Что безопаснее телеграмм или whatsapp
Перейти к содержимому

Что безопаснее телеграмм или whatsapp

  • автор:

Особенности шифрования популярных мессенджеров: выбираем самый безопасный

По данным на осень 2021 года в тройку наиболее популярных мессенджеров в России входят WhatsApp, Viber и Telegram. Давайте выясним уровень конфиденциальности и безопасности каждого из них. Сделать это можно, только сравнив их с другими приложениями, поэтому рассмотрим также Skype, Facebook Messenger и ряд малоизвестных у нас мессенджеров: Signal, Riot, Threema, Wickr Me, Wire, Session. А еще возьмем популярный у обладателей «яблочных» устройств iMessage.

О терминологии

Несмотря на сходство в значениях, безопасность и конфиденциальность — вещи разные. Под конфиденциальностью в IT подразумевается отсутствие доступа к вашей информации любых сторонних лиц, включая даже разработчиков приложений. Под безопасностью — защита информации от распространения после ее сбора приложением. Таким образом, мессенджер может быть безопасным, но не конфиденциальным, то есть данные о вас собираются, но не утекают в сеть. А вот обратное (конфиденциально, но небезопасно) исключено. Если к вашей информации не может получить доступ никто (полная конфиденциальность), то приложение, через которое вы её отправляете, является также и полностью безопасным.

Критерии безопасности и конфиденциальности

Мы проанализировали 12 мессенджеров по 34 основным параметрам конфиденциальности и безопасности (все данные были взяты из открытых источников, в том числе с сайтов владельцев приложений). Рейтинг составлялся просто: приложения получали оценку по каждому из 34 параметров.

Оценки следующие: 0 баллов — уязвимостей не обнаружено, 1 балл — частичная уязвимость, 2 балла — полная уязвимость. Соответственно, чем больше штрафных баллов набрало приложение, тем меньший уровень конфиденциальности оно может предоставить пользователям и тем ниже оно расположилось в рейтинге.

Ведущие мессенджеры по количеству пользователей (источник: https://www.messengerpeople.com/)

Ведущие мессенджеры по количеству пользователей (источник: https://www.messengerpeople.com/)

1. Обеспечивает ли приложение защиту сообщений и вложений

Только 4 мессенджера из 12 рассматриваемых (Signal, Threema, Wire и Session) можно рекомендовать как безопасные, поэтому они не получают штрафных баллов. Владельцы iMessage, Facebook Messenger (здесь и далее — Messenger), Skype, WhatsApp и Wickr Me запятнали себя сотрудничеством с АНБ. В Riot и Viber давно не проводили независимую проверку кода и анализ безопасности, в Wickr Me проводили, но не предоставили никаких публичных данных. Viber, Telegram, Messenger, Skype, WhatsApp не обеспечивают полную защиту данных, а кроме того, шифрование в Telegram, Messenger и Skype не включено по умолчанию. Также Messenger, Skype и WhatsApp зарабатывают деньги на личных данных пользователей (например, так это делают в «детищах» Цукерберга. Таким образом, только Riot из сомнительных приложений получает 1 штрафной балл, остальные семь — по 2.

2. Юрисдикция управляющей компании

10 управляющих компаний связаны с США или Великобританией, и только две с более надежными странами в плане конфиденциальности: Threema зарегистрирован в Швейцарии, а Viber — в Люксембурге и Японии. Эти два приложения получают по 1 штрафному баллу, остальные — по 2.

3. Местоположение серверов управляющей компании

Здесь наиболее надежны Threema (их серверы располагаются по месту регистрации, в Швейцарии), остальные мессенджеры хранят свои данные в США, Великобритании и странах Евросоюза. Threema получает 1 балл, остальные — по 2.

4. Замешана ли компания в передаче данных спецслужбам

iMessage, Messenger, Skype и WhatsApp предоставляют пользовательские данные спецслужбам (по 2 балла каждому), остальные в этом замечены не были (без штрафа). Вот, например, как это происходит со Скайпом, в качестве доказательства в суде компания разрешает использовать сохраненную переписку из служебных чатов.

5. Встроены ли в приложение элементы наблюдения за пользователями

Прослушивание через Skype — известная функция, которую могут использовать спецслужбы, получив разрешение от владельцев приложения. Поэтому Скайп единственный, кто получает штрафные баллы по этому пункту.

6. Предоставляет ли компания отчет о прозрачности

Владельцы трех приложений из 12, Riot, Telegram и Viber, не предоставляют таких отчетов (их не удалось найти в открытом доступе), поэтому их продукты получают по 2 штрафных балла.

Показатели частоты использования мессенджеров среди всех социальных платформ в млрд чел. (источник: https://www.messengerpeople.com/)

Показатели частоты использования мессенджеров среди всех социальных платформ в млрд чел. (источник: https://www.messengerpeople.com/)

7. Общая позиция компании в отношении конфиденциальности клиентов

Только владельцы Riot, Signal, Threema, Wire и Session заявляли, что заботятся о конфиденциальности пользователей, в остальных компаниях не считают это приоритетным, поэтому их мессенджеры получают по 2 балла. Например, владельцы мессенджера Riot заявляют об этом на своем сайте: https://element.io/ (слоган внизу).

8. Источники финансирования

Компании Apple (iMessage), Meta (Messenger, WhatsApp), Microsoft (Skype), Rakuten (Viber) и Amazon (Wickr Me) не вызывают доверия из-за их связей с передачей личных данных третьим лицам (см. ряд ссылок выше). Этим мессенджерам добавлено по 2 балла. Остальные приложения финансируются отдельными лицами или обществами, не запятнавшими себя подобными действиями.

9. Собирает ли компания-владелец данные пользователей

Собирают все, кроме владельцев Riot, Signal, Threema, Vire и Session, поэтому последние пять не получают штрафных баллов. А вот какие сведения о пользователях собирают для своих владельцев половина мессенджеров из нашего списка.

10. Собирает ли приложение пользовательские данные

Session единственный свободен от сбора какой-либо информации, Signal, Threema, Wickr Me, Wire осуществляют частичный сбор (метаданные, 1 балл), остальные — максимально подробный с контактами, публикуемым контентом, историей поиска, а Messenger даже с финансовой информацией (по 2 балла). В этой статье подробно рассматривается мессенджер Session и указывается, что приложение не интересует ни ваша геолокация, ни данные об устройстве, ни метаданные.

11. Отправляются ли данные пользователей и/или метаданные материнской компании и/или третьим лицам

Никаких данных не отправляют Riot и Session (без штрафа), частично это делают Signal, Threema и Wickr Me, отправляющие номер сотового, указанного при регистрации (1 балл). Все остальные отправляют в управляющую компанию данные о пользователях и метаданные в полном объеме (по 2 балла). Вот, например, как обстоят дела у Wire: (доказана фиксация личных данных пользователей).

12. Включено ли шифрование по умолчанию

Включено во всех мессенджерах, за исключением Messenger, Skype и Telegram, за что последним начисляется по 2 штрафных балла.

13. Какие криптографические алгоритмы используются

iMessage и Skype используют устаревший SHA-1, что повышает их уязвимость (получают по 2 балла). Остальные приложения используют более совершенные криптографические алгоритмы. Правда, в Microsoft заявляли почти два года назад, что собираются отказаться от SHA-1 в пользу SHA-2, но это касалось только ОС Windows, про Skype там речи не было.

14. Имеют ли приложения полностью открытый исходный код

Исходный код Riot, Signal, Wire и Session открыт, у Telegram и Threema открыт частично (этим двум по 1 баллу), у остальных полностью закрыт (по 2 балла).

Популярность мессенджеров по странам на 2021 год (источник: https://www.similarweb.com/)

15. Есть ли возможности для проверки приложений на соответствие исходному коду

Полностью такую возможность предоставляет только Telegram и частично (для устройств Android) — Signal и Threema (этим двум 1 балл). Все остальные не предусмотрели подобный функционал, за что им начислено по 2 балла.

Проверка на подлинность исходного кода — важный момент, поскольку модифицированные приложения представляют серьезную угрозу для безопасности клиентов. Telegram добавил возможность такой проверки в январе 2020 года, а позже это не раз подтверждал и сам Павел Дуров. Теперь любой желающий, обладающий навыками работы с соответствующими программами, может проверить, что его версия приложения собрана из оригинального исходного кода (он опубликован на GitHub).

16. Можно ли зарегистрироваться в приложении анонимно

Возможность анонимной регистрации предоставляют только Riot, Threema, Wickr Me и Session (без штрафа), остальные требуют указывать персональные данные (по 2 балла).

17. Можно ли добавить контакт без сохранения данных на сервере

Это возможно только в Threema, Viber и Session (они не получают штрафных баллов), во всех остальных приложениях для добавления контактов задействуется сервер, на котором и хранится данная информация. Это повышает уязвимость, так как в случае взлома сервера злоумышленникам будет доступна вся база контактов. Вот как это работает с Threema (обращения к серверу есть, но сами хэш-значения там не хранятся — сервер служит лишь местом для их мгновенного сравнения, после чего все данные запросов сразу же удаляются оттуда).

18. Можно ли вручную проверить цифровые отпечатки устройств (fingerprints) контактов

Это возможно везде, кроме iMessage, Skype и Telegram, которым начисляется по 2 штрафных балла.

«Фингерпринт» — это уникальный идентификатор устройства (представлен в виде 32-битного кода), который составляется при обработке входящих данных. Фингерпринты позволяют идентифицировать устройства с точностью почти 95%.

19. Уязвимость к MITM атакам

Ни одно из приложений не может похвастаться защитой от MITM атак (мы не смогли найти таких доказательств), поскольку все они позволяют изменять данные службы каталогов.

MITM атака или «атака посредника» — это кратковременное вмешательство, целью которого является перехват трафика с перенаправлением его в собственную систему злоумышленника. В результате вся информация становится скомпрометированной. MITM атаки трудно отследить, поскольку длятся они не более 10-15 минут.

20. Получает ли пользователь уведомление, если цифровой отпечаток устройства (fingerprint) контакта изменяется

Riot, Signal, Threema, Viber и Wickr Me просигнализируют об этом, Wire только в том случае, если контакт был предварительно подтвержден (верифицирован), за что ему 1 штрафной балл, а всем остальным по 2, поскольку уведомлений об этом они не присылают.

Несмотря на очевидные дыры в безопасности, WhatsApp продолжает уверенно удерживать лидирующие позиции в значимых странах (источник: https://www.similarweb.com/)

Несмотря на очевидные дыры в безопасности, WhatsApp продолжает уверенно удерживать лидирующие позиции в значимых странах (источник: https://www.similarweb.com/)

21. Хешируется ли личная информация (номер мобильного телефона, список контактов и т. д.)

Полностью личные данные хешируют Riot, Threema и Wickr Me (без штрафа), частично — Signal и Wire (1 балл), остальные нет (по 2 балла).

Хеширование позволяет обезопасить данные пользователей в случае, если приложение будет взломано, так как расшифровать хешированную информацию практически невозможно.

22. Генерирует ли приложение ключи шифрования

Почти все рассматриваемые мессенджеры генерируют и хранят ключи шифрования на самих устройствах или на серверах. Единственное приложение, по которому не удалось получить такой информации — Skype, за что он получает 1 штрафной балл.

23. Могут ли сообщения быть прочитаны компанией

Messenger, Skype, Telegram и WhatsApp допускают чтение сообщений сотрудниками управляющих компаний, за что штрафуются на 2 балла. Вот так обстоят дела с Telegram(и уже по одному этому показателю конфиденциальным мессенджером назвать его никак нельзя).

24. Гарантирует ли приложение «совершенную прямую секретность» (FPS)

7 из 12 приложений обеспечивают такое шифрование сообщений, за исключением WhatsApp, iMessage, Threema и Session (по 2 балла). По Skype такой информации снова не нашлось, а Telegram меняет ключ шифрования только через каждые 100 подключений, что делает его более уязвимым к компрометации как сеансовых, так и долговременных ключей. Поэтому данным двум мессенджерам начисляется по 1 баллу.

В идеале приложение должно генерировать новый ключ шифрования для каждого сеанса, что значительно снижает уязвимость пользовательских данных.

25. Шифрует ли приложение метаданные

Полностью это делают Signal, Threema, Wickr Me и Session (без штрафа), частично — Riot, Viber и Wire (по 1 баллу), остальные мессенджеры метаданные не шифруют (по 2 балла).

Метаданные — это важная общая информация, описывающая характеристики данных, или, проще говоря, данные о данных. Конкретные примеры метаданных: информация об отправителе и получателе, время отправления сообщения, вид вложения (если оно есть).

26. Использует ли приложение протоколы TLS/Noise для шифрования сетевого трафика

Эти протоколы используют все, кроме Telegram, поэтому последний штрафуется двумя баллами.

Noise представляет собой современный фреймворк, с помощью которого создаются лучшие на сегодняшний день криптографические алгоритмы. Это существенно повышает взломостойкость приложений.

Любимые социальные платформы в процентах от общего числа пользователей (источник: https://www.messengerpeople.com/)

Любимые социальные платформы в процентах от общего числа пользователей (источник: https://www.messengerpeople.com/)

27. Использует ли приложение безопасное соединение с SSL сертификатом

Такая информация подтверждена для iMessage, Signal, Threema, Wickr Me, Wire, Session, по остальным мессенджерам на этот счет нет никакой информации, поэтому им будет выставлена оценка «сомнительно» (1 балл). Доказательства использования SSL сертификатов у iMessage датируются аж 2013 годом.

28. Шифрует ли приложение данные на устройстве (касается только iOS и Android)

Нет информации по Messenger, Skype, Telegram, Viber и Whats App (1 балл каждому), остальные приложения поддерживают шифрование данных.

29. Использует ли приложение двухфакторную аутентификацию

Двухфакторную аутентификацию поддерживают только семь мессенджеров: Signal, Telegram, Threema, WhatsApp, Wickr Me, Wire, Session, остальные пять получают по 2 штрафных балла.

30. Шифруются ли сообщения при резервном копировании в облако

Есть шифрование у Riot, Threema, WhatsApp (без штрафа), отсутствует шифрование у iMessage (2 балла). Signal, Wickr Me, Wire, Session не поддерживают облачные сервисы, поэтому тоже не штрафуются. По оставшимся приложениям в открытом доступе такой информации нет (по 1 баллу).

31. Регистрирует ли компания временные метки (timestamps) и IP-адреса

Не делают этого Signal, Threema, Wickr Me и Session, что повышает конфиденциальность пользователей. Частичная регистрация замечена у Wire (1 балл), остальные фиксируют время отправки и получения сообщений и IP-адреса (по 2 балла).

32. Регулярность проведения аудита кода и независимого анализа безопасности

За последние пять лет это делали только Threema, Wire и Session, более пяти лет назад — Signal, Telegram, Wickr Me (им по 1 баллу), остальные — никогда (получают по 2 балла штрафа). Вот, например, подтверждение аудита кода для Signal и Threema.

33. Есть ли подробная документация по проекту

Частично задокументирована разработка всех приложений, кроме Skype, который штрафуется на 2 балла, остальные — на 1, поскольку подробной документации не предоставляла ни одна компания-разработчик.

34. Есть ли функция автоудаления сообщений

Такая функция есть у всех мессенджеров, кроме iMessage, Riot, Skype и Threema, за что последним начисляются штрафные баллы.

Показатели роста WhatsApp с 2019 по 2020 год. Россия продемонстрировала наиболее впечатляющий годовой рост — ровно на 17%, что позволило ей ворваться в пятерку главных любителей мессенджера (источник: https://www.messengerpeople.com/)

Общий рейтинг приложений

После подсчета штрафных баллов (они высчитывались из 68 возможных, поскольку у нас 34 пункта и максимум 2 балла за каждый) получилась следующая картина:

Таким образом, ни одно приложение нельзя назвать полностью конфиденциальным, а все популярные в России мессенджеры и вовсе оказались в нижней части рейтинга. Конечно, вряд ли это повлияет на их популярность, но тем, кто заботится о сохранности своих данных и своей безопасности, стоит задуматься.

Интересно, что западные специалисты в целом того же мнения о лидерах нашего рейтинга, так как первая пятёрка с небольшими перестановками лидирует практически везде. Например, здесь говорится о преимуществах Threema перед Signal. А в этом обзоре авторы еще и выводят WhatsApp за пределы даже безопасных приложений, причем с железной аргументацией. В завершение несколько любопытных фактов о популярных мессенджерах.

Популярные китайские социальные платформы: знаете хоть одну из первой десятки? (источник: https://www.messengerpeople.com/)

Популярные китайские социальные платформы: знаете хоть одну из первой десятки? (источник: https://www.messengerpeople.com/)

Интересные факты об уязвимостях WhatsApp, Telegram, Skype и Viber

В августе 2018 года разработчики WhatsApp отказались от сквозного шифрования сообщений пользователей и официально объявили об открытии доступа к любой переписке сотрудникам спецслужб. Подробнее.

Несмотря на наличие механизма двухфакторной аутентификации, данные для входа в WhatsApp на смартфонах хранились в незашифрованном виде, что пару лет назад привело к массовой утечке кодов безопасности. Проблема наблюдалась на Android-устройствах с рут-доступом, то есть правами суперпользователя. Подробнее.

Тогда же один из известных специалистов по кибербезопасности, Нил Кравец, раскритиковал Telegram за несоответствие мессенджера заявленным требованиям безопасности. Эксперт выяснил, что «Телеграм» не полностью шифрует данные, которые хранятся на сервере в незашифрованном виде, и опытным путём определил, что даже зашифрованные данные могут быть легко расшифрованы хакерами из-за целого ряда уязвимостей. Подробнее.

В конце 2019 года аккаунты некоторых пользователей Telegram были взломаны путем перехвата злоумышленниками СМС с кодом подтверждения входа в аккаунт. Подробнее.

В том же 2019 году была выявлена уязвимость Skype, когда сторонние пользователи могли просматривать контакты и фотографии, обходя экран блокировки. Также у них была возможность даже открывать браузер «жертвы». Подробнее.

А вот совсем недавняя новость: хакеры используют «Скайп», чтобы заражать ПК с установленной ОС Windows. В результате компьютер попадает под удаленное управление через Skype API. Подробнее.

И еще интересная новость, на этот раз про Viber: известную уже более пяти лет уязвимость разработчики так и не исправили. Опасность этой уязвимости в том, что любой пользователь из вашего контакт-листа может получить доступ к вашему компьютеру через Windows версию Viber. Подробнее.

НЛО прилетело и оставило здесь промокод для читателей нашего блога:— 15% на все тарифы VDS (кроме тарифа Прогрев) — HABRFIRSTVDS.

Троянский конь Напуганные новой политикой WhatsApp люди ринулись в Telegram и Signal. Но так ли они безопасны?

2021 год начался с беспрецедентных по своему масштабу событий в интернет-индустрии. Сначала популярные мировые площадки разом забанили действующего президента США Дональда Трампа, продемонстрировав всю свою мощь и влиятельность. А затем WhatsApp обновил пользовательское соглашение, которое подорвало доверие к самому востребованному мессенджеру на планете. Как связаны эти события? Они спровоцировали крупнейшую за последнее время цифровую миграцию. Миллионы пользователей, недовольные произволом популярных сервисов, устремились на другие площадки, которые, как считается, более свободны и безопасны. Telegram и Signal бьют рекорды по скачиваниям. Безопасны ли на самом деле мессенджеры, ставшие убежищем для цифровых мигрантов, и почему не все так однозначно — в материале «Ленты.ру».

Первые звоночки

Пользователи WhatsApp — одного из самых популярных в мире мессенджеров с аудиторией более двух миллиардов человек — начали массово отказываться от него, после того как в начале января компания объявила об изменении политики безопасности. Согласно новым правилам, WhatsApp как часть корпорации Facebook начнет делиться пользовательскими данными «со всем семейством ее приложений». В информацию, которую мессенджер начнет передавать в Facebook, входят язык, часовой пояс, IP-адрес, сведения об операторе, заряде батареи и силе сигнала, а также данные о браузере и другая информация.

Наибольшие опасения пользователей связаны с тем, что после вступления новых правил в силу Facebook получит данные о том, с кем они переписываются, и доступ к самим сообщениям. После активного обсуждения новой политики в соцсетях, официальный аккаунт WhatsApp в Twitter решил развеять слухи и написал, что продолжит заботиться о приватности переписки и использовать end-to-end шифрование. К посту прикрепили картинку, которая должна была успокоить пользователей. «Ни WhatsApp, ни Facebook не могут читать ваши сообщения или прослушивать звонки. WhatsApp не сохраняет информацию о том, с кем вы переписываетесь и кому вы звоните. WhatsApp не делится с Facebook вашими контактами», — утверждалось в сообщении мессенджера. Правда, все предложения были написаны в настоящем, а не будущем времени.

Фактически Facebook будет развивать мультиплатформу и сделает в будущем доступным взаимодействие между разными продуктами. О планах объединить таким образом Facebook Messenger, WhatsApp и Instagram глава корпорации Марк Цукерберг говорил давно. Хотя в компании и заверили, что нововведение призвано помочь пользователям (в корпорации утверждают, что оно улучшит взаимодействие с коммерческими аккаунтами, а также позволит предоставлять наиболее подходящий контент и коммерческие услуги), приняв его за угрозу конфиденциальности, многие приступили к поиску альтернативы популярному мессенджеру.

Несмотря на ажиотаж, вызванный новыми правилами, сбор личных данных в мессенджере в пользу Facebook не стал нововведением. Об этом корпорация предупреждала еще в 2016 году, тогда эту меру объяснили необходимостью усилить борьбу со спамом. Кроме того, переписки в WhatsApp, на полной конфиденциальности которых настаивает Facebook, нередко на практике оказывались не так уж и безопасны. К примеру, в мае 2019 года стало известно об уязвимости сервиса, которая позволяла злоумышленникам дистанционно внедрять шпионские программы на устройства пользователей WhatsApp.

Сильные и зависимые Соцсети поработили людей. В США придумали способ их побороть, но все не так однозначно

Звонит по тебе WhatsApp пользуется 1,5 миллиарда человек. Каждый из них оказался в опасности

Вредоносный код устанавливался на смартфон через входящий вызов: злоумышленникам достаточно было позвонить жертве через мессенджер, после чего шпионская программа внедрялась на устройства, даже если на вызов не ответили. Вскоре после этого киберпреступники получали полный доступ к устройству, в том числе к зашифрованным данным, личным сообщениям, камере и микрофону. Утверждалось, что эта технология, разработанная израильской компанией NSO Group, предназначена только для спецслужб и призвана помочь в борьбе с терроризмом и преступностью. В компании заверяли, что доступ к технологии имеют только разведывательные организации и правоохранительные органы, а использовать ее против законопослушного человека или организации невозможно. В действительности же СМИ стало известно, что продуктом злоупотребляли — в частности, что фишинговые ссылки для установки вредоносного ПО получали активисты и правозащитники.

Уязвимость, с помощью которой израильская компания могла взламывать телефоны звонком по WhatsApp, была устранена. Однако вскоре обнаружились и другие проблемы с безопасностью мессенджера. К примеру, в ноябре 2019-го в Facebook сообщили, что устранили уязвимость, которая позволяла установить шпионское ПО на телефон жертвы, отправив ей MP4-файл по WhatsApp. Возможность шпионить за любым человеком, установившим мессенджер, вызвала много вопросов к его безопасности. Создатель Telegram Павел Дуров тогда призвал всех удалить приложение-конкурента. «WhatsApp не только не защищает ваши сообщения, но и постоянно используется в качестве троянского коня, чтобы следить за вашими фотографиями и сообщениями, которые к WhatsApp не относятся», — написал тогда Дуров. Создатель Telegram также отметил, что Facebook давно сотрудничает со спецслужбами и следит за пользователями. Именно поэтому в WhatsApp специально оставляют подобные уязвимости, которые позволяли бы спецслужбам получить доступ к переписке любого пользователя в любой момент, выразил уверенность Дуров.

Деплатформинг

Другой причиной цифровой миграции стали масштабные блокировки, с которыми столкнулись сторонники действующего президента США Дональда Трампа. Им пришлось искать новые каналы для связи, потому что старые либо забанили их, либо исчезли.

К примеру, социальная сеть Twitter заблокировала не только самого президента, но и несколько десятков тысяч сторонников Трампа и теории заговора QAnon, согласно которой он противостоит лидерам демократов, голливудским звездам и религиозным деятелям, которые на самом деле являются сатанистами и сексуальными эксплуататорами. Трампа заблокировали в Facebook и Instagram (на данный момент его уже разморозили — прим. «Ленты.ру»), а крупнейшие каналы его сторонников пропали из Discord и c Reddit. Причиной блокировки его аккаунтов соцсети назвал «риск дальнейшего подстрекательства к насилию». Из-за несогласия с результатами выборов президента США, согласно которым победил демократ Джо Байден, сторонники Трампа устроили беспорядки: они ворвались в здание Капитолия и окружили зал сената. В ходе протестов погибли пять человек. Высказывания Трампа по этому поводу посчитали подстрекательством к беспорядкам.

Кроме того, беспрецедентные меры были приняты против популярного у трампистов мессенджера Parler: сперва его удалили из магазинов Google Play и AppStore, а затем отключили от сервера Amazon. Накануне блокировки в чатах республиканцев начали публиковать призывы переходить в Telegram: мессенджером давно пользуются правые политики, которых заблокировали на других популярных платформах (для этого явления существует специальный термин — «деплатформинг»). Правда, процесс никогда не приобретал таких масштабов: соцсети отключали не глав государств, а активистов, которых одни считали фриками, а другие — преступниками.

Кадр: MILO / YouTube

К примеру, канал в Telegram ведет один из главных критиков левых идей и политкорректности, консерватор Майло Яннопулос (Milo Yiannopoulos). После обвинений в поддержке педофилии, которые он сам отрицал, и ряда провокационных высказываний его заблокировали в Twitter и Facebook. С баном в популярных соцсетях столкнулся и лидер австрийских идентаристов (движение, которое называют модернизированной формой расизма, его сторонники выступают за «белую Европу» и считают себя патриотами, а не расистами — прим. «Ленты.ру») Мартин Зелльнер (Martin Sellner). Его заблокировали YouTube, Twitter, Facebook и Instagram, кроме того, от сотрудничества с Зелльнером отказались банки, платежные системы и финансовые компании. Американская правая активистка Лора Лумер (Laura Loomer) тоже столкнулась с деплатформингом: ее заблокировал не только Twitter, но и приложения для заказа такси Uber и Lyft. Причиной стало ее неуважение к водителям-мусульманам. В итоге сторонники правых взглядов переходили в Telegram. На канал Зелльнера в мессенджере подписано почти 60 тысяч человек, Яннопулоса и Лумер читают примерно по 20 тысяч пользователей.

Без спецслужб

Блокировки Трампа и его сторонников, а также новое пользовательское соглашение WhatsApp привели к резкому росту числа пользователей Telegram не только в США (там он стал вторым по скачиваемости приложением), но и во всем мире. 12 января Дуров сообщил, что за 72 часа мессенджер установили 25 миллионов пользователей, хотя обычно его скачивали примерно полтора миллиона человек в день. Создатель Telegram позже похвастался тем, что в мессенджере завели аккаунты президент Турции Реджеп Тайип Эрдоган и президент Бразилии Жаир Болсонару. Позже на Telegram начали переходить и российские политики, например, глава ЦИК Элла Памфилова. Дуров, давно публично распекающий WhatsApp, «скромно» рапортовал о крупнейшей цифровой миграции в истории человечества.

Для Дурова популярность Telegram в США стала личным триумфом после конфликта с местными властями из-за его проекта по созданию блокчейн-платформы TON и криптовалюты Gram. С 2018 года Дуров и его партнеры привлекли на ее создание 1,7 миллиарда долларов. Запуск был запланирован на конец 2019-го, а затем перенесен на апрель 2020-го. В обоих случаях его отменяли из-за судебного запрета в США. Создателю Telegram так и не удалось договориться с властями США и Комиссией по ценным бумагам и биржам (SEC). Проблема заключалась в том, что инвесторам в обмен на вложения давали тикеты Gram. Чиновники посчитали токены ценными бумагами, поскольку их покупателям обещали доход, и обнаружили, что в то же время токены не были зарегистрированы по правилам, действующим в отношении ценных бумаг. В итоге Дуров отказался от планов создать собственную криптовалюту и объявил о закрытии проекта TON. Суд также обязал Дурова вернуть 1,22 миллиарда долларов, которые были собраны с инвесторов.

Создатель Telegram критиковал политику властей США в отношении технологических компаний еще до проблем с TON. В частности, в 2017 году он обвинял их в том, что они оказывают давление на IT-компании, которые замалчивают эту информацию из-за страха быть запрещенными. Дуров же заверил, что вопреки американским законам о предоставлении информации властям продолжит защищать тайну переписки пользователей сервиса. «Я знаю, что однажды это может вызвать неприятности, как это случалось в прошлом, когда я жил в России. Но это единственный для меня способ продолжать жить, ни о чем не сожалея, ни сейчас, ни потом», — писал основатель Telegram. Кроме того, Дуров утверждал, что его неоднократно пытались завербовать агенты ФБР. По его словам, сотрудники ведомства хотели получить от него информацию о запросах российских властей о данных пользователей, а также предлагали наладить некий канал передачи информации на конкретных пользователей. Кроме того, по утверждению Дурова, агенты ФБР пытались подкупить разработчиков Telegram.

Однако несмотря на постоянные заверения создателей Telegram в абсолютной приватности мессенджера, безопасность использования приложения неоднократно ставилась под сомнение.

Доверие пользователей к Telegram во многом было основано на истории его появления. Дуров рассказывал, что идея создать безопасный мессенджер, переписку в котором не могли бы читать спецслужбы, пришла к нему в 2011 году после того, как к нему домой наведался спецназ. Тогда он осознал, что в мире не существует безопасного средства общения, и написал своему брату Николаю. В 2013 году они представили Telegram для iOS. Позже Дуров ушел из созданной им социальной сети «ВКонтакте», объяснив свое решение сокращением имеющейся свободы действий. По его словам, когда он еще работал во «ВКонтакте», ФСБ требовала от руководства соцсети передать личную информацию организаторов групп «Евромайдана», но Дуров не согласился. После публичного отказа сотрудничать с властями он уехал из России и констатировал, что в стране «невозможно вести интернет-бизнес».

Впоследствии создатель Telegram неоднократно отмечал, что его мессенджер, в отличие от WhatsApp и Facebook Messenger, является политически нейтральным, и отказывался сотрудничать с властями разных стран. В частности, Дуров не предоставил ФСБ России ключи для дешифровки переписок — их требовали под соусом выявления террористов. Он утверждал, что это требование противоречит Конституции России, так как передать ключи от одной конкретной переписки невозможно — они хранятся на устройствах пользователей. Чтобы выполнить требования ФСБ, Дурову пришлось бы предоставить спецслужбам полный доступ к системе шифрования, что он делать отказался. Вскоре после этого мессенджер заблокировали на территории России. Летом 2020-го, спустя два года, блокировку отменили: Роскомнадзор тогда позитивно оценил «высказанную основателем Telegram готовность противодействовать терроризму и экстремизму». Кроме того, Telegram блокировали во многих других странах, в частности, в Китае и Иране. Дуров же неоднократно повторял, что руководство мессенджера отказывалось сотрудничать со спецслужбами и помогать им в слежке за гражданами.

«Telegram — защищенная программа в пределах условий конкурса»

Чтобы убедить пользователей в безопасности Telegram, несколько раз устраивали конкурсы на поиск уязвимостей. Тем, кому удастся прочитать переписку Дурова с его братом Николаем, обещали денежный приз (200 тысяч долларов в первом конкурсе и 300 тысяч долларов — во втором). Хотя выполнить условия конкурса никому так и не удалось, в сети многие посчитали его пиар-трюком, а не доказательством безопасности переписки. В частности, скептики указывали на то, что 300 тысяч долларов — это слишком маленькая цена для длительной работы группы аналитиков, которые смогли бы найти уязвимость. Некоторые также отмечали, что, получив доступ к чужим перепискам, злоумышленники смогут заработать значительно больше на продаже данных.

Конкурс Telegram также критиковали в блоге Crypto Fails. Утверждалось, что условия сильно ограничивают возможности участников.

Если никто не выиграет конкурс, это не значит, что Telegram — защищенная программа. Это значит, что Telegram — защищенная программа в пределах условий конкурса. Некоторые чрезвычайно слабые системы тоже смогли бы выдержать в подобных условиях. Если никто не выиграет конкурс, это не даст нам уверенности в безопасности Telegram

В Telegram существует два способа общения: обычные чаты и так называемые секретные. Создатели мессенджера утверждают, что секретные чаты обеспечивают повышенный уровень безопасности: читать их можно только на тех двух устройствах, на которых они были созданы (даже если пользователь зайдет в свой аккаунт с другого смартфона, он не увидит этот чат), а сами сообщения по истечении времени автоматически удаляются. Разработчики также утверждают, что данные хранятся не на сервере, а на устройствах собеседников. В секретных чатах также нельзя пересылать сообщения, а если сделать скриншот, собеседник получит уведомление об этом.

Тем не менее нескольким специалистам удалось опровергнуть утверждение о том, что секретные чаты можно читать только с двух устройств. Пользователь «Хабра» с ником @ne555 рассказал, что смог войти в чужой аккаунт, обойдя двухфакторную аутентификацию, а затем скомпрометировать секретный чат. При этом настоящий владелец аккаунта даже не имел возможность узнать о взломе: вкладка «активные сеансы» в Telegram на его устройстве показывала, что вход в его учетную запись выполнен только с его телефона. Более того, когда настоящий владелец профиля нажал на кнопку «Выйти из всех сеансов, кроме текущего», устройство, с которого аккаунт был взломан, осталось в сети.

Пользователь «Хабра» смог также прочитать переписку в секретном чате с третьего устройства. При всех его попытках, кроме одной, ключ шифрования совпадал на всех трех телефонах, причем даже когда он не совпадал, переписку все равно можно было прочесть. Через несколько минут учетную запись ненадолго заблокировали, а затем сессионные ключи обновились. @ne555 использовал для взлома рутованный телефон. Использование такого смартфона некорректно считать взломом, но @ne555 удалось, несмотря на это, опровергнуть утверждение о полной невозможности прочитать чужой секретный чат в Telegram.

Рутинг — это получение прав суперпользователя, которое дает полный контроль над устройством. Несмотря на некоторые плюсы, которые приносит процедура, например, позволяет удалить предустановленные приложения, она приводит к отключению защиты телефона от несанкционированного доступа.

«Уязвимости, описание которых начинается со слов «если у атакующего есть рут-доступ к устройству», — это не уязвимости, а скорее примеры паразитного маркетинга. Потому что если у атакующего есть рут-доступ к вашему устройству, то какое-либо шифрование обсуждать бессмысленно: у злоумышленника по определению есть доступ ко всему, что вы видите на экране смартфона», — говорил по этому поводу Дуров.

Цук Абрахам (Zuk Avraham) из компании Zimperium Mobile Security Labs заявил, что смог получить доступ к чужому секретному чату, изначально используя нерутованное устройство на Android (он провел эту процедуру с помощью утилиты TowelRoot, когда уже получил удаленный доступ к гаджету потенциальной жертвы). По словам Абрахама, он решил взламывать не непосредственно Telegram, а телефон. Получив доступ к устройству с помощью уязвимости в Chrome, он изучил кеш приложения на взломанном гаджете и обнаружил в нем сообщения из секретного чата в незашифрованном виде. «Как вы можете видеть, слова не зашифрованы в памяти. Каждый злоумышленник, получивший доступ к телефону, сможет без особого труда прочитать сообщения. Содержимое секретных чатов можно прочитать в виде текста прямо в памяти Telegram», — отметил Абрахам. Исследователь добавил, что затем обнаружил еще более простой способ прочитать переписку из секретного чата. В памяти устройства он нашел файлы под названием «enc_chats» и «enc_tasks_v2», в них также хранились сообщения в незашифрованном виде. Кроме того, Абрахам смог обнаружить те сообщения, которые были удалены из секретного чата — они тоже хранились в незашифрованном виде.

«Telegram был основан с благородной целью обеспечить конфиденциальность всем пользователям во всем мире абсолютно бесплатно. Однако они не достигли этой цели, сосредоточившись на защите передачи данных, а не на защите тех данных, которые хранятся на устройстве», — заключил Абрахам. Правда, в сети его обвинения посчитали беспочвенными: даже если бы информация хранилась на устройствах в зашифрованном виде, ключ к расшифровке пришлось бы хранить на этом же устройстве. Поэтому тот, кто завладел доступом к смартфону, в любом случае смог бы прочитать переписку.

Говоря об обычных, а не секретных чатах, данные о которых хранятся на сервере Telegram, а не на устройстве, эксперты также обращали внимание на ряд проблем с приватностью. К примеру, эксперт в области безопасности Нил Краветц (Neal Krawetz) утверждал, что данные пользователей Telegram могут оказаться в руках третьих лиц и быть с легкостью расшифрованы. Проблема, по мнению Краветца, заключается в том, что, хотя Telegram и передает данные на сервер зашифрованными, впоследствии они расшифровываются и хранятся именно в таком виде. Кроме того, мессенджер сохраняет информацию обо всех действиях пользователя в виде файлов небольшого размера. Из-за этого третьи лица, получив доступ к устройству, могут узнать, когда и для отправки какого типа данных использовался Telegram. К тому же, утверждает Краветц, с помощью инструментов Telegram-desktop-decrypt или TelegramStorageParser хранимые локально зашифрованные данные можно легко расшифровать.

Среди проблем мессенджера специалисты также называли закрытый исходный код сервера (при открытом исходном коде клиентов) — из-за него практически невозможно проверить устойчивость алгоритма шифрования; привязку к номеру мобильного телефона; требование разрешить доступ к контактам; отсутствие поддержки разных видов второго фактора аутентификации. Пользователи Telegram также сталкивались с утечками данных: в сети появлялись базы, содержащие телефонные номера и никнеймы пользователей. Некоторые юзеры, воспользовавшиеся функцией «Люди рядом», которая позволяет видеть тех, кто находится неподалеку, после активации функции начинали получать огромное количество спама. Привязка к номеру телефона также сыграла злую шутку с гонконгским протестующими: дело в том, что даже если пользователь отключит возможность видеть его номер телефона, те, кто внес его в контакты на телефоне, все равно увидят его в Telegram. Поэтому полицейские Гонконга вручную забивали в смартфоны номера и искали среди участников групповых чатов о протестах людей, которые были в их контакт-листе.

Фото: Joshua Roberts / Reuters

Другими серьезными проблемами Telegram называли хранение чувствительных данных в локальном хранилище, а также то, что сообщения хранятся на сервере в незашифрованном виде. Фактически это означает, что конфиденциальность переписки зиждется только на словах Дурова, обещавшего не выдавать пользователей по запросу спецслужб.

Сноуден рекомендует

О последнем недостатке в безопасности Telegram говорил и бывший сотрудник Агентства национальной безопасности США Эдвард Сноуден. Более безопасной альтернативой он называл мессенджер Signal — по заверению Сноудена, он сам пользуется этим приложением ежедневно. Мессенджер Signal был создан некоммерческой организацией Open Whisper Systems, он финансируется за счет пожертвований и грантов. Алгоритм сквозного шифрования Signal Protocol из-за его высокой надежности используется не только в мессенджере Signal, но и в WhatsApp, Facebook Messenger и Skype. Создатели приложения позиционируют его как особенно защищенное средство общения, в котором используется сквозное шифрование, полностью исключающее доступ посторонних лиц к переписке. На фоне нового соглашения WhatsApp и блокировок сторонников Трампа популярность Signal выросла на 4,2 тысячи процентов: за четыре дня его скачали 7,5 миллиона человек.

Правда, исследование компании Group-IB выявило некоторые недостатки безопасности и в Signal (для работы они использовали рутованные устройства). По словам исследователей, как и в случае с Telegram, создатели Signal предоставили открытый код приложения и протоколы, но оставили закрытым исходный код сервера. Среди недостатков Signal, характерных и для Telegram, специалисты также назвали небезопасность хранения чувствительных данных на клиентской стороне и возможность обхода биометрической аутентификации.

Фото: Dado Ruvic / Reuters

Для Дурова безопасность Signal стала весьма болезненным вопросом. Создатель Telegram неоднократно заявлял, что алгоритм шифрования мессенджера-конкурента используется в WhatsApp и Facebook. Следовательно, утверждал Дуров, Signal финансируется правительством США (правда, протокол шифрования Telegram MTProto тоже неоднократно критиковали из-за ряда ошибок). Из этого он делал вывод, что в скором времени в мессенджере найдут бэкдор — специально созданную уязвимость, которая позволяет разработчикам получить доступ к пользовательским данным.

На проблемы с безопасностью в Signal обращали внимание и другие эксперты индустрии. К примеру, в 2018 году обнаружилось, что версия мессенджера для рабочего стола, синхронизируясь с версией для браузера, сохраняет на диске всю переписку и вложения в незашифрованном виде. При сохранении диалогов приложение создавало отдельные папки, в каждой из них также содержалась информация о номере телефона и имени контакта. Несмотря на то что браузерная версия создавалась как переходная от мобильной к десктопной, специалисты посчитали ошибку непростительной. «Для целевой аудитории Signal такие ошибки программистов могут дорого обходиться, особенно в случае, если компьютер оказывается скомпрометирован, а «экспортированные» данные — не удалены. После подобного возникает много вопросов по поводу того, насколько вообще безопасно пользоваться данным мессенджером», — прокомментировал проблему Олег Галушкин, бывший на тот момент директором по информационной безопасности компании SEC Consult Services.

В десктопной версии Signal находили и иные проблемы с безопасностью: то, что ключ шифрования от базы данных с архивом сообщений хранится в незашифрованном виде, и то, что исчезающие сообщения остаются в памяти устройства даже после удаления из мессенджера. Специалист команды Google Project Zero Натали Сильванович (Natalie Silvanovich) нашла в Android-версии приложения ошибку, позволявшую включить микрофон на устройстве и прослушивать разговоры пользователя. Спустя несколько часов после обращения Сильванович уязвимость была устранена.

Важность безопасности персональных данных начинает все больше и больше волновать обычных пользователей — даже тех, кому «нечего скрывать». Тем не менее статистика оказывается почти парадоксальной: 40 процентов пользователей Signal, нацеленного на аудиторию, обеспокоенную вопросами конфиденциальности, одновременно имеет полностью открытый профиль в WhatsApp. Вряд ли какой-либо из существующих мессенджеров можно назвать полностью безопасным — особенно если злоумышленник получит рут-права к взломанному устройству, — однако сохранение конфиденциальности не всегда зависит только от системы.

Безопасность приложений для обмена сообщениями: какие приложения лучше всего подходят для сохранения конфиденциальности?

Приложения для обмена сообщениями – это простое средство поддерживать связь с друзьями, семьей и коллегами. Однако при их использовании важно помнить о конфиденциальности и безопасности в интернете.

Основная проблема безопасности приложений для обмена сообщениями – это конфиденциальность. Она отражает, насколько личные сообщения доступны третьим сторонам, какие компании разрабатывают приложения и даже собирают ли государственные органы данные о гражданах. При оценке безопасности приложений для обмена сообщениями необходимо учитывать следующие ключевые моменты:

1. Сквозное шифрование

Используется ли в приложении сквозное шифрование? При сквозном шифровании личных сообщений ключи для и расшифровки есть только у отправителя и у получателя сообщений.

2. Открытый исходный код

Используется ли открытый исходный код? Открытый исходный код означает, что приложение открыто для внешнего контроля и аудита экспертами, что может оказаться полезно для привлечения внимания к слабым местам или уязвимостям в коде.

3. Исчезающие сообщения

Самоуничтожающиеся или исчезающие сообщения исчезают по истечении установленного периода времени, в зависимости от выбранных настроек.

4. Использование данных

Многие приложения для безопасного обмена сообщениями используют сквозное шифрование, однако они могут собирать данные о пользователях, называемые метаданными. Метаданные включают информацию о том, с кем вы разговариваете, как долго, на каком устройстве, ваш IP-адрес и номер телефона.

Какие приложения для обмена сообщениями самые безопасные?

Сейчас доступно множество приложений для обмена сообщениями. Одни из них более безопасны, другие – менее. В этой статье рассмотрено несколько самых популярных приложений для обмена сообщениями и описано, какие из них хранят данные в безопасности, а какие имеют слабую защиту.

(ПРИМЕЧАНИЕ: приложения в приведенном ниже списке перечислены без учета приоритета или предпочтений)

Signal

Что такое Signal?

Signal – это межплатформенная служба обмена зашифрованными сообщениями, предназначенная для голосовых вызовов со сквозным шифрованием и зашифрованных текстовых сообщений. Оно считается одним из самых безопасных приложений для обмена сообщениями на рынке.

Приложение Signal является бесплатным и доступно в операционных системах Android и iOS. Также существует настольная версия приложения для Windows, Mac и Linux. Для использования приложения достаточно только номера телефона.

Пользовательский интерфейс Signal аналогичен другим популярным приложениям для обмена сообщениями, таким как WhatsApp и Facebook Messenger. Возможности включают обмен личными сообщениями, групповые переписки, отправку стикеров, фотографий, передачу файлов, голосовые и видеозвонки.

Signal существует с 2013 года, но его популярность стремительно возросла в 2020 и 2021 годах.

Насколько безопасен Signal?

  • Signal не принадлежит ни одной из крупных технологических компаний, это проект с открытым исходным кодом, существующий за счет грантов и пожертвований. Это означает, в нем что нет рекламы, партнерских ссылок и скрытого отслеживания.
  • Диалоги в приложении Signal зашифрованы сквозным шифрованием. Это означает, что они не доступны никому (даже владельцам Signal), кроме самих участников.
  • Другие приложения для обмена сообщениями предлагают использовать сквозное шифрование опционально, однако в Signal оно используется по умолчанию.
  • В Signal используются самоуничтожающиеся исчезающие сообщения, которые автоматически удаляются по истечении заданного времени.
  • Signal старается не собирать избыточных данных о пользователях. Все сообщения, изображения и файлы приложения Signal хранится локально на телефоне.
  • Другие приложения, включая WhatsApp и Wire, используют протокол обмена сообщениями Signal для наиболее безопасных режимов.

Telegram

Что такое Telegram?

Telegram, основанный российским предпринимателем Павлом Дуровым, представляет собой кроссплатформенный сервис обмена сообщениями, впервые запущенный на iOS и Android в 2013 году. Основные функции Telegram такие же, как и у большинства других приложений для обмена сообщениями: можно отправлять сообщения другим пользователям Telegram, создавать групповые чаты, выполнять звонки, а также отправлять файлы и стикеры.

Насколько безопасен Telegram?

  • Telegram также использует сквозное шифрование. Шифрование Telegram не позволяет никому – ни одной компании, правительству, злоумышленникам или кому-либо еще, кроме участников двустороннего диалога, увидеть отправленные сообщения.
  • Однако Telegram использует это шифрование только для звонков и для функции «секретные чаты», а не для обычных чатов. Шифруются только данные, передаваемые от клиента к серверу. WhatsApp, который некоторые считают менее безопасным, с 2016 года использует сквозное шифрование сообщений, звонков и видеозвонков.
  • Причина в том, что Telegram, по большей части, использует облачные хранилища. По сути, все сообщения и фотографии хранятся на защищенном сервере. Это означает, что к ним можно получить доступ с любого подключенного устройства, что делает Telegram менее зависимым от платформы, чем другие приложения, например, WhatsApp.

Продажа пользовательских данных не является основой бизнес-модели Telegram, что положительно сказывается на его безопасности.

  • Существует возможность настройки исчезающих через определенное время после отправки и получения сообщений, файлов, фотографий и видео. После получения сообщения оно остается в чате в течение заданного времени (можно выбрать промежуток от одной секунды до одной недели), а затем исчезает.
  • Telegram привлекал хакеров для взлома шифрования и расшифровки сообщений, предложив вознаграждение в размере 300 000 долларов каждому, кто сможет это сделать. Конкурс завершился без победителей. У Telegram есть открытая программа поощрения за нахождение ошибок, стимулирующая исследователей в области безопасности сообщать обо всех проблемах безопасности в приложениях и протоколе Telegram. Участники, по чьим заявлениям в Telegram были внесены изменения, могут получить вознаграждение в размере от 500 до 100 000 долларов. Подобные конкурсы и программы помогают обнаруживать и исправлять потенциальные уязвимости.
  • Если учетная запись находится в неактивном состоянии в течение определенного времени (по умолчанию, шесть месяцев), она автоматически самоуничтожится с полным удалением всех сообщений и медиа.

Что такое Wire?

Wire, запущенное в 2014 году, позиционируется как приложение для безопасного обмена сообщениями. Компания Wire находится в Швейцарии – одной из самых благоприятных стран мира для разработки безопасных онлайн-сервисов и приложений для обмена сообщениями. Wire можно использовать в операционных системах Android, iOS, macOS, Windows и популярных браузерах.

Насколько безопасен Wire?

  • Wire также использует сквозное шифрование. Шифрование Wire работает прозрачно в фоновом режиме и не требует активации, поскольку постоянно включено.
  • Wire не продает аналитику и информации об использовании данных третьим лицам.
  • Как и Signal, Wire имеет открытый исходный код, доступный пользователям для изучения, проверки и улучшения (в данном случае через GitHub).
  • Внешние эксперты провели публичный аудит Wire. С опубликованными результатами аудита можно ознакомиться в интернете, если у вас нет времени или знаний для просмотра исходного кода.
  • Для регистрации в Wire необходим только адрес электронной почты, а не номер телефона.
  • Приложение полностью соответствует требованиям GDPR.

WhatsApp

Что такое WhatsApp?

WhatsApp имеет 1,5 миллиарда пользователей во всем мире и, вероятно, не нуждается в представлении. WhatsApp был одним из первых приложений для обмена сообщениями со сквозным шифрованием для безопасного общения. Мессенджером WhatsApp владеет Facebook – ассоциация, конфиденциальность учетных данных которой под сомнением.

Насколько безопасен WhatsApp?

  • В WhatsApp используется шифрование; пользователи получают явное предупреждение, если к конкретному чату не применяется сквозное шифрование.
  • WhatsApp не хранит сообщения на серверах, поэтому, если киберпреступники взломают платформу, они не смогут расшифровать сообщения.
  • Кроме того, в WhatsApp отсутствует ключ для просмотра зашифрованных сообщений. По умолчанию сообщения хранятся в WhatsApp таким образом, что с помощью iOS или Android можно создать их резервные копии в облаке.
  • В WhatsApp реализована двухэтапная проверка, повышающая безопасность учетной записи. Она осуществляется посредством установки PIN-кода, необходимого для проверки номера телефона на любом устройстве.
  • WhatsApp принадлежит Facebook, что иногда воспринимается как недостаток системы конфиденциальности. WhatsApp получает и передает информацию другим компаниям Facebook. Это означает, что данные передаются рекламодателям, которые используют их для таргетированной рекламы.

Threema

Что такое Threema?

Threema – это приложение для обмена сообщениями со сквозным шифрованием. В отличие от других приложений, для создания учетной записи Threema не требуется указывать адрес электронной почты или номер телефона, что обеспечивает пользователям очень высокий уровень анонимности. Возможности Threema включают обмен текстовыми и голосовыми сообщениями, голосовые и видеозвонки, групповые чаты и списки рассылки. Приложение Threema не является бесплатным. Компания-разработчик приложения Threema базируется в Швейцарии.

Насколько безопасен Threema?

  • Ключевым принципом Threema является ограничение метаданных. Во избежание злоупотребления данными, серверы Threema безвозвратно удаляют сообщения после доставки получателям.
  • Данные, которыми другие приложения обычно управляют на сервере, в Threema управляются локально на устройстве пользователя. Это означает, что любой разговор защищен от прослушивания.
  • В результате переход к расшифрованным соединениям не выполняется, поэтому никто, кроме предполагаемого адресата, не может прочитать сообщение.
  • Threema имеет открытый исходный код, поэтому пользователи самостоятельно могут проверить степень шифрования.
  • Однако приложение не поддерживает двухфакторную аутентификацию.

Wickr Me

Что такое Wickr Me?

Компания Wickr была основана в 2012 году группой экспертов по безопасности и защите конфиденциальности. Это одно из немногих приложений для безопасного обмена сообщениями, которое можно использовать действительно анонимно. У компании Wickr есть различные приложения, предназначенные для разных групп пользователей: Wickr Me, Wickr Pro, Wickr RAM и Wickr Enterprise. Wickr Me ориентирован на индивидуальных пользователей.

При регистрации в Wickr Me не требуется указывать адрес электронной почты или номер телефона. Это гарантирует, что приложение не имеет доступа к данным пользователей и не выполняет их сбор. Wickr можно также использовать в качестве инструмента для совместной работы, а не только приложения для обмена сообщениями, поскольку Wickr позволяет предоставлять доступ к экрану, местоположению и онлайн-статусами.

Насколько безопасен Wickr Me?

  • Приложение использует сквозное шифрование для всех сообщений и файлов, включая изображения и видео. Это гарантирует, что при передаче данных с одного устройства на другое посторонние лица не смогут получить к ним доступ.
  • Все сообщения Wickr шифруются локально на устройстве с использованием отдельного ключа для каждого сообщения. Это означает, что ключи для расшифровки сообщений есть только у пользователей Wickr. Помимо шифрования пользовательских данных и разговоров, в Wickr выполняется удаление метаданных из содержимого, передаваемого по сети.
  • Шифрование включено по умолчанию, а отчеты о прозрачности доступны всем пользователям Wickr.
  • Приложение поддерживает двухфакторную аутентификацию.
  • Wickr не фиксирует IP-адреса и другие метаданные.
  • Wickr – это приложение с открытым исходным кодом, а также поддерживает исчезающие сообщения.
  • В Wickr реализована функция, позволяющая пользователям обнаруживать снимки экрана: если кто-то сделает снимок экрана с отправленным сообщением, отправитель этого сообщения получит уведомление.

Viber

Что такое Viber?

Viber – это межплатформенное приложение для голосовой связи по IP и обмена мгновенными сообщениями, разработанное японской международной корпорацией Ratuken. Приложение можно загрузить бесплатно. Оно позволяет совершать бесплатные звонки, отправлять текстовые сообщения, изображения и видео другим пользователям Viber. Viber можно использовать для создания групповых чатов с участием до 250 человек и групповых звонков с участием до 20 человек одновременно.

Насколько безопасен Viber?

  • Если пользователи выбирают надлежащий метод передачи данных, Viber обеспечивает шифрование голосовых и видеочатов на мобильных устройствах и в основных операционных системах.
  • Раньше осуществлялась защита только личных коммуникаций, а теперь сквозным шифрованием также защищены групповые чаты.
  • Каждый чат Viber имеет цветовую маркировку в зависимости от уровня шифрования:
    1. Зеленый – чат зашифрован, следовательно, соответствующий контакт является доверенным.
    2. Серый – чат зашифрован, но соответствующий контакт не отмечен как доверенный.
    3. Красный – проблема при аутентификации контакта.

Что такое Dust?

Приложение Dust, ранее известное как Cyber Dust предназначено для обмена личными сообщениями. Для обеспечения безопасности коммуникаций в приложении используется сквозное шифрование. На сайте приложения говорится: «Вы можете стирать свои сообщения с телефонов других людей. Они не хранятся на телефонах и серверах постоянно. Сообщения надежно зашифрованы и недоступны никому, даже нам».

Насколько безопасен Dust?

  • Приложение позволяет отправлять личные сообщения людям из списка контактов. Такие сообщения называются Dusts. Можно настроить сообщения, исчезающие в течение 24 часов или сразу после прочтения.
  • Можно также отправлять сообщения группе людей, которые каждый получатель читает в частном порядке. Такие сообщения называются Blasts.
  • Приложение Dust настроено так, что имена пользователей не отображаются в сообщениях. Кроме того, оно информирует, если из приложения сделан снимок экрана.
  • Приложение Dust не только является безопасным мессенджером, оно также имеет функцию контроля конфиденциальности и инструмент для сохранения конфиденциальности при поиске в сети.

iMessage

Что такое iMessage?

iMessage – это служба обмена мгновенными сообщениями, разработанная Apple и запущенная в 2011 году. iMessage работает исключительно на платформах Apple: iOS, macOS, iPadOS и watchOS.

Насколько безопасен iMessage?

  • iMessage обеспечивает сквозное шифрование данных, передаваемых между пользователями.
  • Потенциальная проблема безопасности – это возможность резервного копирования сообщений iMessages в iCloud. Сообщения, хранящиеся в облаке, зашифрованы ключами, контролируемыми Apple, поэтому, если ваш iCloud когда-либо был взломан, эти сообщения могли быть раскрыты.
  • Решение этой проблемы – для усиления безопасности не хранить личные сообщения на веб-платформах, таких как iCloud.
  • iMessage позволяет пользователям контролировать, сколько времени отображаются фото, видео и сообщения, прежде чем они исчезнут. Также можно указать, сколько раз получатель может просмотреть сообщение. Однако эта функция доступна только в iOS 10 и выше.

Что такое Line?

Line – это бесплатное безопасное приложение для обмена сообщениями, созданное после цунами 2011 года в Японии. В результате стихийного бедствия многие обычные каналы связи вышли из строя. Приложение Line было разработано интернет-компанией Naver как средство связи для сотрудников.

Позже в том же году компания Naver представила приложение широкой публике в Японии, где оно стало невероятно популярным. Затем приложение завоевало популярность в Азии.

Насколько безопасен Line?

  • Line обеспечивает сквозное шифрование при условии, что пользователи соглашаются на использование этой функции. В приложении она называется «Letter Sealing».
  • Для регистрации в приложении можно использовать номер телефона или учетную запись Facebook.

Использование безопасного приложения для общения защищает от злоумышленников, пытающихся украсть ваши данные. Разные приложения имеют различные функции безопасности и общие функции, поэтому выбор конкретного приложения зависит от того, какие функции наиболее важны именно для вас.

Безопасность приложения для обмена сообщениями

Безопасность самих приложений очень важна, однако рекомендуется также следовать советам по обеспечению безопасности при обмене сообщениями:

1. Соблюдайте осторожность при использовании публичных сетей Wi-Fi

Публичные сети Wi-Fi часто являются бесплатными, однако они также являются источником проблем с безопасностью. Публичные сети, как правило, используются многими людьми, поэтому они часто становятся целью для злоумышленников. Злоумышленники могут легко перехватить отправляемые по Wi-Fi данные: фотографии, сообщения, пароли, имена пользователей и банковскую информацию. Использование VPN может помочь защититься от нарушений безопасности.

2. Избегайте отправки личной информации в приложениях для обмена сообщениями или в виде текстовых сообщений

Не сообщайте пароли, данные кредитных карт и другие личные данные в сообщениях. Остерегайтесь раскрытия личных данных незнакомцам, с которыми вы общаетесь посредством мгновенных сообщений. Злоумышленники могут использовать против вас даже такую на первый взгляд невинную информацию, как название вашего работодателя.

3. Будьте осторожны при переходе по ссылкам из сообщений

Чтобы не стать жертвой фишингового мошенничества, никогда не переходите по ссылкам в мгновенных сообщениях от людей, с которыми вы не знакомы и которым вы не доверяете и не встречались в реальной жизни.

4. Защитите телефон с помощью программы безопасности

Наряду с защитой устройства паролем или PIN-кодом, рекомендуется также использовать программу безопасности. Например, Kaspersky Internet Security для Android блокирует подозрительные приложения, веб-сайты и файлы, а также не дает шпионским программам отслеживать звонки, текстовые сообщения и местоположение.

Надежность WhatsApp и Telegram ставят под сомнение

Можно ли считать безопасной переписку в мессенджерах

Мессенджеры WhatsApp и Telegram небезопасны. По крайней мере, так считает Эдвард Сноуден, который посоветовал чиновникам не пользоваться этим программами. По мнению бывшего сотрудника Агентства национальной безопасности США, переписываться в мессенджерах слишком рискованно, особенно для представителей власти. При этом в интервью радиостанции France Inter Сноуден не решился дать советы по поводу безопасности смартфонов и компьютеров, отметив, что борьба со спецслужбами в любом случае будет неравная. Прав ли Сноуден? Какие мессенджеры сейчас самые безопасные?

Фото: Mark Blinch / Reuters

Фото: Mark Blinch / Reuters

Технический директор Trend Micro в России и СНГ Михаил Кондрашин считает, что полностью доверять нельзя ни одной программе: «Опыт показывает, что все системы, которые мы в какой-то момент считали безопасными, оказываются уязвимыми. Даже хорошо спроектированные системы, скажем, 10-15-летней давности, на сегодняшний день совершенно не выдерживают никакой критики с точки зрения их защищенности. Поэтому если то, что вы пишете, будет иметь ценность и важность спустя большой промежуток времени, стоит дважды подумать прежде, чем доверять эту информацию каким бы то ни было общедоступным информационным сервисам. К сожалению, слишком часто в прошлом мы сталкивались с ситуацией, что правильно спроектированные системы оказывались уязвимыми в самых обидных местах, и в результате информация утекала».

Кто такой Эдвард Сноуден

Три года назад Эдвард Сноуден и Павел Дуров поспорили о защищенности мессенджеров. Бывший сотрудник АНБ тогда сомневался в надежности Telegram и предпочитал WhatsApp. Однако сейчас, по словам Сноудена, Facebook постепенно снимает со своего мессенджера защиту, при этом уверяя пользователей, что все разговоры остаются зашифрованными.

При этом руководство обеих программ не скрывает, что может делиться с властями информацией, поясняет ИТ-эксперт Александр Баулин: «Сноуден уже давно нам рассказал, что, например, у США есть большая система для слежения за электронными коммуникациями пользователей. И в этом плане WhatsApp и Telegram не может спасти кодирование передачи информации, потому что обе компании обещают ее выдавать по запросам государственных органов.

Как Роскомнадзор планирует бороться с нежелательными ресурсами

Как Роскомнадзор планирует бороться с нежелательными ресурсами

При этом Дуров подчеркивает, что не будет сотрудничать с недемократическими правительствами в выдаче информации по запросу, но получается, что с демократическими будет, и обычно под такими государствами подразумеваются США и западные страны.

И значит, что чувствительная информация, переданная в мессенджерах, может быть выдана по запросу судебных или силовых органов этих стран. Случаев, когда мессенджеры WhatsApp и Telegram были взломаны, мы пока не знаем. Но, к сожалению, они могут помочь силовым органам западных стран, и при этом неизвестно, во-первых, насколько корректно этой информацией западные страны воспользуются, а во-вторых, не утечет ли она от них».

Кстати, в Кремле не раз признавали, что используют Telegram для общения с журналистами. Об этом заявлял пресс-секретарь президента Дмитрий Песков. По мнению Эдварда Сноудена, вместо привычных мессенджеров чиновникам надежнее было бы использовать менее раскрученные аналоги — например, Signal или почти неизвестный в России Wire.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *