Follow

Was viele WhatsApp-Nutzer nicht wissen: "Mediendateien und Nachrichten sind nicht durch die WhatsApp Ende-zu-Ende-Verschlüsselung geschützt, wenn sie auf Google Drive gespeichert sind."

Ende-zu-Ende-Verschlüsselung ad absurdum geführt.

faq.whatsapp.com/android/chats

@kuketzblog Sie sollten aber durch den Google Drive Backup provider E2E verschlüsselt sein... ist der open source und das überprüfbar? Nein... aber whatsapp halt auch nicht.

@Bubu Tja, das ist halt genau der Punkt. Alles nicht überprüfbar. Am Ende liegen die vermeintlich E2EE "geschützen" Nachrichten dann im Google-Rechenzentrum. Ein "bedauerlicher technischer Fehler" genügt und Google hat Einsicht. Lieber kein Backup als dieses.

@kuketzblog @Bubu kann mich auch nicht erinnern jemals einen key hinterlegt zu haben für die verschlüsselung. Ihr?

@sheogorath @kuketzblog @Bubu ich traue dem ganzen aber nicht so. Gerade bei den beiden Unternehmen die die grössten Datenkraken sind.

@kuketzblog Wirft es die Mediendateien nicht sowieso per default einfach unverschlüsselt in einen Ordner auf dem Gerät? Wenn da die Google Foto App brav synct, sind sie auch unverschlüsselt bei Google.

@datensalat Kann ich dir nicht sagen, da müssten wir bei einem WhatsApp-Nutzer nachfragen.

@kuketzblog Ich weiß, dass es bei einem mir bekannten Bestandsnutzer so ist. War früher default. Der Nextcloud Client hat den Ordner auch gleich gefunden. Ob es mittlerweile opt-in ist, weiß ich nicht.

@datensalat @kuketzblog Wenn der ganze Ordner hochgeladen wird, ist das aber offensichtlich keine WhatsApp-, sondern eine Google-/NextCloud-Funktion.

@datenschutzratgeber @kuketzblog Klar, aber andere Apps sollten an E2E-verschlüsselte Daten nicht einfach so rankommen. Die Nextcloud App meldet nur, dass sie einen Medienordner gefunden hat und hält sich brav zurück. Andere Apps syncen ggf. einfach. Daher ist das bei WA ein Designfehler in puncto E2EE.

@datensalat @kuketzblog ja tut es. Wird aktuell gesichert per Nextcloud.

@datensalat @kuketzblog Nein, lokale und Cloud-Backups sind nicht dasselbe — man kann sie getrennt voneinander durchführen. Letzteres ist immer unverschlüsselt.

@datensalat @kuketzblog Ich kann nicht mehr sagen, ob es dazu eine Einstellung oder opt-out gab, aber ich kann das Verhalten bestätigen. Alles was in WA rein kam, landete automatisch in der Galerie und von dort aus bei allen Apps mit Zugriff. Das ist aber im Prinzip bei allen Apps so. Wenn ich Bilder manuell oder automatisch speichere, kann jede App mit den entsprechenden Rechten darauf zugreifen.

@stardenver @datensalat @kuketzblog deswegen speichert signal alle anhänge verschlüsselt in seiner eigenen Daten.

@stardenver @kuketzblog Jep genau. Aber opt-in. Bei WA ist es, wie du auch bestätigst, default.

@kuketzblog soweit ich das verstanden hatte verschlüsselt WhatsApp die Daten mit einem Schlüssel, der dann auf deren Servern liegt, bevor das Backup zu Google hochgeladen wird. Es wird daher dann sowohl der Schlüssel von Facebook, als auch die Daten von Google benötigt um Inhalte des Backups zu lesen.

@Schwachinformatiker @kuketzblog joa, es hat den großen Vorteil, dass der Nutzer sich kein Passwort für das Backup merken muss und trotzdem an seine Daten kommt, auch wenn er das Handy verliert. Facebook und Google kommen alleine aber nicht an die Daten und müssten da zusammen arbeiten. Unter dem Gesichtspunkt ist es schon eine gute Lösung. Besser wäre aber natürlich, wenn der Nutzer selbst ein Passwort vergibt, wie das bei Threema der Fall ist.

@duco @kuketzblog und du denkst google und facebook machen keine gemeisamen sachen? Außerdem müsste der nutzer sich ja bei beiden diensten authentifizieren, was wiederum dem setzen eines pw gleich kommt. Was ja nicht der fall ist, also ist es fraglich wie sicher das gelöst ist.

@Schwachinformatiker um an die Daten heran zu kommen müsste ein externer sowohl Zugriff auf Google Drive des Nutzers erlangen, als auch die Telefonnummer des Nutzers übernehmen. Und ja, ich glaube nicht, dass Facebook und Google zusammen arbeiten um an die Daten zu kommen. Das wäre so offensichtlich unmoralisch, dass die das nicht machen. Könnte aber sein, dass Geheimdienste sie in manchen Fällen dazu zwingen.

@duco hahaha, das ist facebook und google von dem du da sprichst, unmoralisches handeln ist bei denen tagesmotto. Alleine die ganzen trackingskandale der letzten jahre haben das sehr gut unterstrichen.
Erzähl mir doch mal, wie kannst du verifizieren, dass google nicht zu facebook geht und das pw anfordert im namen des nutzers oder anders rum? Da das ganze nur auf vertrauensbasis statt findet ist das spekulationssache aber technisch möglich.
Und was möglich ist, wird auch gemacht...

@Schwachinformatiker wie kannst du garantieren, dass Google nicht mit einem Play Store update alle Daten unverschlüsselt an Google schickt? Wie, dass Facebook nicht etwas in WhatsApp einbaut, dass die Daten an Facebook schickt? Wie kannst du garantieren, dass die Nachrichten wirklich Ende zu Ende verschlüsselt sind? Wie kannst du garantieren, dass Signal oder Threema deine Metadaten nicht heimlich sammeln und verkaufen. Technisch ist das alles möglich, also wird all das gemacht?

@Schwachinformatiker wenn diese Unternehmen an die Daten wollen gibt es Wege, bei denen sie nicht mal mit dem anderen Unternehmen kooperieren müssen. Wenn du nicht darauf vertraust, dass die das nicht missbrauchen, solltest du sie komplett vermeiden. Aber irgend jemanden musst du immer vertrauen.

@duco
Also werden die daten nun verschlüsselt oder nicht veim cloud backup?
(Unabhängig davon, wo der Schlüssel liegt)
@kuketzblog

@chris_ @kuketzblog Sie werden verschlüsselt (wenn ich das richtig verstanden habe).

@kuketzblog naja inwiefern diese medien bzw. Nachrichten generell E2E verschlüsselt sind ist fragwürdig. Man kann ja nicht in den client rein schauen. Wenn proprietäre dienste von verschlüsselung reden ist es vertrauenssache, dass dem so ist, keine hintertüren drin sind und die verschlüsselung korrekt eingebunden ist.

@kuketzblog
Und es interessiert auch keinen von denen... Leider...

@cinux @kuketzblog das hat für die meisten keinen hohen Stellenwert im Leben.

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!