ТАГАНРОГСКИЙ ЖУРНАЛИСТ

WhatsApp выкрутился из большого скандала со взломом. ТагЖур

aifonЧему это нас должно научить?

Пока все обсуждают новости о запуске Facebook собственной криптовалюты, оказались позабыты недавние скандалы, в центре которых оказался WhatsApp. Выяснилось, что WhatsApp превращал мобильные телефоны фактически в шпионские устройства, давая хакерам возможность получить доступ к пользовательскому контенту: фотографиям, почте, SMS.

Какие личные данные доступны Facebook?

Марк Цукерберг и его сервисы (Facebook, WhatsApp) регулярно оказываются в центре скандалов с личными данными пользователей. В этой статье мы рассмотрим наиболее показательные случаи утечки данных, которые произошли за последние несколько лет, а также то, как сегодня обстоят дела с защитой личной информации в крупнейших мессенджерах.

Начнём с того, что до августа 2012 года сообщения в WhatsApp никак не шифровались, а отправлялись в виде обычного текста. Это означает, что получить к ним доступ могли не только правительства и хакеры через специальные программы, но мобильные операторы и даже владельцы точек Wi-Fi.

В августе 2012 компания якобы добавила «шифрование». Однако, как выяснилось позже, это была маркетинговая уловка — ключи доступа получили сразу несколько спецслужб.

Через 3 года мессенджер всё таки внедрил шифрование, не позволяющее третьим лицам получать доступ к сообщениям. Но и тут не обошлось без уловок — одновременно компания стала призывать пользователей сохранять резервные копии чатов в облаке. При этом WhatsApp, конечно же, умалчивал, что на резервные копии новое шифрование не распространяется — сообщения с облака были по-прежнему доступны хакерам и властям. Но не думайте, что отключив резервные копии чатов, вы спасёте личные данные — на этот случай у WhatsApp есть ещё несколько вариантов: доступ к резервным копиям собеседников и подмена ключей шифрования в чатах.

markМетаданные, или почему Цукерберг знает о вас все

В январе 2017 года стало известно, что WhatsApp передаёт властям потоки метаданных — данные о том, где, с кем, когда и как долго общается пользователь. Эта информация нужна корпорации для улучшения настроек таргетированной рекламы.

Есть также кейсы, доказывающие передачу метаданных пользователей по запросу властей. В мае 2016 года (уже после внедрения p2p-шифрования) власти штата Огайо попросили WhatsApp отследить, с каких номеров звонили подозреваемому в распространении наркотиков. (Доступна копия заявления в суд). Представители WhatsApp отказались комментировать эту ситуацию.

Разногласия внутри Facebook

Не только журналисты и общественные деятели выступают против политики Facebook — некоторые сотрудники корпорации тоже не разделяют взгляды основателя. В апреле 2018 года соучредитель WhatsApp Ян Кум покинул Facebook из-за противоречий в отношении конфиденциальности пользовательских данных. Он был против введения инструментов для бизнеса, платной рекламы и использовании пользовательских данных в коммерческих целях. Кум также был против сбора информации о номерах телефонов друзей пользователей WhatsApp.

Ещё один сооснователь WhatsApp, Брайан Эктон, покинул компанию в ноябре 2017 года. В ходе конфликта вокруг Cambridge Analytica он поддержал кампанию #DeleteFacebook и пожертвовал 50 миллионов долларов мессенджеру Signal, который часто рекомендовал использовать Эдвард Сноуден. Об этом мессенджере – ниже.

Как построена защита у популярных мессенджеров?

1. Степень централизации. Здесь возможны 3 варианта:

·         централизованный — такой мессенджер требует наличия сервера, и, следовательно, его можно заблокировать;

·         федеративный — он составляет сеть из серверов, которые общаются друг с другом;

·         децентрализованный (имеется в виду P2P) — клиент является одновременно сервером.

2. Возможность анонимной регистрации и использования

В большинстве случаев аккаунт в мессенджере привязан к номеру телефона. В этом случае, если не включена двухфакторная аутентификация, получив доступ к телефону, злоумышленник получает все данные аккаунта. Некоторые же мессенджеры позволяют регистрироваться через почтовый ящик или аккаунт в другой соцсети;

3. End-to-End Encryption (сквозное шифрование)

В некоторых мессенджерах данная функция предустановлена по умолчанию, в некоторых её нужно включить, а где-то её просто нет.

4. E2EE-чаты (секретные чаты): синхронизация, групповые чаты, возможность сделать скриншот, проверка отпечатков всех участников

5. Защита социального графа

Некоторые мессенджеры собирают информацию о контактах и другую метаинформацию: кому звонил пользователь, как долго разговаривал и прочее.

Если брать западные месседжеры, ситуация выглядит так:

Telegram

Мессенджер построен с использованием технологии шифрования переписки MTProto. Вопреки позиционированию мессенджера, с его безопасностью не всё так однозначно. Нет защиты социального графа — контакты и сообщения хранятся на серверах Telegram, нет групповых E2EE-чатов, секретные чаты не поддерживаются в десктопной версии. Более того, зарегистрироваться в Telegram можно только при помощи мобильного.

Signal

Signal — продукт американского стартапа Open Whisper Systems, в котором работают всего несколько человек. Компания разработала собственный протокол шифрования — Signal Protocol. Он используется для сквозного (end-to-end) шифрования звонков (голосовых и видео), а также обычных сообщений. Сейчас протокол Signal используют WhatsApp, Facebook Messenger, Google Allo. Правда, в отличие от Signal, где шифрование работает по умолчанию, в этих продуктах оно выключено. Для его включения в Facebook Messenger нужно активировать Secret Conversations, а в Google Allo — режим инкогнито (Incognito Mode). Кроме всего прочего, Signal децентрализирован и поддерживает групповые E2EE-чаты. При этом Signal не анонимен: при регистрации нужно указывать номер телефона.

Viber

Viber — централизованный мессенджер, в котором аккаунт пользователя привязывается к номеру телефона. С другой стороны, шифрование в Viber основано на протоколе Signal и доступно даже в десктопной версии. Также есть групповые E2EE-чаты с возможностью настраивать самоуничтожение сообщений — текст будет удален через определенное время после прочтения.

Дополнительно Viber позволяет создавать «скрытые секретные чаты» — они не отображаются в общем списке.

WhatsApp

WhatsApp использует Signal-протокол, но это не даёт никаких гарантий безопасности личных данных. С 2016 мессенджер не хранит переписки пользователей на своих серверах — данные хранятся на телефоне, а также в облачных хранилищах. Хоть WhatsApp не получает самой переписки, у его владельцев есть доступ к метаданным пользователя (телефонная книга, время звонков и сообщений, длительность бесед). Помимо этого WhatsApp узнает массу информации о пользователе: модель телефона, ОС, данные из браузера, IP-адрес, номер мобильного и т.д.

telefonМожно ли найти безопасный мессенджер?

Очевидно, что засекретить личную информацию на 100% в современных условиях у вас не получится. Конечно, можно использовать мессенджеры, созданные помешанными на криптографии «гиками» для таких же «гиков». Однако вряд ли этими мессенджерами будут пользоваться ваши коллеги и друзья.

Есть несколько критериев, на которые стоит обратить внимание при выборе мессенджера.

Мы подготовили краткое руководство по оценке безопасности мессенджера. Итак, ответьте для себя на вопросы:

— Какие функции безопасности есть в приложении? Их мы перечисляли в статье: децентрализация, возможность анонимной регистрации, наличие сквозного шифрования и E2EE-чатов.

— В какой юрисдикции зарегистрирован мессенджер? Как в этой стране обстоят дела с информационной безопасностью и регулированием индустрии связи?

— Хранит ли мессенджер метаданные пользователей на серверах? Если да — есть ли в СМИ описанные случаи, когда компания использовала метаданные в своих интересах?

— Есть ли прецеденты взаимодействия мессенджера со спецслужбами?

— Публикует ли мессенджер отчеты о прозрачности и безопасности?

Вот несколько вопросов, на которые вы должны получить ответы, прежде чем принять решение об использовании того или иного мессенджера. После этого, вы получите представление о политике мессенджера в вопросах безопасности пользовательских данных. Однако не забывайте, что в любой момент злоумышленники могут найти уязвимость и воспользоваться ею — поэтому тщательно обдумывайте, какую информацию вы отправляете через мессенджер.

В современных реалиях невозможно игнорировать популярные мессенджеры, но каждый может минимизировать ущерб от возможного взлома. Достаточно не отправлять через мессенджеры личные данные, не пересылать пароли и другую чувствительную личную информацию.

Автор: Алекс Райнхардт (Германия) – венчурный инвестор, основатель и CEO ELVN.

18 ТАГАНРОГСКИЙ ЖУРНАЛИСТ