Signal introduceert end-to-end-versleutelde backups
Signal komt met een nieuwe functie waarmee gebruikers end-to-end-versleutelde backups kunnen maken van hun media en chatverkeer. Gebruikers die de functie willen gebruiken moeten deze zelf inschakelen. De backup bevat al het chatverkeer en de media van de afgelopen 45 dagen. Gebruikers die een langere periode het mediaverkeer willen opslaan kunnen hiervoor een betaald abonnement nemen voor 1,99 dollar per maand, aldus VP of Engineering Jim O'Leary van Signal.
O'Leary meldt voor een betaald abonnement te kiezen met het oog op de opslagkosten. "Signal moet deze kosten anders dekken dan veel andere tech organisaties, die vergelijkbare producten bieden maar zichzelf ondersteunen met de verkoop van advertenties en het monetariseren van data", schrijft de VP of Engineering.
De back-ups zijn beveiligd met een herstelsleutel van 64 karakters, die op het apparaat van de gebruiker wordt aangemaakt. Alleen met behulp van deze sleutel is het mogelijk backups te ontgrendelen. Signal benadrukt dat deze sleutel nooit zijn weg vindt naar de servers van Signal en het bedrijf dan ook niet kan helpen indien gebruikers de sleutel kwijtraken.
De backup functie is momenteel beschikbaar in de bètaversie van de Android-versie van de app. Op termijn komt de versie ook naar de iOS- en desktop apps van Signal.
Reacties (11)
Gisteren, 10:58 door
Anoniem
In de Signal-app staat naast Back-ups een klein “Bèta”-label. Dit is bewust gedaan omdat er nog uitzonderlijke gevallen zijn die verder getest moeten worden. Ook staan er nog extra functies op de planning, zoals geoptimaliseerde opslag. Het kan daarom nog maanden duren voordat het bèta-label verdwijnt. Ondanks het label werkt de functie al goed.
https://signalapp.nl/signal-app-nieuws/signal-back-ups-weer-een-stapje-dichterbij-voor-android/
https://signalapp.nl/signal-app-nieuws/signal-back-ups-weer-een-stapje-dichterbij-voor-android/
Gisteren, 11:23 door
Briolet
Waarom moet die backup altijd naar de servers van de app eigenaar? Waarom niet een optie om zelf een pad in te voeren die naar een eigen server wijst?
Als ik het verhaal zo lees is dit nu geen echte backup. De sleutel blijft op je toestel staan en met 64 tekens is hij wel erg lang om even over te schrijven. Dus als je telefoon weg is, ben je je backup ook kwijt. Maar volgens mij is het kwijtraken (of stuk gaan) van de telefoon de enige reden waarom je een backup wilt hebben.
Als ik het verhaal zo lees is dit nu geen echte backup. De sleutel blijft op je toestel staan en met 64 tekens is hij wel erg lang om even over te schrijven. Dus als je telefoon weg is, ben je je backup ook kwijt. Maar volgens mij is het kwijtraken (of stuk gaan) van de telefoon de enige reden waarom je een backup wilt hebben.
Gisteren, 11:59 door
Anoniem
Door Briolet: Waarom moet die backup altijd naar de servers van de app eigenaar? Waarom niet een optie om zelf een pad in te voeren die naar een eigen server wijst?
Als ik het verhaal zo lees is dit nu geen echte backup. De sleutel blijft op je toestel staan en met 64 tekens is hij wel erg lang om even over te schrijven. Dus als je telefoon weg is, ben je je backup ook kwijt. Maar volgens mij is het kwijtraken (of stuk gaan) van de telefoon de enige reden waarom je een backup wilt hebben.
Als ik het verhaal zo lees is dit nu geen echte backup. De sleutel blijft op je toestel staan en met 64 tekens is hij wel erg lang om even over te schrijven. Dus als je telefoon weg is, ben je je backup ook kwijt. Maar volgens mij is het kwijtraken (of stuk gaan) van de telefoon de enige reden waarom je een backup wilt hebben.
Op dit form een klacht over een te lang wachtwoord? Bijzonder ... mijn wachtwoordmanager heeft geen probleem met die lengte gelukkig.
Gisteren, 12:23 door
Anoniem
Door Briolet: Waarom moet die backup altijd naar de servers van de app eigenaar? Waarom niet een optie om zelf een pad in te voeren die naar een eigen server wijst?
Als ik het verhaal zo lees is dit nu geen echte backup. De sleutel blijft op je toestel staan en met 64 tekens is hij wel erg lang om even over te schrijven. Dus als je telefoon weg is, ben je je backup ook kwijt. Maar volgens mij is het kwijtraken (of stuk gaan) van de telefoon de enige reden waarom je een backup wilt hebben.
Signal kan al lokale backups maken, die kun je dan bijvoorbeeld met Nextcloud of Syncthing zelf uploaden. Het nieuwe backup format wordt later ook voor lokale backups beschikbaar, daarmee ook voor iOS, en het wordt incrementeel en crossplatform.Als ik het verhaal zo lees is dit nu geen echte backup. De sleutel blijft op je toestel staan en met 64 tekens is hij wel erg lang om even over te schrijven. Dus als je telefoon weg is, ben je je backup ook kwijt. Maar volgens mij is het kwijtraken (of stuk gaan) van de telefoon de enige reden waarom je een backup wilt hebben.
Overigens heb je voor de end-to-end encryptie van iCloud bijvoorbeeld ook zo'n lange sleutel. Als je je backups in de cloud echt veilig wilt houden moet je er iets voor over hebben.
Gisteren, 13:40 door
Anoniem
Ik wis altijd alles onmiddelijk, ik heb geen zin om voortdurend oude koeien uit de sloot te kunnen drenken... Wel kan ik me voorstellen dat anderen van oude koeien houden.
Signal biedt nu al een versleutelde backup-mogelijkheid van je chat-dababase op je apparaat zelf. Deze backup bevat al je chats en kan gebruikt worden als er een nieuwe, schone, Signal instantie geïnitialiseerd moet worden.
Omdat de meest voorkomende usecase van het gebruik van een backup betekent dat je niet meer de beschikking hebt over je telefoon (stuk of kwijt) en de backup ook op die telefoon staat, verdient het aanbeveling om de backup naar een extern device te kopiëren.
Edit: spuit 11, ook al gemeld om 12:23 door Anoniem.
Omdat de meest voorkomende usecase van het gebruik van een backup betekent dat je niet meer de beschikking hebt over je telefoon (stuk of kwijt) en de backup ook op die telefoon staat, verdient het aanbeveling om de backup naar een extern device te kopiëren.
Edit: spuit 11, ook al gemeld om 12:23 door Anoniem.
Gisteren, 16:05 door
Anoniem
Door Briolet: Waarom moet die backup altijd naar de servers van de app eigenaar? Waarom niet een optie om zelf een pad in te voeren die naar een eigen server wijst?
Als ik het verhaal zo lees is dit nu geen echte backup. De sleutel blijft op je toestel staan en met 64 tekens is hij wel erg lang om even over te schrijven. Dus als je telefoon weg is, ben je je backup ook kwijt. Maar volgens mij is het kwijtraken (of stuk gaan) van de telefoon de enige reden waarom je een backup wilt hebben.
Als ik het verhaal zo lees is dit nu geen echte backup. De sleutel blijft op je toestel staan en met 64 tekens is hij wel erg lang om even over te schrijven. Dus als je telefoon weg is, ben je je backup ook kwijt. Maar volgens mij is het kwijtraken (of stuk gaan) van de telefoon de enige reden waarom je een backup wilt hebben.
Signal had vele jaren de databases onversleuteld (!) op de telefoon opgeslagen. De Signal Foundation redeneerde "als je toestel lek is heb je toch al een ander/groter probleem" , dit was best wel amateuristisch.
Nog een minpuntje:
Signal is eenvoudig af te luisteren door de VS inlichtingendiensten.
Hoe ?
Nou, via de Notificaties op Android, die lopen namelijk zodra je online bent via Google servers -unencrypted. Dit gaat over AL jouw Notificaties op Android (genoeg bronnen over te vinden als weer iemand te lui is en om "bewijs"gaat vragen- dit is oude koek en al jaren bekend) . Je moet niet voor niets bij elke app expliciet Toestemming geven om die App Notificaties te laten gebruiken.
Hoe zit dit specifiek met Signal?
Net zoals vroeger, een default=insecure instellling. Je hebt (verstopt in een submenu) namelijk 3 keuzes:
1) Niets melden bij inkomend bericht
2) Naam en content melden (inclusief afbeeldingen) op notificatie screen
3) Alleen de naam ("u heeft een bericht van X")
Uiteraard is alleen de 3de optie veilig voor uw privacy.
En het erge is, om uw privacy te waarborgen moeten al uw contacten die setting dus die instelling op hun toestel instellen.
Ondoenlijk.
Je hebt dus wel E2EE met Signal, dus encryptie , maar dat betreft alleen het TCP verkeer/signal protocol wat daarover gaat.
Je Signal app stuurt de chats+content van jouw contact (inkomend) gewoon unencrypted naar de Google Notification services...... en jouw contact stuurt jouw berichten weer naar hun Google Notification service ......
Dus... ze hoeven Signal niet te kraken, want ze konden bij Signal en alle andere apps al meekijken..........
Signal Foundation is te lui om die setting op "Name only" te zetten, zodat Google wel weet met wie jij wanneer communiceert, maar niet de inhoud van de gesprekken krijgt.
Daarbij kan Signal een voorbeeld nemen aan Session, of Matrix , of aan SimpleX , die een eigen Notification service implementeren.
Conclusie: SIGNAL == ONVEILIG , het is verder cleane code maar alles is marketing , elkaar napraten hoe secure deze app is. Het is dus secure tegen cybercriminelen , niet -westerse landen of een boze ex. Als dit jouw threatlevel is.
Gebruiker liever Matrix of SimpleX wil je niet dat Uncle Sam meekijkt .
Einde relaas
Gisteren, 17:09 door
Anoniem
Door Anoniem:
Signal had vele jaren de databases onversleuteld (!) op de telefoon opgeslagen. De Signal Foundation redeneerde "als je toestel lek is heb je toch al een ander/groter probleem" , dit was best wel amateuristisch.
Nog een minpuntje:
Signal is eenvoudig af te luisteren door de VS inlichtingendiensten.
Hoe ?
Nou, via de Notificaties op Android, die lopen namelijk zodra je online bent via Google servers -unencrypted. Dit gaat over AL jouw Notificaties op Android (genoeg bronnen over te vinden als weer iemand te lui is en om "bewijs"gaat vragen- dit is oude koek en al jaren bekend) . Je moet niet voor niets bij elke app expliciet Toestemming geven om die App Notificaties te laten gebruiken.
Hoe zit dit specifiek met Signal?
Net zoals vroeger, een default=insecure instellling. Je hebt (verstopt in een submenu) namelijk 3 keuzes:
1) Niets melden bij inkomend bericht
2) Naam en content melden (inclusief afbeeldingen) op notificatie screen
3) Alleen de naam ("u heeft een bericht van X")
Uiteraard is alleen de 3de optie veilig voor uw privacy.
En het erge is, om uw privacy te waarborgen moeten al uw contacten die setting dus die instelling op hun toestel instellen.
Ondoenlijk.
Je hebt dus wel E2EE met Signal, dus encryptie , maar dat betreft alleen het TCP verkeer/signal protocol wat daarover gaat.
Je Signal app stuurt de chats+content van jouw contact (inkomend) gewoon unencrypted naar de Google Notification services...... en jouw contact stuurt jouw berichten weer naar hun Google Notification service ......
Dus... ze hoeven Signal niet te kraken, want ze konden bij Signal en alle andere apps al meekijken..........
Signal Foundation is te lui om die setting op "Name only" te zetten, zodat Google wel weet met wie jij wanneer communiceert, maar niet de inhoud van de gesprekken krijgt.
Daarbij kan Signal een voorbeeld nemen aan Session, of Matrix , of aan SimpleX , die een eigen Notification service implementeren.
Conclusie: SIGNAL == ONVEILIG , het is verder cleane code maar alles is marketing , elkaar napraten hoe secure deze app is. Het is dus secure tegen cybercriminelen , niet -westerse landen of een boze ex. Als dit jouw threatlevel is.
Gebruiker liever Matrix of SimpleX wil je niet dat Uncle Sam meekijkt .
Einde relaas
Door Briolet: Waarom moet die backup altijd naar de servers van de app eigenaar? Waarom niet een optie om zelf een pad in te voeren die naar een eigen server wijst?
Als ik het verhaal zo lees is dit nu geen echte backup. De sleutel blijft op je toestel staan en met 64 tekens is hij wel erg lang om even over te schrijven. Dus als je telefoon weg is, ben je je backup ook kwijt. Maar volgens mij is het kwijtraken (of stuk gaan) van de telefoon de enige reden waarom je een backup wilt hebben.
Als ik het verhaal zo lees is dit nu geen echte backup. De sleutel blijft op je toestel staan en met 64 tekens is hij wel erg lang om even over te schrijven. Dus als je telefoon weg is, ben je je backup ook kwijt. Maar volgens mij is het kwijtraken (of stuk gaan) van de telefoon de enige reden waarom je een backup wilt hebben.
Signal had vele jaren de databases onversleuteld (!) op de telefoon opgeslagen. De Signal Foundation redeneerde "als je toestel lek is heb je toch al een ander/groter probleem" , dit was best wel amateuristisch.
Nog een minpuntje:
Signal is eenvoudig af te luisteren door de VS inlichtingendiensten.
Hoe ?
Nou, via de Notificaties op Android, die lopen namelijk zodra je online bent via Google servers -unencrypted. Dit gaat over AL jouw Notificaties op Android (genoeg bronnen over te vinden als weer iemand te lui is en om "bewijs"gaat vragen- dit is oude koek en al jaren bekend) . Je moet niet voor niets bij elke app expliciet Toestemming geven om die App Notificaties te laten gebruiken.
Hoe zit dit specifiek met Signal?
Net zoals vroeger, een default=insecure instellling. Je hebt (verstopt in een submenu) namelijk 3 keuzes:
1) Niets melden bij inkomend bericht
2) Naam en content melden (inclusief afbeeldingen) op notificatie screen
3) Alleen de naam ("u heeft een bericht van X")
Uiteraard is alleen de 3de optie veilig voor uw privacy.
En het erge is, om uw privacy te waarborgen moeten al uw contacten die setting dus die instelling op hun toestel instellen.
Ondoenlijk.
Je hebt dus wel E2EE met Signal, dus encryptie , maar dat betreft alleen het TCP verkeer/signal protocol wat daarover gaat.
Je Signal app stuurt de chats+content van jouw contact (inkomend) gewoon unencrypted naar de Google Notification services...... en jouw contact stuurt jouw berichten weer naar hun Google Notification service ......
Dus... ze hoeven Signal niet te kraken, want ze konden bij Signal en alle andere apps al meekijken..........
Signal Foundation is te lui om die setting op "Name only" te zetten, zodat Google wel weet met wie jij wanneer communiceert, maar niet de inhoud van de gesprekken krijgt.
Daarbij kan Signal een voorbeeld nemen aan Session, of Matrix , of aan SimpleX , die een eigen Notification service implementeren.
Conclusie: SIGNAL == ONVEILIG , het is verder cleane code maar alles is marketing , elkaar napraten hoe secure deze app is. Het is dus secure tegen cybercriminelen , niet -westerse landen of een boze ex. Als dit jouw threatlevel is.
Gebruiker liever Matrix of SimpleX wil je niet dat Uncle Sam meekijkt .
Einde relaas
Misschien moet je jezelf eens beter informeren. Ja, er zijn zat "encrypted" apps waarbij de inhoud over het push netwerk van Apple/Google gestuurd wordt, maar bij Signal is dat juist niet het geval. Bij Signal worden alleen lege push notifications gestuurd, die je als gebruiker niet ziet. Signal haalt dan vervolgens zelf het bericht op, decrypt dit en toont *lokaal* een notificatie met de inhoud.
Gisteren, 19:44 door
Anoniem
Door Anoniem:
Signal had vele jaren de databases onversleuteld (!) op de telefoon opgeslagen. De Signal Foundation redeneerde "als je toestel lek is heb je toch al een ander/groter probleem" , dit was best wel amateuristisch.
Nog een minpuntje:
Signal is eenvoudig af te luisteren door de VS inlichtingendiensten.
Hoe ?
Nou, via de Notificaties op Android, die lopen namelijk zodra je online bent via Google servers -unencrypted. Dit gaat over AL jouw Notificaties op Android (genoeg bronnen over te vinden als weer iemand te lui is en om "bewijs"gaat vragen- dit is oude koek en al jaren bekend) . Je moet niet voor niets bij elke app expliciet Toestemming geven om die App Notificaties te laten gebruiken.
Hoe zit dit specifiek met Signal?
Net zoals vroeger, een default=insecure instellling. Je hebt (verstopt in een submenu) namelijk 3 keuzes:
1) Niets melden bij inkomend bericht
2) Naam en content melden (inclusief afbeeldingen) op notificatie screen
3) Alleen de naam ("u heeft een bericht van X")
Uiteraard is alleen de 3de optie veilig voor uw privacy.
En het erge is, om uw privacy te waarborgen moeten al uw contacten die setting dus die instelling op hun toestel instellen.
Ondoenlijk.
Je hebt dus wel E2EE met Signal, dus encryptie , maar dat betreft alleen het TCP verkeer/signal protocol wat daarover gaat.
Je Signal app stuurt de chats+content van jouw contact (inkomend) gewoon unencrypted naar de Google Notification services...... en jouw contact stuurt jouw berichten weer naar hun Google Notification service ......
Dus... ze hoeven Signal niet te kraken, want ze konden bij Signal en alle andere apps al meekijken..........
Signal Foundation is te lui om die setting op "Name only" te zetten, zodat Google wel weet met wie jij wanneer communiceert, maar niet de inhoud van de gesprekken krijgt.
Daarbij kan Signal een voorbeeld nemen aan Session, of Matrix , of aan SimpleX , die een eigen Notification service implementeren.
Conclusie: SIGNAL == ONVEILIG , het is verder cleane code maar alles is marketing , elkaar napraten hoe secure deze app is. Het is dus secure tegen cybercriminelen , niet -westerse landen of een boze ex. Als dit jouw threatlevel is.
Gebruiker liever Matrix of SimpleX wil je niet dat Uncle Sam meekijkt .
Einde relaas
Door Briolet: Waarom moet die backup altijd naar de servers van de app eigenaar? Waarom niet een optie om zelf een pad in te voeren die naar een eigen server wijst?
Als ik het verhaal zo lees is dit nu geen echte backup. De sleutel blijft op je toestel staan en met 64 tekens is hij wel erg lang om even over te schrijven. Dus als je telefoon weg is, ben je je backup ook kwijt. Maar volgens mij is het kwijtraken (of stuk gaan) van de telefoon de enige reden waarom je een backup wilt hebben.
Als ik het verhaal zo lees is dit nu geen echte backup. De sleutel blijft op je toestel staan en met 64 tekens is hij wel erg lang om even over te schrijven. Dus als je telefoon weg is, ben je je backup ook kwijt. Maar volgens mij is het kwijtraken (of stuk gaan) van de telefoon de enige reden waarom je een backup wilt hebben.
Signal had vele jaren de databases onversleuteld (!) op de telefoon opgeslagen. De Signal Foundation redeneerde "als je toestel lek is heb je toch al een ander/groter probleem" , dit was best wel amateuristisch.
Nog een minpuntje:
Signal is eenvoudig af te luisteren door de VS inlichtingendiensten.
Hoe ?
Nou, via de Notificaties op Android, die lopen namelijk zodra je online bent via Google servers -unencrypted. Dit gaat over AL jouw Notificaties op Android (genoeg bronnen over te vinden als weer iemand te lui is en om "bewijs"gaat vragen- dit is oude koek en al jaren bekend) . Je moet niet voor niets bij elke app expliciet Toestemming geven om die App Notificaties te laten gebruiken.
Hoe zit dit specifiek met Signal?
Net zoals vroeger, een default=insecure instellling. Je hebt (verstopt in een submenu) namelijk 3 keuzes:
1) Niets melden bij inkomend bericht
2) Naam en content melden (inclusief afbeeldingen) op notificatie screen
3) Alleen de naam ("u heeft een bericht van X")
Uiteraard is alleen de 3de optie veilig voor uw privacy.
En het erge is, om uw privacy te waarborgen moeten al uw contacten die setting dus die instelling op hun toestel instellen.
Ondoenlijk.
Je hebt dus wel E2EE met Signal, dus encryptie , maar dat betreft alleen het TCP verkeer/signal protocol wat daarover gaat.
Je Signal app stuurt de chats+content van jouw contact (inkomend) gewoon unencrypted naar de Google Notification services...... en jouw contact stuurt jouw berichten weer naar hun Google Notification service ......
Dus... ze hoeven Signal niet te kraken, want ze konden bij Signal en alle andere apps al meekijken..........
Signal Foundation is te lui om die setting op "Name only" te zetten, zodat Google wel weet met wie jij wanneer communiceert, maar niet de inhoud van de gesprekken krijgt.
Daarbij kan Signal een voorbeeld nemen aan Session, of Matrix , of aan SimpleX , die een eigen Notification service implementeren.
Conclusie: SIGNAL == ONVEILIG , het is verder cleane code maar alles is marketing , elkaar napraten hoe secure deze app is. Het is dus secure tegen cybercriminelen , niet -westerse landen of een boze ex. Als dit jouw threatlevel is.
Gebruiker liever Matrix of SimpleX wil je niet dat Uncle Sam meekijkt .
Einde relaas
Corrigerende post
Het klopte niet wat ik schreef. Signal heeft het Notification services probleem meer dan 7 jaar geleden al opgelost. Ik was het blijkbaar alweer vergeten
https://mastodon.world/@Mer__edith/111563866152334347
Gisteren, 19:56 door
Anoniem
Door Anoniem:
Signal had vele jaren de databases onversleuteld (!) op de telefoon opgeslagen. De Signal Foundation redeneerde "als je toestel lek is heb je toch al een ander/groter probleem" , dit was best wel amateuristisch.
Nog een minpuntje:
Signal is eenvoudig af te luisteren door de VS inlichtingendiensten.
Hoe ?
Nou, via de Notificaties op Android, die lopen namelijk zodra je online bent via Google servers -unencrypted. Dit gaat over AL jouw Notificaties op Android (genoeg bronnen over te vinden als weer iemand te lui is en om "bewijs"gaat vragen- dit is oude koek en al jaren bekend) . Je moet niet voor niets bij elke app expliciet Toestemming geven om die App Notificaties te laten gebruiken.
Hoe zit dit specifiek met Signal?
Net zoals vroeger, een default=insecure instellling. Je hebt (verstopt in een submenu) namelijk 3 keuzes:
1) Niets melden bij inkomend bericht
2) Naam en content melden (inclusief afbeeldingen) op notificatie screen
3) Alleen de naam ("u heeft een bericht van X")
Uiteraard is alleen de 3de optie veilig voor uw privacy.
En het erge is, om uw privacy te waarborgen moeten al uw contacten die setting dus die instelling op hun toestel instellen.
Ondoenlijk.
Je hebt dus wel E2EE met Signal, dus encryptie , maar dat betreft alleen het TCP verkeer/signal protocol wat daarover gaat.
Je Signal app stuurt de chats+content van jouw contact (inkomend) gewoon unencrypted naar de Google Notification services...... en jouw contact stuurt jouw berichten weer naar hun Google Notification service ......
Dus... ze hoeven Signal niet te kraken, want ze konden bij Signal en alle andere apps al meekijken..........
Signal Foundation is te lui om die setting op "Name only" te zetten, zodat Google wel weet met wie jij wanneer communiceert, maar niet de inhoud van de gesprekken krijgt.
Daarbij kan Signal een voorbeeld nemen aan Session, of Matrix , of aan SimpleX , die een eigen Notification service implementeren.
Conclusie: SIGNAL == ONVEILIG , het is verder cleane code maar alles is marketing , elkaar napraten hoe secure deze app is. Het is dus secure tegen cybercriminelen , niet -westerse landen of een boze ex. Als dit jouw threatlevel is.
Gebruiker liever Matrix of SimpleX wil je niet dat Uncle Sam meekijkt .
Einde relaas
Door Briolet: Waarom moet die backup altijd naar de servers van de app eigenaar? Waarom niet een optie om zelf een pad in te voeren die naar een eigen server wijst?
Als ik het verhaal zo lees is dit nu geen echte backup. De sleutel blijft op je toestel staan en met 64 tekens is hij wel erg lang om even over te schrijven. Dus als je telefoon weg is, ben je je backup ook kwijt. Maar volgens mij is het kwijtraken (of stuk gaan) van de telefoon de enige reden waarom je een backup wilt hebben.
Als ik het verhaal zo lees is dit nu geen echte backup. De sleutel blijft op je toestel staan en met 64 tekens is hij wel erg lang om even over te schrijven. Dus als je telefoon weg is, ben je je backup ook kwijt. Maar volgens mij is het kwijtraken (of stuk gaan) van de telefoon de enige reden waarom je een backup wilt hebben.
Signal had vele jaren de databases onversleuteld (!) op de telefoon opgeslagen. De Signal Foundation redeneerde "als je toestel lek is heb je toch al een ander/groter probleem" , dit was best wel amateuristisch.
Nog een minpuntje:
Signal is eenvoudig af te luisteren door de VS inlichtingendiensten.
Hoe ?
Nou, via de Notificaties op Android, die lopen namelijk zodra je online bent via Google servers -unencrypted. Dit gaat over AL jouw Notificaties op Android (genoeg bronnen over te vinden als weer iemand te lui is en om "bewijs"gaat vragen- dit is oude koek en al jaren bekend) . Je moet niet voor niets bij elke app expliciet Toestemming geven om die App Notificaties te laten gebruiken.
Hoe zit dit specifiek met Signal?
Net zoals vroeger, een default=insecure instellling. Je hebt (verstopt in een submenu) namelijk 3 keuzes:
1) Niets melden bij inkomend bericht
2) Naam en content melden (inclusief afbeeldingen) op notificatie screen
3) Alleen de naam ("u heeft een bericht van X")
Uiteraard is alleen de 3de optie veilig voor uw privacy.
En het erge is, om uw privacy te waarborgen moeten al uw contacten die setting dus die instelling op hun toestel instellen.
Ondoenlijk.
Je hebt dus wel E2EE met Signal, dus encryptie , maar dat betreft alleen het TCP verkeer/signal protocol wat daarover gaat.
Je Signal app stuurt de chats+content van jouw contact (inkomend) gewoon unencrypted naar de Google Notification services...... en jouw contact stuurt jouw berichten weer naar hun Google Notification service ......
Dus... ze hoeven Signal niet te kraken, want ze konden bij Signal en alle andere apps al meekijken..........
Signal Foundation is te lui om die setting op "Name only" te zetten, zodat Google wel weet met wie jij wanneer communiceert, maar niet de inhoud van de gesprekken krijgt.
Daarbij kan Signal een voorbeeld nemen aan Session, of Matrix , of aan SimpleX , die een eigen Notification service implementeren.
Conclusie: SIGNAL == ONVEILIG , het is verder cleane code maar alles is marketing , elkaar napraten hoe secure deze app is. Het is dus secure tegen cybercriminelen , niet -westerse landen of een boze ex. Als dit jouw threatlevel is.
Gebruiker liever Matrix of SimpleX wil je niet dat Uncle Sam meekijkt .
Einde relaas
Iets met de bel horen luiden maar niet weten waar de klepel hangt...
Die notificaties bevatten helemaal je berichten niet. Signal onderscheidt zich daarin juist tov andere apps.
Zie: https://mastodon.world/@Mer__edith/111563865413484025
Dus bedankt voor je relaas en denigrerende opmerking dat iedereen te lui is om bron te zoeken. Spiegeltje
Gisteren, 21:33 door
Anoniem
[Misschien moet je jezelf eens beter informeren. Ja, er zijn zat "encrypted" apps waarbij de inhoud over het push netwerk van Apple/Google gestuurd wordt, maar bij Signal is dat juist niet het geval. Bij Signal worden alleen lege push notifications gestuurd, die je als gebruiker niet ziet. Signal haalt dan vervolgens zelf het bericht op, decrypt dit en toont *lokaal* een notificatie met de inhoud.
Inderdaad. En voor de volledigheid: op Android kan Signal ook gewoon als apk gedownload en geïnstalleerd worden buiten de Google Play Store om; daarbij werkt Signal prima zonder Google Play Services (incl. Firebase Cloud Messaging). Zelfs metadata-verzameling door Google in de vorm van Signal push notificaties is dus te vermijden.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Senior Netwerkbeheerder
Netwerk Services
AIVD
Betrouwbaarheid, optimale beveiliging en innovatie: eisen die we stellen aan onze infrastructuur die het belangrijke werk van de AIVD en de MIVD mogelijk maakt. Zorg jij ervoor dat gebruikers altijd op de systemen kunnen rekenen en dat er geen staatsgeheim ontsnapt?
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?