https://futurezone.at/digital-life/facebook-whatsapp-nachrichten-mitlesen-ende-zu-ende-verschluesselung/401728206


Wundert niemanden der sich etwas mit der Materie beschäftigt. Its friggin facebook ;)

Hätte Facebook einfach bei Alphabet nachfragen können, die haben meine Mails ;)

Google gibt wenigsten nicht vor NICHT mitzulesen .. ;)

ich hoffe es ist niemand schockiert.

Habe ich den Artikel nicht richtig gelesen oder wird hier etwas aufgeblasen was eigentlich keine Meldung wert sein sollte? Korrigiert mich falls ich das falsch wiedergebe: Facebook hat rund 1000 Mitarbeiter die, sofern sie vom User aktiv via "Melden" bzw. "Melden und Blocken" aufmerksam gemacht wurden, die betreffende Nachricht sowie die 4 vorhergegangenen lesen können. Das klingt, alleine vor der Verpflichtung des Gesetzgeber (NetzDG und so), für mich eher danach das die eine wie auch immer effektiv ausgestaltete Meldefunktion haben bei denen man Stalking, Scams, Morddrohungen und so was alles melden kann.

Wo ist hier jetzt das Problem??? Man kann Facebook viel, sehr viel, vorwerfen (willentliche Beschleunigung des Verfalls der Onlinedebattenkultur durch Bildung von Filterblasen, miese Arbeitsbedingungen für die Mitarbeiter, Account Zwang für den Oculus Store, Errichtung eines nahezu unangefochtenen Social Media Monopols, das Mark Zuckerberg nur kommen kann wenn er Rehkitze erwürgt.....) aber die Funktion selbst schaut mir jetzt nicht unmittelbar unanständig aus.

Wo ist hier jetzt das Problem???
Dass WhatsApp damit effektiv keine Ende-zu-Ende Verschlüsselung hat.

Das klingt, alleine vor der Verpflichtung des Gesetzgeber (NetzDG und so), für mich eher danach das die eine wie auch immer effektiv ausgestaltete Meldefunktion haben bei denen man Stalking, Scams, Morddrohungen und so was alles melden kann.

So wird es sein. Ende-zu-Ende-Verschlüsselung muss dafür nicht aufgebrochen werden. Der meldende Client kann einfach die entschlüsselten Nachrichten an Facebook weiterleiten.

Die nehmen einfach das FBI/CIA backdoor ;)

add.:
Ich gehe davon aus, dass Herr Zuckerberg irgendwann mal nächtlichen Besuch von schwarz gekleideten Menschen bekommen hat die ihm nahelegten, doch ein kleines Türchen für spezielle "Freunde" einzubauen.

Wo ist hier jetzt das Problem?

Es gibt keine echte Ende-zu-Ende Verschlüsselung. Kann also auch von Dritten mißbraucht werden.

Ein meldender Client ist keine dritte Partei.

Ein meldender Client ist keine dritte Partei.

Das Backdoor zur Entschlüsselung existiert aber, und wer es kennt kann es nutzen :smile:

Welche Backdoor?

Hab ich’s richtig verstanden: der User schickt einen Screenshot (automatisiert durch die Melden Funktion) der Nachricht an WA und jemand checkt es?

@Argo: so ähnlich habe ich das auch verstanden. Vielleicht ist meine Erwartungshaltung gegenüber FB auch nur einfach auf einem sehr niedrigen Stand, da ich Whatsapp mit allem möglichen in Verbindung bringe, nur nicht mit Privatsphäre. Ich muss aber zugeben das ich die öffentlichen Aussagen von FB zur E2E Encryption (siehe https://faq.whatsapp.com/general/security-and-privacy/end-to-end-encryption/?lang=de) und in dem Zusammenhang den technischen Hintergrund der Meldefunktion nicht schlüssig finde. Bedeutet das der Servicemitarbeiter Zugriff auf das Gerät bekommt, bzw. einen Auszug der letzten entschlüsselten Nachrichten übermittelt wird?

Wenn es tatsächlich eine Backdoor gibt ist das selbstverständlich ein Skandal, aber wenn ich mit meiner Vermutung richtig liege (E2E bleibt unverletzt, es muss aktiv vom User ein Meldevorgang angestoßen werden) dann sehe ich da keine neue Eskalation des Lauschens. Im Vergleich dazu hat es mich gewundert wie wenig Ärger Amazon damals bekommen hatte als 2019 rausgekommen ist (https://www.zeit.de/digital/datenschutz/2019-08/datenschutz-amazon-alexa-sprachassistenten-nutzerdaten-homeoffice?utm_referrer=https%3A%2F%2Fwww.google.com%2F) das Zeitarbeiter in Polen "zur Verbesserung der Stimmerkennung" Mitschnitte von Gesprächen im Homeoffice transkribieren durften. Das so etwas über die AGB überhaupt rechtlich zulässig ist (Stichwort §201 StGB, Verletzung der Vertraulichkeit des Wortes) finde ich da um Welten kritischer.

Hab ich’s richtig verstanden: der User schickt einen Screenshot (automatisiert durch die Melden Funktion) der Nachricht an WA und jemand checkt es?
Jep, so ähnlich. Der User muss aktiv werden und schickt dann (in welcher Form auch immer) die nötigen Daten an Facebook (also Texte etc, was halt grad so im Chat ist).
Das ist keine Backdoor, wie sollte man sonst etwas melden können.

Wie soll das laufen?
"Ja, hallo, nun der Nutzer hier bedroht mich ständig. Das wollte ich mal melden. Ne, zusenden kann ich ihnen nix, sie müssen mir schon glauben das er das tut was ich sage was der tut."

Was anderes wäre es natürlich wenn Facebook selbst in der Lage ist, die Nachrichten direkt zu entschlüsseln. Danach sieht es aktuell aber nicht aus.

Da sehe ich es als größeres "Problem" das man z.B. am PC die App noch starten kann und mitlesen wenn das Smartphone in der nähe ist.

Ah, Golem hat hier in der Tat erhellendes beizutragen: https://www.golem.de/news/messenger-1-000-moderatoren-pruefen-gemeldete-whatsapp-nachrichten-2109-159434.html. Demnach soll laut Probulica via Machine Learning nach problematischen Inhalten gefiltert werden. Wenn dem so ist, und dadurch die Verschlüsselung ausgehebelt bzw. umgangen werden soll (zugegeben; ich habe keine Ahnung wie das technisch von statten gehen soll), wird das FB massiv auf die Füße fallen. Größere Organisationen, bspw. die ACLU oder die EFF könnten hier durchaus Klagen anstreben, und unter Biden wird ja derzeit in zunehmendem Maße die Gangart gegenüber den großen IT Konzernen verschärft.

Welche Backdoor?
;D;D;D

ich hoffe es ist niemand schockiert.Nö. Hab ich immer mit gerechnet, seit der Laden zu FB gehört.

Dass WhatsApp damit effektiv keine Ende-zu-Ende Verschlüsselung hat.-->
Ende-zu-Ende-Verschlüsselung muss dafür nicht aufgebrochen werden. Der meldende Client kann einfach die entschlüsselten Nachrichten an Facebook weiterleiten.So ist es.

MfG
Rooter

Möglich macht das die Melde-Funktion bei WhatsApp. Betroffen sind also konkret jene Inhalte, die zuvor etwa als Betrug, Spam, Kinderpornografie oder mutmaßlicher Terrorismus gemeldet wurden - entweder von den Nutzer*innen selbst oder vom hauseigenen Algorithmus.
Zumindest die Stelle klingt für mich eher danach, als würde FB automatisch mitlesen ...

Dass WhatsApp damit effektiv keine Ende-zu-Ende Verschlüsselung hat.

Es muss doch aber gemeldet werden. Was hat das mit der Verschlüsselung zu tun, das ist ja eine autorisierte Meldung eines Nutzers. Quasi ein dritter Kanal der für die Meldung aufgemacht wird.

Es muss doch aber gemeldet werden. Was hat das mit der Verschlüsselung zu tun, das ist ja eine autorisierte Meldung eines Nutzers. Quasi ein dritter Kanal der für die Meldung aufgemacht wird.
This - die Leute lesen nur wieder die Hälfte und die Medien brauchen neue Aufreger ^^
Diese Melden Funktion ist nichts anderes, als Weiterleiten von Nachrichten an eine offizielle Stelle von Facebook, die Verschlüsselung selbst ist dadurch natürlich nicht betroffen!

im besten fall ja. im anderen fall mit dem algorithmus könnte das die app jederzeit selbst. aber wäre ersteres nicht auch schon gegen das gesetz? wer sagt, das die fälle nicht ausgewertet werden können?

This - die Leute lesen nur wieder die Hälfte und die Medien brauchen neue Aufreger ^^
Diese Melden Funktion ist nichts anderes, als Weiterleiten von Nachrichten an eine offizielle Stelle von Facebook, die Verschlüsselung selbst ist dadurch natürlich nicht betroffen!
Was genau nützt dir jetzt dieser sichere verschlüsselte Kanal, wenn Facebook direkt nach dem entschlüsseln auf deinem Gerät Kopien der Nachrichten sonstwo hin verschickt? Wenn jemand eine Nachricht an dich schickt, kannst Du dir sicher sein, dass ein Facebook-Algorithmus sie mitgelesen hat, bevor sie bei dir auf dem Bildschirm erscheint. Es ist im Grunde egal, ob das jetzt direkt auf dem Server passiert oder auf dem Handy mit einem entsprechenden Rückkanal zum Server.

Im ggs. zu Google, Amazon, Microsoft etc, welche ja nun auch keine Waisenknaben sind, hat Facebook nachweislich vielfach eingestehen müssen, dass ihre Versprechen bezüglich Datensicherheit gelogen waren. Massive Lügen. Immer und immer wieder. 2018 jagte ein Datenskandal den nächsten. Insofern wundert mich bei dem Laden absolut gar nichts.

Jedem sollte klar sein, dass alles was gratis ist in irgend einer Form genutzt wird.

Wenn etwas kostenlos ist BIST DU DAS PRODUKT


so einfach ist das ;)

Jedem sollte klar sein, dass alles was gratis ist in irgend einer Form genutzt wird.

Wenn etwas kostenlos ist BIST DU DAS PRODUKT


so einfach ist das ;)

Trifft nicht auf FOSS zu. Linux, Signal... ;)

Aber wenn börsennotierte Unternehmen mit Milliardenumsätzen etwas kostenlos anbieten stimmt das in der Regel :D

Es muss doch aber gemeldet werden.
Nein. Eine Meldung an FB ist nicht nötig. Wieso auch?

Mit strafrechtlich Relevantem kann und sollte man zur Polizei gehen. Eine Sperre von WA ist mir da jedenfalls zu wenig Konsequenz.

Bin mal gespannt ob jemand die Schnittstelle reversed und dann Zuckerberg ein paar Meldungen unterschiebt. Ist ja nicht so, dass die lokalen Daten Manipulationssicher wären.

Ansonsten siehe den Post von myMind. Auch unsere Innenminister suchen nach jeder Möglichkeit alle zu durchleuchten. Da muss man ihnen nicht bereitwillig und ohne Not das Argument "Passiert doch eh schon - wir machen nur ein klitze kleines bisschen Mehr" liefern.

Jedem sollte klar sein, dass alles was gratis ist in irgend einer Form genutzt wird.

Wenn etwas kostenlos ist BIST DU DAS PRODUKT


so einfach ist das ;)
Du kannst auch das Produkt sein, wenn du dafür bezahlt hast :D

Bin mal gespannt ob jemand die Schnittstelle reversed und dann Zuckerberg ein paar Meldungen unterschiebt. Ist ja nicht so, dass die lokalen Daten Manipulationssicher wären.


Das ließe sich mit Prüfsummen verhindern.

Auch unsere Innenminister suchen nach jeder Möglichkeit alle zu durchleuchten. Da muss man ihnen nicht bereitwillig und ohne Not das Argument "Passiert doch eh schon - wir machen nur ein klitze kleines bisschen Mehr" liefern.

Facebooks Vorgehen ist eigentlich ein gutes Argument gegen Spionage/Zweitschlüssel. Die Nutzer haben die Möglichkeit strafrechtlich Relevantes zu melden, ohne dass irgendwelche Staatsorgane alle Bürger unter Generalverdacht stellen und ausspionieren müssen. Die Ende-zu-Ende-Verschlüsselung bleibt intakt, die Privatsphäre unangetastet.

Das ließe sich mit Prüfsummen verhindern.
Wie verhinderst du, dass jemand mit einem gerooteten Gerät und reverstem WA-Code das nicht nachbildet?

Die Nutzer haben die Möglichkeit strafrechtlich Relevantes zu melden
Die haben sie - wie ausgeführt - ganz ohne dass FB da irgendwie beteiligt sein müsste.

Wie verhinderst du, dass jemand mit einem gerooteten Gerät und reverstem WA-Code das nicht nachbildet?

Gut, da war ich etwas vorschnell. Ich kann mir jetzt kein Verfahren zusammenreimen, mit dem der Anbieter allein durch Prüfsummen sicherstellen könnte, dass die gesendete verschlüsselte Nachricht der gemeldeten entschlüsselten Nachricht entspricht ohne wenigstens einem Client zu vertrauen.

Der Anbieter könnte aber die verschlüsselten Nachrichten einige Zeit zwischenspeichern. Beim Melden sendet der Client den Schlüssel der Nachricht an den Anbieter. Nachteil dabei ist, dass der Schlüssel häufig gewechselt werden muss (am besten bei jeder Nachricht), sonst könnte der Anbieter die gesamte Nachrichtenhistorie entschlüsseln.

Die haben sie - wie ausgeführt - ganz ohne dass FB da irgendwie beteiligt sein müsste.

Stimmt, aber die Polizei möchte/kann sicher nicht Moderator spielen. Außerdem wäre da noch das Problem des fälschungssicheren Nachweises.

Zumindest die Stelle klingt für mich eher danach, als würde FB automatisch mitlesen ...

Von Laien wird schnell mal irgendwas als "Algorithmus" bezeichnet, worunter sich viele automatisch eine Cloud-Anbindung vorstellen. Im einfachsten Fall werden einzelne Worte mit einem Wörterbuch verglichen und erst dann Meldung gemacht.

Das an sich ist zwar auch nicht gut, aber längst nicht so dramatisch wie die vermeintliche Übermittlung aller Nachrichten im Klartext an irgendeinen Server.

Nachteil dabei ist, dass der Schlüssel häufig gewechselt werden muss (am besten bei jeder Nachricht), sonst könnte der Anbieter die gesamte Nachrichtenhistorie entschlüsseln.
Sollten sie IIRC bei beim Double Ratchet Verfahren sowieso.

Stimmt, aber die Polizei möchte/kann sicher nicht Moderator spielen.
Ja - und? Man kann Leute blockieren und Gruppen verlassen bzw. Einladungen beschränken. Was braucht es denn mehr um nicht genervt zu werden?

Ist ja jetzt nicht so, dass WhatsApp plötzlich Gruppen inhatlich (z.B. wegen Offtopic Texten etc.) moderieren wird.

Außerdem wäre da noch das Problem des fälschungssicheren Nachweises.
Das Problem hast du auch, wenn du die Daten an FB sendest, statt der Polizei zu zeigen. Das war ja mein Einwand - FB sieht auch nur, was vom Melder über die API rein kommt...

Ohne kryptographische Signatur des Absenders kann es da keine Sicherheit geben.