«Получить доступ к переписке — вопрос ресурсов»: эксперты о безопасности WhatsApp, Telegram и Signal
Новая политика конфиденциальности WhatsApp, который предупредил пользователей о возможной передаче их данных Facebook, вызвала новые претензии к соцсети и мессенджеру и переход миллионов пользователей в альтернативные мессенджеры. The Bell опросил экспертов в сфере кибербезопасности о том, какой из популярных мессенджеров на самом деле надежнее, и что изменят для вас новые правила WhatsApp.
Что случилось
9 января WhatsApp обновил условия предоставления услуг и политику конфиденциальности. Теперь данные клиентов мессенджера передаются в его материнскую компанию — Facebook. Несмотря на то что на деле для большинства пользователей ничего не изменится (WhatsApp уже давно делится данными пользователей с Facebook), объявление вызвало волну недовольства, а пользователи WhatsApp начали искать альтернативы. Мессенджеры Telegram и Signal (последний — после рекламы лично Илоном Маском) зафиксировали резкий всплеск новых скачиваний: по данным аналитической платформы мобильных приложений Sensor Tower, Signal установили почти 7,5 млн раз во всем мире с 6 по 10 января, Telegram — 5,6 млн.
Что изменилось на самом деле?
Об обновлениях, о которых в начале января WhatsApp стал информировать пользователей, на деле было объявлено еще в середине прошлого года, рассказал The Bell заместитель руководителя департамента аудита и консалтинга Group-IB Павел Супрунюк. Принципиальное отличие лишь одно — прежде в мессенджере существовала опция нажать кнопку «не предоставлять Facebook информацию о вашей учетной записи WhatsApp», а теперь такой опции у пользователей нет.
По словам эксперта по кибербезопасности Алексея Лукацкого, обновления условий WhatsApp никак не меняют уровень безопасности личной переписки.
Что на деле произошло? WhatsApp официально объявил о своей позиции передачи данных материнской компании. Это не отменяет тот факт, что WhatsApp и раньше мог делиться информацией с Facebook. Другое дело, что вся информация в любом случае передается в зашифрованном виде и не нарушает право на анонимность. К тому же Facebook и так уже собрал такой массив данных о пользователях, что передача новых сведений от WhatsApp ничего принципиально не изменит.
По словам основателя Postuf Бекхана Гендаргеноевского, WhatsApp просто «легализовал» свои предыдущие действия с данными пользователей из-за пристального внимания мировых регуляторов к конфиденциальности данных.
Безопаснее ли Telegram и Signal?
Бенефициарами проблем WhatsApp пока стали Telegram и Signal, но у экспертов нет единогласного мнения, что последние действительно надежнее и безопаснее. В Group-IB объясняют, что у любого мессенджера есть технические возможности собирать информацию о пользователе (вплоть до текста сообщений и записей разговоров) в рекламных целях.
В плане доступа к самой переписке мессенджеры защищены примерно одинаково, считают опрошенные The Bell эксперты.
В реальности ни один из этих мессенджеров нельзя рассматривать как более надежный. Все они используют так называемое сквозное шифрование, которое по идее должно шифровать весь трафик между устройствами. Но все приложения используют серверы для передачи и хранения недоставленных сообщений, что допускает так называемую «атаку через посредника» (man in the middle attack). Небольшим исключением из правила может являться Telegram с его опцией «секретных чатов» — сообщения, отправленные через них, как утверждает Telegram, могут быть прочитаны только на тех устройствах, на которые и с которых они отправляются. Настройки таких чатов допускают настройку самоуничтожения сообщений.
Но дополнительную защищенность пользователям Telegram дают только секретные, а не обычные чаты, подчеркивают эксперты.
Telegram до сих пор окружает некоторый ореол безопасности, который пользователи принимают и транслируют на все свои действия. Отчасти причина тому — маркетинг самого приложения. В мессенджере действительно есть защищенный способ переписки под названием «секретный чат». Но большинство пользователей его не использует. При этом, анализируя безопасность собственной переписки, думают именно в терминах полной защищенности, а это не так.
Три из пяти опрошенных The Bell экспертов поставили на третье место по защищенности WhatsApp, на второе — Telegram, а на первое — Signal.
Большинство специалистов по безопасности и криптографии согласятся, что Signal обладает самым защищенным каналом передачи сообщений. Его авторы Мокси Марлинспайк и Тревор Перрин были удостоены награды Levchin Prize в области криптографии, и шифрование, используемое в Signal, — это передовой край исследований в данной области. Все части кода для платформ Signal открыты. Signal использует свой самописный криптографический фреймворк, а его надежность проверялась криптографами по всему миру. Signal не хранит нигде ваши данные, кроме ваших устройств, всегда и везде по умолчанию использует end-to-end шифрование. При желании вы можете в настройках скопировать переписку через встроенную в Signal функцию бэкапирования (резервного копирования данных. — The Bell). Но никто вас принудительно не попросит этого сделать и залить на облако Google или iCloud. Из сказанного выше вытекает тот факт, что передача данных кому бы то ни было никак не касается Signal. Ему просто нечего передавать.
Как и кто может получить доступ к переписке?
Прямого доступа к переписке в мессенджерах у властей нет, но это не означает, что они не могут получить никаких данных. По словам Алексея Лукацкого, Telegram может предоставлять по запросу спецслужб информацию — но не содержание переписки, а факт взаимодействия пользователей и время этого взаимодействия. Получить конкретный текст сообщений и для властей, и для хакеров до сих пор является сложным.
Уязвимости есть абсолютно во всех приложениях, другое дело, что о большинстве их них никто не знает, пока их не найдут хакеры. А когда такие уязвимости находят, они продают их на черном рынке за тысячи и миллионы долларов в зависимости от того, насколько масштабный доступ к чужим данным может дать обнаруженная недоработка. Есть опасения, что и сами компании могут намеренно оставлять уязвимости, чтобы в случае запроса властей они могли вытащить и предоставить часть переписок.
На самом деле вопрос того, чтобы узнать, о чем переписывается человек, всегда в том, сколько ресурсов (а иногда это миллионы долларов) ты готов на это потратить. У тебя есть связи в органах? Иди в WhatsApp. Есть много денег? На черном рынке, вполне возможно, могут продать уязвимость для взлома Telegram. С Signal сложнее — для атаки нужна будет социальная инженерия и взлом устройства человека.
Есть ли альтернатива?
Исследование Group IB, где сравнивались по защищенности три мессенджера, которые чаще других относят к самым защищенным (Telegram, Signal, Wickr Me), показал, что меньше всего недостатков оказалось у наименее известного из них — Wickr Me.
Михаил Третьяк из Digital Rights Center соглашается с тем, что, если у вас цель найти самый защищенный мессенджер, выбор должен пасть не на массовые приложения.
К мессенджерам с повышенной конфиденциальностью относятся, например, очень любимый российскими чиновниками и силовиками зашифрованный мессенджер Threema, созданный и функционирующий по принципу «приватность по умолчанию» (privacy by design). Он даже не требует каких-либо персональных данных (в частности, номера телефона) для идентификации и начала использования. Из аналогов также стоит упомянуть технологию и приложение Briar для Android — связь в нем осуществляется через Tor, он может использоваться в отсутствие интернета и создан в первую очередь для «активистов, журналистов и гражданского общества».