Whatsapp

semteX

begehrt die rostschaufel

Registered: Oct 2002
Location: Pre
Posts: 14716

08.07.2020 - 14:55

bei uns schlägt regelmäßig der handshake fehl wenn der key sich ändert, woraufhin ein client nur noch garbage data bekommt. und du kannst ned mal leute aus gruppen entfernen weil signal keine admin konzepte auf gruppenebenen hat... :facepalm:

aus einer techniker + security sicht alles sachn die sinn machn. für einen end-benutzer aus UX sicht fatal

JDK

Oberwortwart

Registered: Feb 2007
Location: /etc/graz
Posts: 2863

08.07.2020 - 16:22

Schade, Gruppen find ich in WhatsApp schon sehr mangelhaft gelöst.
Versuche momentan größere Gruppen zu Discord zu bewegen.

JDK

Oberwortwart

Registered: Feb 2007
Location: /etc/graz
Posts: 2863

20.07.2020 - 00:06

Hat einer von euch schon Erfahrungen mit Matrix bzw. Element gemacht?

Hab mir da gestern mal testweise einen eigenen Server aufgesetzt, muss mir aber noch anschauen, ob das irgendwas besser macht als Discord (abgesehen von dem Datenhandling). Convenience/Usability is halt ein wichtiger Faktor, sollt ich Leute dazu bewegen wollen.

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6553

22.07.2020 - 08:24

Damit ist es wohl offiziell, dass Behörden im Bedarfsfall und trotz Ende-zu-Ende Verschlüsselung bei Whatsapp mitlesen können:

WhatsApp: BKA nutzt WhatsApp Web, um Zielpersonen zu überwachen

Nach Recherchen von BR und WDR ist das Bundeskriminalamt (BKA) seit Jahren in der Lage, die Kommunikation über WhatsApp Web zu überwachen.

Link: www.computerbase.de

Indigo

raub_UrhG_vergewaltiger

Registered: Mar 2001
Location: gigritzpotschn
Posts: 6694

22.07.2020 - 08:39

liest sich aber so als würden sie whatsapp web genauso benutzen wie der benutzer selbst, weils anscheinend erstmal physischen zugang zum gerät brauchen um es zu aktivieren.
die frage ist eher was passiert wenn die person selber auch whatsapp web benutzt, dann hauts das BKA nämlich (theoretisch) raus

rad1oactive

knows about the birb

Registered: Jul 2005
Location: Virgo Superclust..
Posts: 12673

22.07.2020 - 08:52

Zitat aus einem Post von Indigo
liest sich aber so als würden sie whatsapp web genauso benutzen wie der benutzer selbst, weils anscheinend erstmal physischen zugang zum gerät brauchen um es zu aktivieren.
die frage ist eher was passiert wenn die person selber auch whatsapp web benutzt, dann hauts das BKA nämlich (theoretisch) raus

Wieso, du kannst ja mehrere websessions offen haben auf verschiedenen Endgeräten, wird einem ja angezeigt.

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16867

22.07.2020 - 08:55

Ja. Mehrere Sessions parallel. Das ist halt Kategorie „hacking“. Ging bei Skype auch schon dass man mehrere Sessions unentdeckt hat. Das gleiche bei Dropbox mir der Kopie des session keys. Braucht halt alles mal Zugriff auf ein device bzw. Zugangsdaten.

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6553

22.07.2020 - 09:03

Ob ein physischer Zugang zum Gerät für die Ersteinrichtung tatsächlich benötigt wird ist unklar und hängt wohl von mehreren Faktoren ab.
Ich gehe davon aus, dass danach der Zugriff auf die Informationen nicht über das gewöhnliche Webinterface erfolgt, wie wir es kennen.

22zaphod22

chocolate jesus

Registered: Sep 2000
Location: earth, mostly ha..
Posts: 7152

22.07.2020 - 09:32

naja die "normale" whatsapp web funktionalität wirds wohl nicht sein ... denn da sehe ich ja "whatsapp web ist aktiv" bzw. die liste der angemeldeten geräte in der app ...

also wird es nicht so sein dass der "geheimagent" während seine aufreizende partnerin mich ablenkt mein handy nimmt, whatsapp startet und dann den qr code auf seinem dienstlaptop scannt um sein whatsapp web mit meinem handy zu verbinden ...

Mr. Zet

Vereinsmitglied
resident spacenerd

Registered: Oct 2000
Location: Edge of Tomorrow
Posts: 12054

22.07.2020 - 09:55

Ich hab im Signal Forum letztens gelesen, dass es in Whatsapp quasi einen WebServer gibt, der es eben mittels WhatsApp Web von überall ermöglicht auf die Daten im Gerät zuzugreifen ohne die Ende-zu-Ende Verschlüsselung aufweichen zu müssen (weil die weiterhin nur im Gerät passiert).

Ging im wesentlichen darum, warum es für Signal keine ähnlich komfortable Web-Oberfläche gibt und wieso der Signal Desktop Client bzw dessen Verbindung zur App am Phone so viel schlechter funktioniert.

Unterm Strich ist halt der Webserver von WhatsApp eine mögliche Angriffsroute wenn man den Handshake mit dem Handy irgendwie faken kann und/oder hat vielleicht sogar eine backdoor eingebaut?

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16867

22.07.2020 - 10:54

Zitat aus einem Post von mr.nice.
Ob ein physischer Zugang zum Gerät für die Ersteinrichtung tatsächlich benötigt wird ist unklar und hängt wohl von mehreren Faktoren ab.
Ich gehe davon aus, dass danach der Zugriff auf die Informationen nicht über das gewöhnliche Webinterface erfolgt, wie wir es kennen.

Wüsste jetzt nicht wie man das Protokoll anders „bezwingt“. Theoretisch ist man in the middle möglich aber dafür musst das Netzwerk rund um das Smartphone im Griff haben was defacto unmöglich ist aufgrund von wlan. Unter Android kannst ihn mit lokaler Software stealth umleiten. Unter iOS wird ein loopback VPN notwendig.
Jedenfalls ändert sich der Security Code (Fingerprint) bei diesem Eingriff. Update notification auf fingerprint/security Code ist deaktiviert per default.
Leider kann WhatsApp kein Security Code pinning (vgl. Threema), dadurch ist die ganze e2e encryption so lala.
Aja und Zugriff auf die messages ist auf einem kompromittieren Smartphone natürlich auch möglich. WhatsApp bzw. Die Messenger legen e2e encryption ja sehr locker aus. Beim speichern auf das device wird die Nachricht ja entschlüsselt und dann nur noch mit dem App-key verschlüsselt- der funktioniert natürlich nur so lange es keinen Root User/app am System gibt.

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16867

23.07.2020 - 00:19

Wie Ermittler bei Whatsapp mitlesen können - derStandard.at

Link: apps.derstandard.at

Hier noch ein Bericht von heute in dem ebenfalls von physischem Zugriff auf das device gesprochen wird.

Obermotz

Fünfzylindernazi

Registered: Nov 2002
Location: OÖ/RI
Posts: 5262

23.07.2020 - 07:07

Am liebsten wär ihnen natürlich eine API wo man Nummer und Governmental Decryption Key mitgibt und dann schön mitlesen kann..

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6553

23.07.2020 - 08:20

Ich tippe auf ein oder zwei modifizierte UI und XML Dateien am Whatsapp Client, um z.B. die Benachrichtigung kürzer sichtbar und dann ganz unsichtbar zu machen und eventuell irgendeine Mini-Routine,
die die Dateien nach einem Update wieder zurückschreibt. Wie diese Anpassungen auf's Gerät kommen ist letztlich egal, ob NFC, Bluetooth, WiFi exploit oder physischen Zugriff.

Die Daten der Webauswertung werden wohl aggregiert und gefiltert, das meinte ich mit "nicht das Interface wie wir es kennen".

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16867

23.07.2020 - 08:36

Aber genau das ist mit aktuellen Smartphones extrem schwierig. Oder wie verankerst du dort Software so dass sie andere Apps modifizieren kann?

semteX begehrt die rostschaufel Registered: Oct 2002 Location: Pre Posts: 14716	08.07.2020 - 14:55 bei uns schlägt regelmäßig der handshake fehl wenn der key sich ändert, woraufhin ein client nur noch garbage data bekommt. und du kannst ned mal leute aus gruppen entfernen weil signal keine admin konzepte auf gruppenebenen hat... :facepalm: aus einer techniker + security sicht alles sachn die sinn machn. für einen end-benutzer aus UX sicht fatal
JDK Oberwortwart Registered: Feb 2007 Location: /etc/graz Posts: 2863	08.07.2020 - 16:22 Schade, Gruppen find ich in WhatsApp schon sehr mangelhaft gelöst. Versuche momentan größere Gruppen zu Discord zu bewegen.
JDK Oberwortwart Registered: Feb 2007 Location: /etc/graz Posts: 2863	20.07.2020 - 00:06 Hat einer von euch schon Erfahrungen mit Matrix bzw. Element gemacht? Hab mir da gestern mal testweise einen eigenen Server aufgesetzt, muss mir aber noch anschauen, ob das irgendwas besser macht als Discord (abgesehen von dem Datenhandling). Convenience/Usability is halt ein wichtiger Faktor, sollt ich Leute dazu bewegen wollen.
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6553	22.07.2020 - 08:24 Damit ist es wohl offiziell, dass Behörden im Bedarfsfall und trotz Ende-zu-Ende Verschlüsselung bei Whatsapp mitlesen können: WhatsApp: BKA nutzt WhatsApp Web, um Zielpersonen zu überwachen Nach Recherchen von BR und WDR ist das Bundeskriminalamt (BKA) seit Jahren in der Lage, die Kommunikation über WhatsApp Web zu überwachen. Link: www.computerbase.de
Indigo raub_UrhG_vergewaltiger Registered: Mar 2001 Location: gigritzpotschn Posts: 6694	22.07.2020 - 08:39 liest sich aber so als würden sie whatsapp web genauso benutzen wie der benutzer selbst, weils anscheinend erstmal physischen zugang zum gerät brauchen um es zu aktivieren. die frage ist eher was passiert wenn die person selber auch whatsapp web benutzt, dann hauts das BKA nämlich (theoretisch) raus
rad1oactive knows about the birb Registered: Jul 2005 Location: Virgo Superclust.. Posts: 12673	22.07.2020 - 08:52 Zitat aus einem Post von Indigo liest sich aber so als würden sie whatsapp web genauso benutzen wie der benutzer selbst, weils anscheinend erstmal physischen zugang zum gerät brauchen um es zu aktivieren. die frage ist eher was passiert wenn die person selber auch whatsapp web benutzt, dann hauts das BKA nämlich (theoretisch) raus Wieso, du kannst ja mehrere websessions offen haben auf verschiedenen Endgeräten, wird einem ja angezeigt.
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16867	22.07.2020 - 08:55 Ja. Mehrere Sessions parallel. Das ist halt Kategorie „hacking“. Ging bei Skype auch schon dass man mehrere Sessions unentdeckt hat. Das gleiche bei Dropbox mir der Kopie des session keys. Braucht halt alles mal Zugriff auf ein device bzw. Zugangsdaten.
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6553	22.07.2020 - 09:03 Ob ein physischer Zugang zum Gerät für die Ersteinrichtung tatsächlich benötigt wird ist unklar und hängt wohl von mehreren Faktoren ab. Ich gehe davon aus, dass danach der Zugriff auf die Informationen nicht über das gewöhnliche Webinterface erfolgt, wie wir es kennen.
22zaphod22 chocolate jesus Registered: Sep 2000 Location: earth, mostly ha.. Posts: 7152	22.07.2020 - 09:32 naja die "normale" whatsapp web funktionalität wirds wohl nicht sein ... denn da sehe ich ja "whatsapp web ist aktiv" bzw. die liste der angemeldeten geräte in der app ... also wird es nicht so sein dass der "geheimagent" während seine aufreizende partnerin mich ablenkt mein handy nimmt, whatsapp startet und dann den qr code auf seinem dienstlaptop scannt um sein whatsapp web mit meinem handy zu verbinden ...
Mr. Zet Vereinsmitglied resident spacenerd Registered: Oct 2000 Location: Edge of Tomorrow Posts: 12054	22.07.2020 - 09:55 Ich hab im Signal Forum letztens gelesen, dass es in Whatsapp quasi einen WebServer gibt, der es eben mittels WhatsApp Web von überall ermöglicht auf die Daten im Gerät zuzugreifen ohne die Ende-zu-Ende Verschlüsselung aufweichen zu müssen (weil die weiterhin nur im Gerät passiert). Ging im wesentlichen darum, warum es für Signal keine ähnlich komfortable Web-Oberfläche gibt und wieso der Signal Desktop Client bzw dessen Verbindung zur App am Phone so viel schlechter funktioniert. Unterm Strich ist halt der Webserver von WhatsApp eine mögliche Angriffsroute wenn man den Handshake mit dem Handy irgendwie faken kann und/oder hat vielleicht sogar eine backdoor eingebaut?
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16867	22.07.2020 - 10:54 Zitat aus einem Post von mr.nice. Ob ein physischer Zugang zum Gerät für die Ersteinrichtung tatsächlich benötigt wird ist unklar und hängt wohl von mehreren Faktoren ab. Ich gehe davon aus, dass danach der Zugriff auf die Informationen nicht über das gewöhnliche Webinterface erfolgt, wie wir es kennen. Wüsste jetzt nicht wie man das Protokoll anders „bezwingt“. Theoretisch ist man in the middle möglich aber dafür musst das Netzwerk rund um das Smartphone im Griff haben was defacto unmöglich ist aufgrund von wlan. Unter Android kannst ihn mit lokaler Software stealth umleiten. Unter iOS wird ein loopback VPN notwendig. Jedenfalls ändert sich der Security Code (Fingerprint) bei diesem Eingriff. Update notification auf fingerprint/security Code ist deaktiviert per default. Leider kann WhatsApp kein Security Code pinning (vgl. Threema), dadurch ist die ganze e2e encryption so lala. Aja und Zugriff auf die messages ist auf einem kompromittieren Smartphone natürlich auch möglich. WhatsApp bzw. Die Messenger legen e2e encryption ja sehr locker aus. Beim speichern auf das device wird die Nachricht ja entschlüsselt und dann nur noch mit dem App-key verschlüsselt- der funktioniert natürlich nur so lange es keinen Root User/app am System gibt.
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16867	23.07.2020 - 00:19 Wie Ermittler bei Whatsapp mitlesen können - derStandard.at Link: apps.derstandard.at Hier noch ein Bericht von heute in dem ebenfalls von physischem Zugriff auf das device gesprochen wird.
Obermotz Fünfzylindernazi Registered: Nov 2002 Location: OÖ/RI Posts: 5262	23.07.2020 - 07:07 Am liebsten wär ihnen natürlich eine API wo man Nummer und Governmental Decryption Key mitgibt und dann schön mitlesen kann..
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6553	23.07.2020 - 08:20 Ich tippe auf ein oder zwei modifizierte UI und XML Dateien am Whatsapp Client, um z.B. die Benachrichtigung kürzer sichtbar und dann ganz unsichtbar zu machen und eventuell irgendeine Mini-Routine, die die Dateien nach einem Update wieder zurückschreibt. Wie diese Anpassungen auf's Gerät kommen ist letztlich egal, ob NFC, Bluetooth, WiFi exploit oder physischen Zugriff. Die Daten der Webauswertung werden wohl aggregiert und gefiltert, das meinte ich mit "nicht das Interface wie wir es kennen".
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16867	23.07.2020 - 08:36 Aber genau das ist mit aktuellen Smartphones extrem schwierig. Oder wie verankerst du dort Software so dass sie andere Apps modifizieren kann?

Whatsapp

Forum Index > Hardware > Systeme > Smartphones & Tablets

semteX

JDK

JDK

mr.nice.

Indigo

rad1oactive

Smut

mr.nice.

22zaphod22

Mr. Zet

Smut

Smut

Obermotz

mr.nice.

Smut