Hvorfor bad jeg mine venner om at stoppe med at bruge WhatsApp og Telegram

Selv med end-to-end-kryptering er Big Brother stadig i din telefon: metadata

I morges bad jeg mine venner om at stoppe med at bruge WhatsApp og sendte dem en invitation til at skifte til Signal messaging-appen.

Her er hvorfor.

Krypteringsprotokoller: Signalprotokollen VS Telegrams MTProto

Du er måske ikke klar over det, men du bruger sandsynligvis allerede Signalprotokollen - sammen med mere end 1 milliard mennesker hver dag.

Signalprotokollen bruges af WhatsApp, Facebook Messenger, Google Allo og Signals egen messaging-app.

Men hvad er Signalprotokollen?

Signalprotokollen er en ikke-sammensat kryptografisk protokol, der giver ende-til-ende-kryptering til instant messaging-samtaler. - Wikipedia

End-to-end-kryptering sikrer, at din besked omdannes til en hemmelig besked af dens oprindelige afsender og derefter kun afkodes af den endelige modtager.

Det er hvad WhatsApp begyndte at bruge for et par måneder siden, da de viste denne meddelelse i din samtale:

Signalprotokollen blev bygget af Open Whisper System, en nonprofit-gruppe, der blev grundlagt i 2013 af det tidligere Twitter-sikkerhedschef Moxie Marlinspike. Tilbage i 2011 erhvervede meddelelsesplatformen på 140 tegn Marlinspike's første sikre messaging-firma Whisper System.

Open Whisper System fokuserer på udviklingen af ​​Signalprotokollen og vedligeholder også en messaging-applikation kaldet Signal. Nonprofit finansieres gennem en kombination af donationer og tilskud.

I oktober 2016 blev Signal-protokollen gennemgået af et internationalt team af sikkerhedsforskere og fik strålende anmeldelser.

Når du læser ovenstående, synes du måske, at du har det godt, da WhatsApp, Facebook Messenger og Google Allo også bruger Signalprotokollen.

Nå, det er du ikke.

Facebook Messenger og Google Allo aktiverer ikke ende-til-ende-kryptering som standard. Facebook Messenger-brugere skal aktivere "hemmelige samtaler", og Google Allo-brugere skal aktivere inkognitotilstand.

Telegram, den 100 millioner bruger-app lavet af det sociale netværk VKs grundlægger Pavel Durov, bruger sin egen krypteringsprotokol: MTProto. Telegram var genstand for nogle mindre kontroverser om krypteringsprotokollen. Så i 2015 offentliggjorde en sikkerhedsforsker et forskningsoplæg, der beskriver teoretiske svagheder * i MTProto. Dette papir blev afvist af Telegram i en blog, hvor de præciserede, hvorfor MTProto er sikkert.

Så har vi WhatsApp og Signal - de eneste to applikationer, der som standard bruger Signalprotokollen til alle sendte beskeder *.

Du spørger måske - hvorfor ikke holde fast i WhatsApp da?

Årsagen ligger i WhatsApps samling af metadata.

Dataindsamling og metadata

Metadata og dataindsamling har ofte været i centrum for debatter, hvor parter ofte hævder nogle udsagn i retning af:

Vi kan ikke lytte / læse indholdet af din kommunikation, fordi vi bruger end-to-end-kryptering, vi kan kun indsamle metadata .

Metadata har ofte været et sløret udtryk. For din bekvemmelighed er nedenstående en præciseret definition af metadata:

Hvis du stadig er uklar om, hvad metadata er, skal du læse indlægget fra EFF af Kurt Opsahl. Han giver eksempler på, hvad virksomheder eller regeringer ved, når de indsamler metadata:

De ved, at du ringede til en telefonseks-tjeneste kl. 2:24 og talte i 18 minutter. Men de ved ikke, hvad du talte om. De ved, at du ringede til selvmordsforebyggende hotline fra Golden Gate Bridge. Men emnet for opkaldet forbliver en hemmelighed. De ved, at du talte med en hiv-testtjeneste, så din læge og derefter dit sundhedsforsikringsselskab i samme time. Men de ved ikke, hvad der blev diskuteret.

Nu hvor du ved, hvad metadata er, lad mig gentage: brug af ende-til-ende-kryptering forhindrer ikke messaging-tjenester i at indsamle metadata.

Lad os se, hvad disse fyre samler:

WhatsApp

WhatsApps FAQ siger, at dets app har adgang til alle telefonnumre i din adressebog, og at den samler et utal af oplysninger om dig.

Hvad der er interessant er, at WhatsApp ikke gemmer dine beskeder på sine servere. I stedet gemmes dine meddelelser på din telefon - så i sidste ende på de servere, hvor du sikkerhedskopierer din telefon. For eksempel, hvis du bruger en iPhone, gemmes alle dine WhatsApp-meddelelser i iCloud, hvis du bruger den som en sikkerhedskopi.

Hvad angår de oplysninger, WhatsApp indsamler om hvornår, hvor og med hvem du kommunikerer, er det meget mere vagt. Her er hvad de siger:

Oplysninger om brug og log. Vi indsamler oplysninger om service, diagnostik og ydeevne. Dette inkluderer oplysninger om din aktivitet (såsom hvordan du bruger vores tjenester, hvordan du interagerer med andre ved hjælp af vores tjenester og lignende), logfiler og diagnosticerings-, nedbruds-, websteds- og præstationslogfiler og rapporter.

WhatsApp indsamler også enhedsspecifikke oplysninger, når du installerer, får adgang til eller bruger deres tjeneste - såsom modellen på din telefon, dets operativsystem og oplysninger fra din browser, IP-adresse og mobilnetværk - inklusive dit telefonnummer.

Og hvis de ikke kan indsamle disse oplysninger via din telefon, får de det, når folk sender besked til dig, da WhatsApp også har adgang til dine venners aktivitetsdata.

Ud over de ukrypterede sikkerhedskopier blev Electronic Frontier Foundation skitseret andre bekymringer over meddelelsen om nøgleændringer, WhatsApps webapp og dets deling af data med Facebook, der erhvervede WhatsApp i 2014.

Apropos Facebook ...

Facebook Messenger

MIT Technology Review skrev:

Facebook samler det mest omfattende datasæt, der nogensinde er samlet om menneskelig social adfærd.

Jeg behøver ikke at opdele, hvilke data Facebook indsamler. Facebook er din ven, så de gjorde det meget simpelt for dig at forstå, hvor tæt på en ven de er:

Google Allo

Google Allo er blevet meget kritiseret af sikkerhedseksperter.

Ikke alene kan Google faktisk læse hver besked, du siger, de gemmer alle samtaler.

Det er så simpelt.

Her er Edward Snowdens tunge-i-kind-annonce for Allo:

Telegram

Beskeder, fotos, videoer og dokumenter krypteres og gemmes på Telegrams servere (undtagen Secret Chat- meddelelser, som ikke er gemt på Telegrams servere). Ligesom WhatsApp og Facebook har Telegram adgang til og gemmer din kontaktliste på dens server. Dette er, hvordan de er i stand til at sende dig en underretning, når en ny fra din kontaktliste slutter sig til Telegram.

Signal

De eneste data, signalet bevarer, er det telefonnummer, du registrerer dig hos, og hvornår du sidst loggede ind på deres server.

Det er det.

Det registrerer ikke engang timen, minut eller sekund - kun dagen.

Hvis du føler dig ondskabsfuld, har Signal endda forsvindende beskeder.

Og Signal er gratis. Virkelig gratis. Det betyder, at de ikke forsøger at gøre dine øjenkugler til et produkt, som annoncører som Facebook eller Google vil gøre med deres messaging-apps. Du kan donere til Signal her.

Forresten er signalkoden gratis og open source, tilgængelig på GitHub, som du kan kontrollere.

WhatsApp valgte bekvemmelighed frem for privatlivets fred og sikkerhed, men her kan du løse dette

For et par uger siden rapporterede The Guardian om en såkaldt WhatsApp "bagdør". medium.freecodecamp.com

Hvorfor skal du være interesseret i dit privatliv?

Du kan blive fristet til at sige noget som:

Og hvad så? Jeg har ikke noget at skjule.

Hvis du ikke synes, at fortrolighed er så vigtig:

  • Se Glenn Greenwalds TED-tale om, hvorfor privatliv betyder noget .
  • Læs Quincy Larsons artikel om, hvordan du krypterer dit liv på mindre end en time.
  • Og her er mere om, hvorfor kryptering er en menneskerettighed af Electronic Frontier Foundation's Amul Kalia.

Rediger 24/01/2017: * tidligere sagde vi, at “[Telegrams] krypteringsprotokol [ikke] var sikker”. Telegram Messenger bragte en vis afklaring ved at offentliggøre et blogindlæg, der kommenterede J. Jakobsens fund.