Дослідження: майже всі месенджери, якими ви користуєтесь – безпечні
Один месенджер, який переважно використовується в Китаї, допустив витік більш ніж 130,000 вкрай відвертих зображень, відео та аудіозаписів своїх користувачів. Хоча ця служба обміну повідомленнями була пов’язана з компанією, яка пропонувала нібито "приватну соціальну мережу" і, отже, мала невелику користувальницьку базу.
Діти з CyberNews у своєму новому дослідженні оцінили функції безпеки великих програм для обміну повідомленнями, ми переклали його та пропонуємо вам ознайомитися.
У нас є хороші новини для користувачів найпопулярніших месенджерів: 11 з 13 додатків, всі крім Telegram і Facebook Messenger, мають функції безпеки включені за замовчуванням. Це виглядає перспективним і індустрія месенджерів, очевидно, йде у правильному напрямку.
Також дослідники виявили, що більшість додатків використовують RSA та AES шифрування та хешування ключів, що є найбільш безпечними та ефективними методами шифрування на сьогоднішній день.
Взагалі, шифрування потрібне не тільки для захисту "приватних" повідомлень. Подібні безпечні месенджери дозволяють активістам з усього світу боротися з несправедливістю та авторитарною владою, не боячись бути переслідуваними, як-от протести проти Лукашенка в Білорусі.
Об’єкти аналізу
Для проведення аналізу дослідники розглянули різні аспекти 13 популярних програм для безпечного обміну повідомленнями:
- Сигнал
- Wickr Me
- Messenger
- Телеграма
- Дріт
- Viber
- Cyber Dust
- iMessage
- Pryvate
- Qtox
- Сесія
- Шипшина
Ключові висновки
Аналіз включав використовувані протоколи обміну даними та стандарти шифрування різних додатків, принципи обміну ключами та криптографічні примітиви.
- 2 додатки не використовують функції безпеки за промовчанням, користувачу потрібно самостійно активувати їх у налаштуваннях
- 4 додатки використовують промисловий стандарт шифрування Signal
- тільки 2 програми використовують P2P протокол для обміну даними
- iMessage не шифрує повідомлення, якщо вони передаються GSM (використовуючи 2G і 3G мережі)
- у 3 з 13 додатків є підписка, яка дозволяє використовувати розширені функції
- більшість додатків використовують RSA і AES, одні з найбезпечніших алгоритмів шифрування, доступних сьогодні, для шифрування та хешування ключів
Принцип роботи захищених месенджерів
Хоча основна увага приділяється найбільш популярним месенджерам, таким як Signal, Messenger, Viber, Telegram і WhatsApp, дослідники розширили аналіз та включили до нього інші месенджери для вичерпних висновків про саму індустрію. Йдеться також про Session, Briar, Wickr Me, Wire and Cyber Dust.
Те, що було виявлено, в основному радує: всі програми, крім двох, за умовчанням забезпечували безпеку, а Telegram і Messenger можна було легко убезпечити, змінивши налаштування користувача.
Чотири програми – Signal, Messenger, WhatsApp і Session – використовували протокол Signal для наскрізного шифрування. При наскрізному шифруванні тільки відправник та одержувач зможуть переглядати повідомлення, тоді як без наскрізного шифрування сервер програми для обміну повідомленнями між відправником і одержувачем може читати повідомлення. Протокол Signal став промисловим стандартом для безпечного обміну повідомленнями, голосового та відеозв’язку.
Цікавий аспект у випадку з додатком iMessage, який використовується на пристроях Apple, шифрує дані лише надсилаючи їх через HTTPS. Коли відправлення йде через GSM (2G та 3G), то дані не шифруються.
Тільки дві програми, Briar і Qtox, використовують протокол P2P передачі даних одне рангової мережі. P2P дозволяє передавати дані безпосередньо від користувача до користувача, не використовуючи сервер як посередник. В той час, як Briar пропонує інші протоколи передачі, Qtox використовує тільки власний TOX P2P. Саме тому у них немає політики конфіденційності, адже вони не мають доступу до даних користувача.
Всі розглянуті месенджери є безкоштовними або мають безкоштовну версію, тільки Wire вимагає платну передплату. Причина в тому, що він створений для корпоративних потреб, таких як Slack або Microsoft Teams, лише підтримує наскрізне шифрування.
Загалом, дослідники зробили висновок, що ви можете безпечно спілкуватися за допомогою цих месенджерів, тільки нагадаємо, що для Facebook Messenger або Telegram потрібно включити функції безпеки в налаштуваннях програми або окремого чату.
Це потрібно не тільки для безпеки, а й для збереження приватності, адже сервери Facebook та Telegram теж не зможуть переглядати Ваші повідомлення.
Що мається на увазі під безпекою в месенджерах і безпеку чого вони не забезпечують?
Важливо розуміти, що є деякі обмеження, коли ми говоримо про безпеку у месенджерах. Більше того, це залежить від того, як саме ви збираєтеся ними користуватися.
Для звичайного використання важливо, щоб ваш месенджер шифрував дані, бажано за умовчанням. Але крім цього, є користувачі, яким потрібний ступінь безпеки настільки високий, наскільки можна, що означає повну, або майже повну, анонімність. Щоб ніхто, крім них, не міг переглядати повідомлення, відстежувати обмін ними або навіть знати їхні імена. У світлі цього, більшість з цих сервісів зазнають краху. Як мінімум тому, що програми не досконалі, як і люди, які їх пишуть. Програма може використовувати всі найсильніші функції безпеки, але жодна програма не застрахована від помилки.
Один із яскравих прикладів того WhatsApp, який мав уразливості на напругі багатьох років. Наприклад, ізраїльська шпигунська програма дозволяла встановити програмне забезпечення для стеження, лише зателефонувавши жертві через WhatApp. Facebook Messenger теж мав уразливості, що дозволяли хакерам таємно прослуховувати Ваші розмови без особливих зусиль.
Навіть Signal, який рекомендують професіонали з кібербезпеки, став жертвою складної атаки хакера, яка дозволила їм прослуховувати вас за допомогою деякого роду примарного дзвінка. Вони робили виклик і відразу натискали кнопку відключення звуку. Дзвінок не було видно, але вони могли підслухати ваше оточення.
І це лише випадки використання хакерами вразливостей для атак на окремих осіб. Протягом багатьох років уряд та правоохоронні органи використовували різні методи стеження за цілими групами людей. Повідомляється, що в Гонконгу уряд Китаю використав помилку Telegram для отримання телефонних номерів користувачів. Німецькі дослідники також виявили, що WhatsApp, Signal та Telegram розкривали особисті дані користувачів через контакти.
Жодна з цих програм не пропонує абсолютної безпеки і ніколи не буде, оскільки людина або група людей, які мають достатньо часу та ресурсів, завжди знайдуть обхідний шлях. Навіть якби програма була абсолютно безпечною сама по собі, вона не могла б виправити ваші власні помилки.
Як добре сказано у FAQ Telegram:
«Ми не зможемо захистити вас від своєї матері, якщо вона візьме ваш розблокований телефон без пароля. Або від вашого ІТ-відділу, якщо вони мають доступ до вашого комп’ютера на роботі. Або від будь-яких інших людей, які отримують фізичний чи root-доступ до ваших телефонів або комп’ютерів, на яких встановлено Telegram».
Якщо ви поводитеся небезпечно, жодна програма для безпечного обміну повідомленнями вас не врятує.
Таблиця результатів
На зображенні нижче ви знайдете всі подробиці про 13 програм для обміну повідомленнями, які ми розглянули в цій статті.
За матеріалами CyberNews.