Beveiligingsonderzoeker en reverse engineering-blogger Jane Manchun Wong ontdekte bewijs dat Twitter end-to-end encryptie naar Twitter zou kunnen brengen, samen met twee andere mogelijke veranderingen die behoorlijk nuttig zijn.
Hij maakte de informatie openbaar via een reeks tweets die details lekten van nieuwe functies die nog in ontwikkeling zijn.
Triviale maar nuttige verandering
De eerste wijziging die op komst is, is het verwijderen van het oorsprongsveld.
Het bronveld is het gedeelte onder elke tweet dat aangeeft welk type apparaat is gebruikt om de tweet te plaatsen.
Er moet een doel zijn voor deze functie, maar het is niet meteen duidelijk.
Uiteindelijk is dit een triviale verandering, maar waarschijnlijk nuttig omdat het rommel vermindert.
Ja. Bronveld ontbreekt in tweet-detailsweergave in dit prototype https://t.co/ZTFOnfdXvP pic.twitter.com/KaCOFmKzLE
— Jane Manchun Wong (@wongmjane) 16 november 2022
End-to-end-codering
End-to-end encryptie (E2EE) is een beveiligd communicatieprotocol dat volledig privé is en geen toegang heeft tot andere partijen dan degenen die betrokken zijn bij de berichtenuitwisseling.
Over het algemeen is dit een goed idee. Maar er zijn er ook die legitieme zorgen uiten over het toevoegen van E2EE aan berichten die niet noodzakelijkerwijs aan een telefoon zijn gekoppeld op dezelfde manier als WhatsApp en Telegram.
Jane Manchun Wong ontdekt bewijs
Jane Manchun Wong is een opmerkelijke reverse engineering-expert die is geïnterviewd en geprofileerd op plaatsen als BBC News en MIT Technology Review.
Volgens het BBC-profiel van haar:
“Hij ontdekte dat Airbnb een nieuwe functie voor vluchtintegratie aan het testen was die hosts op de website waarschuwde wanneer de vliegtuigen van hun gasten veilig waren geland.
En hij blies op de hoorn toen Instagram begon te experimenteren met augmented reality-profielfoto’s.
MIT Technology Review schreef dit over haar:
“Wong, 27, heeft een bovennatuurlijk vermogen om moeilijke codes te kraken, samen met een aanzienlijk aantal volgers op Twitter, waaronder enkele van de grootste namen in technologie en journalistiek.
Terwijl hij in de code achter websites graaft om te zien waar software-engineers mee spelen, wacht hij met belangstelling op zijn ontdekkingen. “
Bij het verkennen van de Android-app van Twitter ontdekte hij onlangs dat de E2EE-functie mogelijk naar Twitter’s Direct Messaging (DM) -service komt.
Hij twitterde en plaatste een screenshot van het bewijs:
“Twitter neemt end-to-end versleutelde directe berichten terug
Tekenen zien dat er aan de functie wordt gewerkt op Twitter voor Android: “
Twitter brengt end-to-end versleutelde directe berichten terug
Tekenen zien van de functie waaraan wordt gewerkt op Twitter voor Android: https://t.co/YtOPHH3ntD pic.twitter.com/5VODYt3ChK
— Jane Manchun Wong (@wongmjane) 16 november 2022
Jane plaatste ook nog een test:
Vroeg prototype van Twitter’s volgende end-to-end versleutelde DM “Encryption Keys”-scherm: https://t.co/rcnd7h68lO pic.twitter.com/EMXSlI188j
— Jane Manchun Wong (@wongmjane) 16 november 2022
Jane vroeg om end-to-end encryptie
Op 9 november 2022 reageerde hij op een tweet van Elon Musk waarin hij om suggesties voor Twitter vroeg.
zij hij twitterde:
“Herleef end-to-end versleutelde DM’s!”
Herbeleef end-to-end versleutelde directe berichten! https://t.co/pBEQro3E4e
— Jane Manchun Wong (@wongmjane) 9 november 2022
Is end-to-end-codering van Twitter DM een goed idee?
Lea Kissner, voormalig chief information security officer van Twitter, deelde haar observaties over mogelijke valkuilen.
zij hij twitterde:
“Voor de context: ik ben gepromoveerd in cryptografie, mijn proefschrift gaat over privacybehoudende cryptografische protocollen, en het is algemeen bekend dat ik heb gewerkt aan verschillende nieuwe E2EE-systemen (van Zoom en Google).
Dus: 1) YMMV omdat elk systeem een beetje anders is 2) dit is niet mijn eerste rodeo”
Een van hun zorgen was de mogelijkheid van misbruik.
Hij legde uit in een vervolg tweeten:
“Merk op dat alleen al het kijken naar WhatsApp of Signal je niet genoeg inzicht geeft in hoe misbruik zal zijn op een netwerk dat niet op telefoonnummers is gebaseerd. Ze hebben het *veel* gemakkelijker en het is nog steeds niet opgelost.”
Hij merkte ook op hoe ingewikkeld het is om op meerdere apparaten te implementeren:
“5. Meerdere apparaten. Dit wordt allemaal vervelender (hoewel nog steeds beheersbaar) wanneer gebruikers meer dan één apparaat hebben, *vooral* als je niet wilt dat de server onbedoeld apparaten kan toevoegen (omdat dat de beveiliging in gevaar brengt).
Maar uiteindelijk beweerde hij dat end-to-end encryptie haalbaar is voor Twitter.
Ik weet zeker dat ik iets vergeet en dit is allemaal goed te doen, maar onthoud:
1) zoals alle cryptosystemen is E2EE subtiel en snel boos en moet voorzichtig worden gedaan
2) merk op dat ik nergens in deze lijst het daadwerkelijke deel heb opgenomen dat de coderings- / decoderingsdingen doet
— Lea Kissner (@LeaKissner) 16 november 2022
Blokkeren van illegale inhoud in Zuid-Korea
Het derde kenmerk dat Jane ontdekte, is echt goed omdat het werkt om cyberpesten en het plaatsen van illegale video’s die zijn geüpload door cyberpesten en engerds, te verslaan.
zij hij twitterde:
“Twitter werkt aan een mediawaarschuwing voor gebruikers in Zuid-Korea
“Als u illegaal gefilmde inhoud uploadt, kan Twitter de inhoud verwijderen of de toegang tot de inhoud blokkeren en kan de gebruiker worden gestraft.”
Blijkbaar is dit gericht op de problematiek van illegaal gefilmde video’s van mensen en cyberpesten.
Twitter werkt aan een mediawaarschuwing voor gebruikers in Zuid-Korea
“Als je inhoud uploadt die illegaal is gefilmd, kan Twitter de toegang tot de inhoud verwijderen of blokkeren en kan de gebruiker worden gestraft.” pic.twitter.com/GUW1XGIaPY
— Jane Manchun Wong (@wongmjane) 16 november 2022
Dit is eigenlijk een zeer nuttige functie die hopelijk zal helpen bij het bestrijden van spy cam-video’s en soortgelijke media die zijn gemaakt zonder medeweten of toestemming van een persoon.
Zullen de functies daadwerkelijk worden uitgerold?
Het lijkt erop dat het Twitter-team actief aan deze handige functies werkt. Het zal interessant zijn om te zien hoe snel ze dit kunnen implementeren met het verminderde personeelsbestand.
Uitgelichte afbeelding door Shutterstock/RealPeopleStudio
Hey, ik ben Brent, en ik speel al een lange tijd mee in de SEO scene. Ik ben vooral heel actief in de Amerikaanse markt, en hou dan ook wel van een uitdaging. Ik ben sinds kort aan het uitbreiden binnenin de Benelux, en besluit hier dan ook te oversharen!
Wil je meer leren, klik dan op lees meer!
