Эффект присутствия: Signal, Telegram, WatsApp, Viber, или Кто читает ваши сообщения?

  +23     0

На прошлой неделе по всему миру резко выросло количество загрузок Telegram и Signal. Спонсором банкета выступил WatsApp, а именно новость о том, что мессенджер будет передавать часть данных Facebook. Пользователи трубят о несправедливости подобного решения и активно покидают платформу в надежде, что другие мессенджеры уж точно сохранят их приватность. Но так ли это на самом деле, и можно ли вообще говорить о какой-либо конфиденциальности в 21 веке.

"Илон Маск доверяет Signal, поэтому доверюсь ему и я", "Павел Дуров утверждает, что Telegram не хуже, а то и лучше. Согласен", "WatsApp пытается оправдаться? Ну уж нет, на это я не куплюсь. Удалить", "iMessage и Facetime точно не подведут - приоритетом Apple долгие годы является защита персональных данных своих клиентов", "Messenger - примитивное "дитя" Facebook, о какой конфиденциальности там может идти речь?", "Viber мне не кажется надежным, он какой-то старомодный, какая там приватность?", "Skype? Он что еще жив?"

Собрать в одном абзаце все самые распространенные заблуждения о известных платформах для коммуникации - сделано. Осталось их развенчать, чтобы перейти к тому, что позволит вам посмотреть на приватность под другим углом.

Signal и Telegram у руля: все остальные мессенджеры покинули чат?

Не стоит идеализировать Signal. Несмотря на то, что репутация мессенджера чище, чем у его оппонентов, темные "времена" также имеются. Так, в октябре 2018 года исследователь в области информационной безопасности Мэтью Сюиш поделился информацией о том, что Signal в процессе миграции от расширения для Chrome до полноценного десктопного клиента экспортирует сообщения пользователя в незашифрованные текстовые файлы.

Простыми словами: все экспортированные данные (сообщения и вложения) остаются незашифрованными на диске во время и после процесса обновления (удалять их нужно вручную).

Дальше - больше. В "защищенном" Signal существовала "дыра", с помощью которой вызывающее устройство могло отправить сообщение принимающей стороне без её ведома. Злоумышленники могли слушать, что происходит рядом с пользователем еще до того, как он примет входящий звонок. Брешь поправили в сентябре 2019 года.

Через год, в сентябре 2020 года исследователи из Вюрцбургского университета протестировали несколько сервисов на предмет доступа к частной информации совместно с коллегами из Дармштадтского технического университета (Германия). В ходе тестов было выяснено, что три известных мессенджера, в числе которых был и эталонный для многих Signal, раскрывают персональные данные пользователей через сервисы поиска контактов по номерам телефонов, хранящихся в адресной книге. Так, в ходе эксперимента при помощи таких сервисов исследователи просканировали 100% номеров пользователей Signal. В их распоряжении оказались все данные, которые люди выкладывают в своих профилях (фотографии, никнеймы, статусы, последние дата и время подключения).

Стоит отметить, что двумя другими мессенджерами, которые принимали участие в исследовании, были WatsApp и Telegram. Результаты также неутешительны.

Telegram тоже далек от идеала. Поговорим о шифровании. В "телеге", как и в большинстве других современных мессенджеров, используется end-to-end шифрование - сообщение зашифровывается на вашем телефоне и расшифровывается на девайсе получателя. "Посередине" этого пути сам мессенджер не хранит у себя расшифрованную копию сообщения. Такое шифрование обеспечивает высокий уровень безопасности. Для голосовых сообщений и видеозвонков в Telegram используется именно он, но для обычных сообщений чата - нет.

Для того, чтобы end-to-end шифрование работало для вас по умолчанию, нужно использовать "секретный чат". Но это касается лишь личных сообщений, в групповых чатах вы по-прежнему остаетесь "голыми".
Более того, на самом деле сквозное шифрование не панацея. В 2018 году пользователю Habr под ником ne555 удалось обойти двухфакторную авторизацию, получить доступ к секретным чатам (смог читать и отправлять сообщения в них). При этом реальный владелец аккаунта даже не видел, что его взломали. Подобные манипуляции были проведены хакером в качестве эксперимента, на который разработчики среагировали лишь спустя еще несколько удачных взломов.

Не обязательно "ставить крест" на WatsApp. Вы будете удивлены, но, если вы не бизнесмен, не политик и передаваемая вами информация не является сверхчувствительной, WatsApp является для вас достаточно конфиденциальным.

"Проблема преувеличена (ред. - скандал вокруг WatsApp). Она в основном касается бизнес-аккаунтов, а обычных людей - нет. И вообще, на самом деле он и раньше передавал такие данные в Facebook, и этот объем относительно частных лиц не изменится. Он изменится только относительно бизнес-аккаунтов. Мессенджер будет продолжать передавать Facebook все, что и раньше передавал. Если вас это устраивало раньше, то почему это не устраивает вас сейчас", - говорит в комментарии 112.ua эксперт в области информационных технологий Александр Ольшанский.

Messenger еще может вас удивить. Еще одним приложением, которое "попало под раздачу" из-за проделок Facebook, стал Messenger - "дитя" корпорации. Да, его привязку к аккаунту Facebook с двухфакторной аутентификацией часто критикуют, и небезосновательно - если злоумышленник получит доступ к вашему аккаунту, он автоматически получает доступ и к мессенджеру. Также оставляют желать лучшего и его стандартные параметры использования - мессенджер не шифрует ваши сообщения по умолчанию. Но что насчет "секретного чата"? Скорее всего, вы даже не знали о его существовании. Так же, как и о функции автоматического удаления сообщений.

Безопасность, которую предлагают мессенджеры Apple, устроит не всех. Дело в том, что сообщения в iMessage и Facetime действительно надежно защищены - на уровень выше, чем в некоторых других приложениях для коммуникации. Но безопасность данных в случае с Apple имеет высокую цену - ключи шифрования хранятся на серверах компании, и она теоретически может их прочитать. И более того, в таких странах, как Россия и Китай, может передать их на государственные сервера.

Viber может составить конкуренцию даже нашумевшему Signal. Не многие знают, но в приложении есть сквозное шифрование, что по умолчанию включено для всех чатов. Также в арсенале мессенджера имеются "секретные чаты", функция автоматического удаления сообщений, отслеживание скриншотов и защита от копирования и пересылки сообщений. Разумеется, что в этой бочке меда, как и у каждого из мессенджеров, есть и несколько ложек дегтя: вопросы к двухфакторной аутентификации и сохранению резервных копий в открытом виде.

Skype жив и довольно упитан. Если молодежь в своем большинстве перестала пользоваться Skype, отдавая предпочтения более "свежим" мессенджерам, это не означает, что стоит сбрасывать его со счетов. В отличие от Telegram, в мессенджере есть сквозное шифрование по умолчанию (но стоит отметить, что разработчики могут получить доступ к личным данным пользователя, если это потребуется, к примеру, силовым структурам).

Также преимуществом Skype над тем же Viber есть то, что мессенджер не делает резервное копирование файлов на другие сервера. Конечно, говоря о Skype, нельзя не упомянуть о многочисленных скандалах, связанных с прослушиванием разговоров в мессенджере сотрудниками Microsoft (Skype был куплен техногигантом еще в 2011 году).

Прежде чем переходить к апогею, после которого вам может понравиться идея использовать почтовых голубей в своих переписках, важно подчеркнуть, что разработчики Signal, как и разработчики любого другого мессенджера, после выявления "дыр" устраняют их, совершенствуя свои приложения. Но также совершенствуются и злоумышленники, подбирая новые "ключи" к данным, которые могут их заинтересовать. Тем более, что в случае с Signal и свалившейся на него популярностью риск действительно высок.

"Signal после рекомендаций Маска очень быстро набирает популярность, а с ней и проблемы с безопасностью. Поскольку пользователям больше следует бояться мониторинга "изнутри" в виде надзора администрации самого мессенджера и государственных органов, то Signal уже становится интересным многим спецслужбам и регуляторам", - отмечает в комментарии 112.ua директор LEAD9 Mobile Marketing Назар Грыник.

Но так или иначе, все споры вокруг темы "Какой из мессенджеров более надежный" - переливание из пустого в порожнее с соотношением рисков. Почему? Нет абсолютной конфиденциальности. Всегда есть способ, чтобы что-то взломать. Вопрос лишь в том, кому это нужно и сколько это стоит.

Ваши данные уже не принадлежат вам, вопрос лишь в цене и целях

Без паники. Да, это действительно так. Гарантировать вам стопроцентную защиту не может ни один из современных мессенджеров. Но если вы обычный человек, не политик, не бизнесмен и не передаете с помощью платформ для коммуникации чувствительную информацию - выдыхайте.

"Еnd to end шифрование - довольно надежный механизм при условии, что вы обычный человек. В остальных случаях применяются другие способы взлома - ломают не сам мессенджер, а на телефон "подселяют" специально сконструированный вирус, который читает сообщения непосредственно на вашем телефоне, потому что по дороге их прочесть нельзя - они зашифрованные. И здесь не мессенджеры являются барьером, а телефоны, операционные системы и надежность их", - говорит Александр Ольшанский.

Множество мессенджеров также собирают и другую информацию о вас - метаданные (как часто переписываетесь, в какое время суток, ваше местоположение и др.). Viber, например, собирает информацию о том, на какие сайты вы ходите.

"И это не сами мессенджеры. На сайтах есть кусочек кода, который рапортует в мессенджеры. Саму переписку современные мессенджеры не собирают, тут нужен злонамеренный взлом, и он происходит через операционную систему телефона. В рамках одного телефона не так важно, какой мессенджер вы используете", - добавляет эксперт.

Для рядового абонента вопрос безопасности действительно не является основополагающим критерием для выбора конкретного мессенджера. Как правило, пользователь может задуматься о безопасности, если у него или кого-то из близких уже произошел какой-то инцидент (например, утечка информации).

"Есть сегмент пользователей, которые выбирают мессенджер именно из соображений безопасности, но их меньшинство (до 5%) по сравнению с общей массой, ориентированной в первую очередь на массовость и удобство пользования", - говорит Назар Грыник.

Если же у вас остро стоит вопрос конфиденциально передать сообщение другому лицу, то лучше всего это сделать используя Signal, Threema, Wire или Riot. IM - эти мессенджеры имеют высокую надежность по оценкам различных аналитических компаний сектора. Правда, сперва нужно уговорить ваших собеседников их скачать.

Существуют и платные мессенджеры, которые не собирают ваши метаданные. Но обычному человеку всем этим пользоваться довольно затруднительно. В таком случае безопасность находится в противоречии с удобством.
"Если вы поставите на машину очень сложную сигнализацию, она будет отлично работать, но пользоваться неудобно - каждый раз надо вводить код. Такие мессенджеры тоже так устроены", - подчеркивает эксперт в сфере информационных технологий Александр Ольшанский.

По словам директора LEAD9 Mobile Marketing Назара Грыника, кроме опасности взлома вашей переписки злоумышленниками-мошенниками, есть еще один, гораздо более реальный - государственный мониторинг.

"Например, российская система СОРМ, которая дает доступ ко всей электронной переписке абонентов. И почему-то мне кажется, что в Украине уже тоже есть такая система", - говорит эксперт.

Так или иначе, но все популярные мессенджеры не являются безопасными, ведь их алгоритмы шифрования и подходы к безопасности достаточно быстро становятся известными злоумышленникам. И здесь только вопрос времени и ресурсов, чтобы получить доступ к данным. А сломать можно все. Вопрос только - как быстро и насколько это нужно.

Если ни один из популярных мессенджеров не может гарантировать полную конфиденциальность, то как быть пользователям? Обращать внимание на другие факторы, которые помогут чувствовать себя более защищенными:
  • Сквозное 256-битное шифрование, о котором мы говорили ранее - все сообщения шифруются прямо на гаджете перед отправкой и расшифровываются уже на гаджете, на который доставляются непосредственно перед прочтением.
"Ключи к 256-битному шифрованию должны храниться только на гаджетах пользователей, а не на сервере мессенджераЕсли сообщения шифруются, но ключ хранится в компании, она теоретически может прочитать вашу переписку", - говорит Грыник.
  • Что, если ваш девайс взломали и получили ключ к переписке в мессенджере? Для этого необходимо иметь еще и опцию генерации ключа для каждой отдельной сессии - Perfect Forward Secrecy или PFS. Таким образом, даже получив ключ к шифрованию, невозможно будет открыть всю предыдущую переписку, сохраненную на девайсе.
  • Для безопасного браузинга и коммуникации дополнительно используйте сервисы VPN.
Безопасной переписки!

112 ua

Додавати коментарі можуть лише зареєстровані користувачі.
[ Реєстрація | Вхід ]

Коментарів 0