Mail.ruПочтаМой МирОдноклассникиИгрыЗнакомстваНовостиПоискСмотриComboВсе проекты

WhatsApp выкрутился из большого скандала со взломом. Чему это нас должно научить?

Пока все обсуждают новости о запуске Facebook собственной криптовалюты, оказались позабыты недавние скандалы, в центре которых оказался WhatsApp. Выяснилось, что WhatsApp превращал мобильные телефоны фактически в шпионские устройства, давая хакерам возможность получить доступ к пользовательскому контенту: фотографиям, почте, SMS.

Вот краткая хроника майских событий

  • Financial Times размещает статью о взломе WhatsApp. Выяснилось, что одного звонка на WhatsApp жертвы было достаточно для установки шпионского ПО. Это стало возможно из-за уязвимости в мессенджере
  • FT выяснила, что шпионское ПО разработала израильская компания NSO Group. Ключевой продукт NSO Group — программа Pegasus. Она открывает полный доступ к смартфону жертвы. По словам разработчиков, программа используется для борьбы с терроризмом. Однако в СМИ неоднократно встречались упоминания об использовании программы для преследования правозащитников, журналистов и членов оппозиции на Ближнем Востоке, в Европе, США и других странах
  • В компании заявили, что «атака была целевой». У неё все признаки государственной кампании — пострадала «избранная группа лиц»
  • WhatsApp выпустил обновление
Фото – Depositphotos

Какие личные данные доступны Facebook?

Марк Цукерберг и его сервисы (Facebook, WhatsApp) регулярно оказываются в центре скандалов с личными данными пользователей. В этой статье мы рассмотрим наиболее показательные случаи утечки данных, которые произошли за последние несколько лет, а также то, как сегодня обстоят дела с защитой личной информации в крупнейших мессенджерах.

Начнём с того, что до августа 2012 года сообщения в WhatsApp никак не шифровались, а отправлялись в виде обычного текста. Это означает, что получить к ним доступ могли не только правительства и хакеры через специальные программы, но мобильные операторы и даже владельцы точек Wi-Fi.

В августе 2012 компания якобы добавила «шифрование». Однако, как выяснилось позже, это была маркетинговая уловка — ключи доступа получили сразу несколько спецслужб.

Через 3 года мессенджер всё-таки внедрил шифрование, не позволяющее третьим лицам получать доступ к сообщениям. Но и тут не обошлось без уловок — одновременно компания стала призывать пользователей сохранять резервные копии чатов в облаке. При этом WhatsApp, конечно же, умалчивал, что на резервные копии новое шифрование не распространяется — сообщения с облака были по-прежнему доступны хакерам и властям. Но не думайте, что отключив резервные копии чатов, вы спасёте личные данные — на этот случай у WhatsApp есть ещё несколько вариантов: доступ к резервным копиям собеседников и подмена ключей шифрования в чатах.

Метаданные, или почему Цукерберг знает о вас все

В январе 2017 года стало известно, что WhatsApp передаёт властям потоки метаданных — данные о том, где, с кем, когда и как долго общается пользователь. Эта информация нужна корпорации для улучшения настроек таргетированной рекламы.

Есть также кейсы, доказывающие передачу метаданных пользователей по запросу властей. В мае 2016 года (уже после внедрения p2p-шифрования) власти штата Огайо попросили WhatsApp отследить, с каких номеров звонили подозреваемому в распространении наркотиков. (Доступна копия заявления в суд). Представители WhatsApp отказались комментировать эту ситуацию.

Фото – Depositphotos

Разногласия внутри Facebook

Не только журналисты и общественные деятели выступают против политики Facebook — некоторые сотрудники корпорации тоже не разделяют взгляды основателя. В апреле 2018 года соучредитель WhatsApp Ян Кум покинул Facebook из-за противоречий в отношении конфиденциальности пользовательских данных. Он был против введения инструментов для бизнеса, платной рекламы и задействования пользовательских данных в коммерческих целях. Кум также был против сбора информации о номерах телефонов друзей пользователей WhatsApp.

Ещё один сооснователь WhatsApp, Брайан Эктон, покинул компанию в ноябре 2017 года. В ходе конфликта вокруг Cambridge Analytica он поддержал кампанию #DeleteFacebook и пожертвовал 50 миллионов долларов мессенджеру Signal, который часто рекомендовал использовать Эдвард Сноуден. Об этом мессенджере – ниже.

Как построена защита у популярных мессенджеров?

1. Степень централизации. Здесь возможны 3 варианта:

  • централизованный — такой мессенджер требует наличия сервера, и, следовательно, его можно заблокировать;
  • федеративный — он составляет сеть из серверов, которые общаются друг с другом;
  • децентрализованный (имеется в виду P2P) — клиент является одновременно сервером.

2. Возможность анонимной регистрации и использования

В большинстве случаев аккаунт в мессенджере привязан к номеру телефона. В этом случае, если не включена двухфакторная аутентификация, получив доступ к телефону, злоумышленник получает все данные аккаунта. Некоторые же мессенджеры позволяют регистрироваться через почтовый ящик или аккаунт в другой соцсети;

3. End-to-End Encryption (сквозное шифрование)

В некоторых мессенджерах данная функция предустановлена по умолчанию, в некоторых её нужно включить, а где-то её просто нет.

4. E2EE-чаты (секретные чаты): синхронизация, групповые чаты, возможность сделать скриншот, проверка отпечатков всех участников

5. Защита социального графа

Некоторые мессенджеры собирают информацию о контактах и другую метаинформацию: кому звонил пользователь, как долго разговаривал и прочее.

Фото – Depositphotos

Если брать западные месседжеры, ситуация выглядит так:

Telegram

Мессенджер построен с использованием технологии шифрования переписки MTProto. Вопреки позиционированию мессенджера, с его безопасностью не всё так однозначно. Нет защиты социального графа — контакты и сообщения хранятся на серверах Telegram, нет групповых E2EE-чатов, секретные чаты не поддерживаются в десктопной версии. Более того, зарегистрироваться в Telegram можно только при помощи мобильного.

Signal

Signal — продукт американского стартапа Open Whisper Systems, в котором работают всего несколько человек. Компания разработала собственный протокол шифрования — Signal Protocol. Он используется для сквозного (end-to-end) шифрования звонков (голосовых и видео), а также обычных сообщений. Сейчас протокол Signal используют WhatsApp, Facebook Messenger, Google Allo. Правда, в отличие от Signal, где шифрование работает по умолчанию, в этих продуктах оно выключено. Для его включения в Facebook Messenger нужно активировать Secret Conversations, а в Google Allo — режим инкогнито (Incognito Mode). Кроме всего прочего, Signal децентрализирован и поддерживает групповые E2EE-чаты. При этом Signal не анонимен: при регистрации нужно указывать номер телефона.

Viber

Viber — централизованный мессенджер, в котором аккаунт пользователя привязывается к номеру телефона. С другой стороны, шифрование в Viber основано на протоколе Signal и доступно даже в десктопной версии. Также есть групповые E2EE-чаты с возможностью настраивать самоуничтожение сообщений — текст будет удален через определенное время после прочтения.

Дополнительно Viber позволяет создавать «скрытые секретные чаты» — они не отображаются в общем списке.

WhatsApp

WhatsApp использует Signal-протокол, но это не даёт никаких гарантий безопасности личных данных. С 2016 мессенджер не хранит переписки пользователей на своих серверах — данные хранятся на телефоне, а также в облачных хранилищах. Хоть WhatsApp не получает самой переписки, у его владельцев есть доступ к метаданным пользователя (телефонная книга, время звонков и сообщений, длительность бесед). Помимо этого WhatsApp узнает массу информации о пользователе: модель телефона, ОС, данные из браузера, IP-адрес, номер мобильного и т.д.

Кейс с WhatsApp показывает нам, что наличие p2p-шифрования не гарант защиты от перехвата переписки — его можно обойти путем использования уязвимости приложения.

Защита данных в мессенджерах


SignalTelegramViberWhatsApp
Степень централизацииДецентрализованныйЦентрализованныйЦентрализованныйЦентрализованный
Возможность анонимной регистрации и работыНетНет
Нет
Только по номеру телефона
Наличие E2EEЕстьРеализованы как дополнениеЕсть по умолчаниюЕсть по умолчанию
Групповые чаты E2EEЕсть
Нет
Есть
Есть
Защита социального графаЕсть
Нет
Нет
Нет

Как мы видим из этой таблицы, ни один из популярных мессенджеров не может гарантировать пользователям 100-процентную защиту данных, не говоря уже о периодически обнаруживаемых хакерами уязвимостях. Как отметил Дуров в своей колонке, посвященной скандалу с WhatsApp: «Каждый раз, когда WhatsApp приходится исправлять критическую уязвимость в своем приложении, на ее месте появляется новая».

Фото – Depositphotos

Можно ли найти безопасный мессенджер?

Очевидно, что засекретить личную информацию на 100% в современных условиях у вас не получится. Конечно, можно использовать мессенджеры, созданные помешанными на криптографии «гиками» для таких же «гиков». Однако вряд ли этими мессенджерами будут пользоваться ваши коллеги и друзья.

Есть несколько критериев, на которые стоит обратить внимание при выборе мессенджера. Мы подготовили краткое руководство по оценке безопасности мессенджера. Итак, ответьте для себя на вопросы:

— Какие функции безопасности есть в приложении? Их мы перечисляли в статье: децентрализация, возможность анонимной регистрации, наличие сквозного шифрования и E2EE-чатов.

— В какой юрисдикции зарегистрирован мессенджер? Как в этой стране обстоят дела с информационной безопасностью и регулированием индустрии связи?

— Хранит ли мессенджер метаданные пользователей на серверах? Если да — есть ли в СМИ описанные случаи, когда компания использовала метаданные в своих интересах?

— Есть ли прецеденты взаимодействия мессенджера со спецслужбами?

— Публикует ли мессенджер отчеты о прозрачности и безопасности?

Вот несколько вопросов, на которые вы должны получить ответы, прежде чем принять решение об использовании того или иного мессенджера. После этого, вы получите представление о политике мессенджера в вопросах безопасности пользовательских данных. Однако не забывайте, что в любой момент злоумышленники могут найти уязвимость и воспользоваться ею — поэтому тщательно обдумывайте, какую информацию вы отправляете через мессенджер.

В современных реалиях невозможно игнорировать популярные мессенджеры, но каждый может минимизировать ущерб от возможного взлома. Достаточно не отправлять через мессенджеры личные данные, не пересылать пароли и другую чувствительную личную информацию.

Автор: Алекс Райнхардт (Германия) – венчурный инвестор, основатель и CEO ELVN.

Читайте также:

Поделись этим важным текстом с друзьями! Нажми кнопку нужной соцсети
Хиты продаж и новинки
Самые лучшие цены на смартфоны
Комментарии
45
Михаил М
Все ОС имеют как минимум встроенные уязвимости а как максимум встроенные закладки, так что рассуждать о надежности чата в системе, перехватывающей все что видит и набирает пользователь - бессмысленно.
СсылкаПожаловаться
Николай Канев
Да похрен. Мне скрывать нечего, даже по пьяне. А если в инете всё увидят... Ну и пофиг.
СсылкаПожаловаться
Diverse Ессентуки
В ответ на комментарий от tavovic tavovic
tavovic tavovic
..почему Цукерберг знает о вас все..ни черта он не знает ,особенно о тех кто отключает его шнягу. Раньше только семья знала что чел дурак , теперь все соцсети )))
СсылкаПожаловаться
хахахахааааа
СсылкаПожаловаться
Алив
хм... а ВВМ????
СсылкаПожаловаться
Ирина Челнокова
Хоспадя...че там секретного то....пусть смотрят,да столько людей то нет и времени,на это..
СсылкаПожаловаться
tavovic tavovic
..почему Цукерберг знает о вас все..ни черта он не знает ,особенно о тех кто отключает его шнягу. Раньше только семья знала что чел дурак , теперь все соцсети )))
СсылкаПожаловаться
Deema Trofimov
В ответ на комментарий от Сергей Дусаков
Сергей Дусаков
Если затратить одну секунду на чтение одной записи одного миллиарда человек, то понадобится 31 год. Пусть читают.
СсылкаПожаловаться
никто живой читать не будет: программы способны сами пробежаться по переписке и картинкам и все понять. найдут на фотках нужных людей и текст найдут. Если надо: досочинять и допишут, заменят на сервере на нужный текст, а нейросети и фотки дорисуют, что сам поверишь, что был там и с теми людьми.
СсылкаПожаловаться
Саша Шутов
status
СсылкаПожаловаться
владелец владелец
так цукер и начал-то создавать фейсбук не очень хорошо, украл идею, унизил университетских девушек, постоянно обманывает партнеров. гаденький такой цук. так что не очень удивительно, что вацап ненадежный.
СсылкаПожаловаться
Kirienko Dmitrij
умрем все как один!
СсылкаПожаловаться
alex Gv
Ну вот, теперь все могут смотреть дикпики)
СсылкаПожаловаться
Владимир
В ответ на комментарий от Мидори
Мидори
А что же про mail агент и icq ничего не написали?
СсылкаПожаловаться
агент и icq защитают 100%
СсылкаПожаловаться
Yury Galinsh
В ответ на комментарий от Сергей Дусаков
Сергей Дусаков
Если затратить одну секунду на чтение одной записи одного миллиарда человек, то понадобится 31 год. Пусть читают.
СсылкаПожаловаться
И не лень считать было? Никто не станет читать все записи. "Сидит" компьютер и отсеивает тексты по набору "контрольных" слов и выражений. Из миллиарда остаётся тысяча.
Далее, "сидит" второй компьютер, с более сложной программой,- остаётся 100 сообщений (в сутки), которые вполне по силам прочитать человеку.
Не поручусь за детали, но идея такова.
Аналогичная система прослушивает телефонные разговоры, ещё со времён "развитого социализма" (стационарные тлф.). Ну а "пакет Яровой", более сложный и современный, "обслуживает" мобильные телефоны и интернет.
СсылкаПожаловаться
Александр Макрушин
не знаю : кто сейчас надеется на конфиденциальность !? (по моему это наивно до пошлости)
СсылкаПожаловаться
Мидори
А что же про mail агент и icq ничего не написали?
СсылкаПожаловаться
Александр
В ответ на комментарий от Павел Зудихин
Павел Зудихин
никто не упомянул в статье "Одноклассники" и "Вконтакте" - с чем это связано? Они не уезвимы или мелко плавают?
СсылкаПожаловаться
речь просто шла о мессенджерах, а перечисленное вами - уже социальные сети
СсылкаПожаловаться
Serjio De Avila
А кто такой WhatsApp? Это дочь Хулио Ибанеса Мудильо! А почему летает? БЭшеный...
СсылкаПожаловаться
kletnQ
Псс...ваши переписки всё равно никому нафиг не сдались...это так...на всякий)
СсылкаПожаловаться
Александр Лопушинский
Все это неправда. Статья заказная, автор провокатор.
СсылкаПожаловаться
Александр
Пишите письма на бумаге господа и отправляйте их почтой России или другой, вот там есть гарантия конфиденциальности маломальская, но нет гарантии что письмо дойдет :)
СсылкаПожаловаться
Чтобы оставить комментарий, вам нужно авторизоваться.
Вы не ввели текст комментария
Вы не ввели текст комментария
Обнаружили ошибку? Выделите ее и нажмите Ctrl+Enter.
Подпишитесь на нас