwortwart
Avatar
Registered: Feb 2007
Location: /etc/graz
Posts: 2737
Hat einer von euch schon Erfahrungen mit Matrix bzw. Element gemacht?

Hab mir da gestern mal testweise einen eigenen Server aufgesetzt, muss mir aber noch anschauen, ob das irgendwas besser macht als Discord (abgesehen von dem Datenhandling). Convenience/Usability is halt ein wichtiger Faktor, sollt ich Leute dazu bewegen wollen.

mr.nice.

endlich fertig
Avatar
Registered: Jun 2004
Location: Wien
Posts: 6286
Damit ist es wohl offiziell, dass Behörden im Bedarfsfall und trotz Ende-zu-Ende Verschlüsselung bei Whatsapp mitlesen können:

Indigo

raub_UrhG_vergewaltiger
Avatar
Registered: Mar 2001
Location: gigritzpotschn
Posts: 6687
liest sich aber so als würden sie whatsapp web genauso benutzen wie der benutzer selbst, weils anscheinend erstmal physischen zugang zum gerät brauchen um es zu aktivieren.
die frage ist eher was passiert wenn die person selber auch whatsapp web benutzt, dann hauts das BKA nämlich (theoretisch) raus :D

rad1oactive

knows about the birb
Avatar
Registered: Jul 2005
Location: Virgo Superclust..
Posts: 12367
Zitat aus einem Post von Indigo
liest sich aber so als würden sie whatsapp web genauso benutzen wie der benutzer selbst, weils anscheinend erstmal physischen zugang zum gerät brauchen um es zu aktivieren.
die frage ist eher was passiert wenn die person selber auch whatsapp web benutzt, dann hauts das BKA nämlich (theoretisch) raus :D

Wieso, du kannst ja mehrere websessions offen haben auf verschiedenen Endgeräten, wird einem ja angezeigt.

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 16603
Ja. Mehrere Sessions parallel. Das ist halt Kategorie „hacking“. Ging bei Skype auch schon dass man mehrere Sessions unentdeckt hat. Das gleiche bei Dropbox mir der Kopie des session keys. Braucht halt alles mal Zugriff auf ein device bzw. Zugangsdaten.

mr.nice.

endlich fertig
Avatar
Registered: Jun 2004
Location: Wien
Posts: 6286
Ob ein physischer Zugang zum Gerät für die Ersteinrichtung tatsächlich benötigt wird ist unklar und hängt wohl von mehreren Faktoren ab.
Ich gehe davon aus, dass danach der Zugriff auf die Informationen nicht über das gewöhnliche Webinterface erfolgt, wie wir es kennen.

22zaphod22

chocolate jesus
Avatar
Registered: Sep 2000
Location: earth, mostly ha..
Posts: 6940
naja die "normale" whatsapp web funktionalität wirds wohl nicht sein ... denn da sehe ich ja "whatsapp web ist aktiv" bzw. die liste der angemeldeten geräte in der app ...

also wird es nicht so sein dass der "geheimagent" während seine aufreizende partnerin mich ablenkt mein handy nimmt, whatsapp startet und dann den qr code auf seinem dienstlaptop scannt um sein whatsapp web mit meinem handy zu verbinden ...

Mr. Zet

Super Moderator
resident spacenerd
Avatar
Registered: Oct 2000
Location: Edge of Tomorrow
Posts: 11975
Ich hab im Signal Forum letztens gelesen, dass es in Whatsapp quasi einen WebServer gibt, der es eben mittels WhatsApp Web von überall ermöglicht auf die Daten im Gerät zuzugreifen ohne die Ende-zu-Ende Verschlüsselung aufweichen zu müssen (weil die weiterhin nur im Gerät passiert).

Ging im wesentlichen darum, warum es für Signal keine ähnlich komfortable Web-Oberfläche gibt und wieso der Signal Desktop Client bzw dessen Verbindung zur App am Phone so viel schlechter funktioniert.

Unterm Strich ist halt der Webserver von WhatsApp eine mögliche Angriffsroute wenn man den Handshake mit dem Handy irgendwie faken kann und/oder hat vielleicht sogar eine backdoor eingebaut?

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 16603
Zitat aus einem Post von mr.nice.
Ob ein physischer Zugang zum Gerät für die Ersteinrichtung tatsächlich benötigt wird ist unklar und hängt wohl von mehreren Faktoren ab.
Ich gehe davon aus, dass danach der Zugriff auf die Informationen nicht über das gewöhnliche Webinterface erfolgt, wie wir es kennen.
Wüsste jetzt nicht wie man das Protokoll anders „bezwingt“. Theoretisch ist man in the middle möglich aber dafür musst das Netzwerk rund um das Smartphone im Griff haben was defacto unmöglich ist aufgrund von wlan. Unter Android kannst ihn mit lokaler Software stealth umleiten. Unter iOS wird ein loopback VPN notwendig.
Jedenfalls ändert sich der Security Code (Fingerprint) bei diesem Eingriff. Update notification auf fingerprint/security Code ist deaktiviert per default.
Leider kann WhatsApp kein Security Code pinning (vgl. Threema), dadurch ist die ganze e2e encryption so lala.
Aja und Zugriff auf die messages ist auf einem kompromittieren Smartphone natürlich auch möglich. WhatsApp bzw. Die Messenger legen e2e encryption ja sehr locker aus. Beim speichern auf das device wird die Nachricht ja entschlüsselt und dann nur noch mit dem App-key verschlüsselt- der funktioniert natürlich nur so lange es keinen Root User/app am System gibt.

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 16603

Hier noch ein Bericht von heute in dem ebenfalls von physischem Zugriff auf das device gesprochen wird.

Obermotz

Fünfzylindernazi
Avatar
Registered: Nov 2002
Location: OÖ/RI
Posts: 5262
Am liebsten wär ihnen natürlich eine API wo man Nummer und Governmental Decryption Key mitgibt und dann schön mitlesen kann..

mr.nice.

endlich fertig
Avatar
Registered: Jun 2004
Location: Wien
Posts: 6286
Ich tippe auf ein oder zwei modifizierte UI und XML Dateien am Whatsapp Client, um z.B. die Benachrichtigung kürzer sichtbar und dann ganz unsichtbar zu machen und eventuell irgendeine Mini-Routine,
die die Dateien nach einem Update wieder zurückschreibt. Wie diese Anpassungen auf's Gerät kommen ist letztlich egal, ob NFC, Bluetooth, WiFi exploit oder physischen Zugriff.

Die Daten der Webauswertung werden wohl aggregiert und gefiltert, das meinte ich mit "nicht das Interface wie wir es kennen".

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 16603
Aber genau das ist mit aktuellen Smartphones extrem schwierig. Oder wie verankerst du dort Software so dass sie andere Apps modifizieren kann?
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz