Павел Дуров обрушился с критикой на WhatsApp, в который раз объявив об уязвимости самого популярного в мире мессенджера. The Bell разобрался в истоках этого спора и узнал у экспертов, что надежнее — WhatsApp или Telegram.
Эта заметка изначально была написана для еженедельной технорассылки The Bell. Подписаться на нее можно здесь.
Что случилось
В конце ноября Павел Дуров уже не в первый раз заявил, что WhatsApp не просто содержит уязвимости. По его мнению, компания специально оставляет «бэкдоры», то есть дыры в защите, для властей и спецслужб. Дуров утверждает, что Facebook еще до покупки WhatsApp был частью программ правительственной слежки и было бы наивно считать, что это изменилось позднее. Он также ссылается на одного из основателей WhatsApp Брайана Эктона, который тоже призывал удалить Facebook и заявлял, что вместе с мессенджером продал компании Марка Цукерберга пользователей.
Только за последние несколько месяцев WhatsApp оказался в центре двух громких скандалов, связанных со взломами смартфонов. Оба завязаны на действительно серьезные утечки, объясняет заместитель руководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин. Первая утечка, выявленная в мае, позволяла получить доступ к устройству с помощью звонка через WhatsApp. Вторая, послужившая поводом для атаки Дурова, дает нападающим возможность установить шпионское ПО, просто отослав видео.
Мишень для правительств
Первый скандал случился еще в мае. Тогда выяснилось, что большая уязвимость в WhatsApp позволяла установить шпионское ПО израильской NSO Group под названием Pеgasus с помощью всего лишь одного звонка через WhatsApp. Сотрудники израильской компании отрицали, что сами выбрали жертву, но не опровергали причастность их ПО к атаке. А в конце октября глава WhatsApp в колонке в The Washington Post обвинил NSO Group в причастности к взлому устройств минимум 100 правозащитников и активистов по всему миру.
Для того чтобы оценить масштаб проблемы, нужно рассказать историю NSO Group. Компания была основана в 2010 году, но впервые ее название громко прозвучало только летом 2016 года. Тогда компания Lookout, занимающаяся кибербезопасностью, объявила, что израильская NSO смогла взломать тогдашнюю iOS и установить программу, перехватывающую все действия пользователя.
Это очень обеспокоило всю индустрию. Во-первых, программный комплекс NSO задействовал целых три неизвестных до того времени дыры в платформе Apple (из-за этого уязвимость назвали Trident, «трезубец»). Во-вторых, 70% компании купила за $120 млн американская Francisco Partners, специализирующаяся на технологических инвестициях и управляющая по состоянию на 2019 активами на $12 млрд.
NSO Group предлагает слежку класса люкс, писала тогда The New York Times. Установка шпионского ПО стоит $500 000, а слежка за первыми 10 айфонами обойдется еще в $650 000. Бизнес оказался успешным. В 2018 году выручка компании составляла $250 млн, ее услугами пользовались десятки клиентов, но Francisco Partners предпочла быстро избавиться от актива.
В начале 2019 года, по данным The Times of Israel, основатели NSO Group выкупили контрольный пакет обратно. Для сделки компания была оценена примерно в $1 млрд, что сделало ее «единорогом». Деньги на выкуп основателям помог найти европейский фонд частного капитала Novalpina Capital.
Этот фонд занимает уникальное положение на рынке. Его основатель, бывший британский олимпийский атлет Стивен Пил оказался таким разносторонним человеком, что был как будто специально создан для работы с NSO Group. Пил одновременно создал околоправительственный некоммерческий консалтинг SMP Policy Innovation Limited, управлял российскими и восточноевропейскими делами инвесткомпании TPG Capital, а также участвовал в деятельности Школы госуправления в Оксфорде, которая носит имя ее спонсора Леонарда Блаватника.
Вложившись в NSO, Пил тут же взял на себя коммуникацию с Amnesty International и другими правозащитными организациями. И хотя NSO Group по-прежнему называли «торговцами кибероружием» и «производителем шпионского ПО», сообщение удалось доставить адресату — Novalpina Capital пообещала «существенно улучшить отношение компании к правам человека». А позднее The Guardian выяснил, что новой совладелицей NSO Group стала и Яна Пил, жена Стивена и одновременно британская правозащитница. Это вызвало скандал в тех кругах, которые значимы и для Novalpina Capital, а не только технокомпаний. Конечно, NSO Group вряд ли сможет изменить свою ядерную бизнес-модель, но теперь ей придется всерьез учитывать возможный репутационный ущерб, связанный с выбором властями не тех целей для взлома.
Уязвимость в WhatsApp, позволявшая с помощью звонка установить ПО NSO Group в мессенджер, обнаружилась примерно в то же время, когда происходили все эти события. Такая видимая простота очень характерна для хороших уязвимостей — раньше установка происходила, когда пользователь, например, переходил по ссылке в присланной SMS (ноябрьская уязвимость, ставшая поводом для заявления Дурова, также облегчает заражение — достаточно отправить жертве видеофайл в формате MP4). Результатом стали иски Facebook и NSO Group друг к другу: претензии Facebook понятны, а сотрудники израильской компании пожаловались на блокировки в экосистеме Марка Цукерберга.
Какой мессенджер надежнее
Говорить, как Павел Дуров, что много уязвимостей в WhatsApp — это подозрительно, будет преувеличением, считает старший пентестер (тестирует ПО на проникновения) Digital Security Александр Багов. «За последние годы Facebook и его сервисы находились под прицелом не только обычных хакеров, но и целых государств, которые готовы были штрафовать компанию за любое несоблюдение безопасности пользователей. Надо понимать, что полностью неуязвимых систем не существует, существуют только лучше или хуже защищенные», — объясняет он.
Рыночные механизмы противостоят требованиям безопасности. «Можно, конечно, вести очень жесткий аудит кода, но тогда писать такой большой проект, как мессенджер с кучей функций, будет почти нереально: условно любую новую фишку при безопасной разработке вы сможете сделать только через год после своих конкурентов», — считает Багов. Важно, сколько пользователей успели пострадать от уязвимости. В конце концов к моменту, когда Дуров написал пост, WhatsApp выпустил обновление и устранил дыру.
Вокруг Telegram не происходило таких крупных скандалов. Но Сергей Никитин из Group-IB связывает это с тем, что мессенджер гораздо менее популярен (300 млн человек Telegram против более чем 1,5 млрд WhatsApp). «Более того, мы не знаем точно, есть там уязвимости или нет. Возможно, их находят, устраняют, и это проходит незамеченным, — рассуждает он. — При этом за WhatsApp теперь очень пристально следят. Но уязвимости есть во всех мессенджерах». Сам пост Дурова Никитин связывает с «конкурентной борьбой».
В Digital Security считают, что любой мессенджер можно взломать, но у WhatsApp нет «достаточно простых уязвимостей». Багов добавляет, что Дуров «немного лукавит», когда говорит о защищенности Telegram. В мессенджере находили уязвимость, позволявшую читать содержимое секретных чатов в случае получения доступа к устройству, напоминает он.
«В клиентских приложениях Telegram встречаются уязвимости, аналогичные найденной в WhatsApp, — говорит эксперт. — Однако стоит понимать, что системы оповещений разработчиков об этих атаках оставляют довольно узкое окно для проведения атаки — до того как будет внесено исправление в систему». Вопрос в том, как долго злоумышленники, нашедшие уязвимость, смогут держать ее в тайне.
Государственным органам может быть выгоднее потребовать ключи шифрования у владельцев; именно отказ Telegram передать ключи стал причиной блокировок. Интересно, что ключи запрашивали не только у мессенджера Дурова. ФСБ пришла и в WhatsApp, и Viber, но в результате никто их не передал, напоминает Сергей Никитин. То, что к Telegram в результате применили санкции, а к другим мессенджерам нет, он называет «чисто политической историей».
Частично заявления Никитина подтверждаются тем, что, если бы спецслужбы имели доступ к бэкдору, предоставленному Facebook, властям самых разных стран не пришлось бы обращаться к компаниям вроде NSO Group. Та, чтобы получить доступ к телефонам тех, кого власти сочли экстремистами, задействует как раз пока не закрытые уязвимости. Разработка каждой уязвимости может обходиться компании в миллионы долларов, причем атака ведется не только на мессенджеры.
Что дальше
Facebook, покупая WhatsApp, отдал $19 млрд. Эти деньги до сих пор не удается отбить, так как мессенджер из-за своей корпоративной культуры долгое время сопротивлялся любому способу рекламной монетизации. Через несколько лет компанию покинули оба основателя, не желавшие мириться с подходом к пользователю как к продукту. Это, с одной стороны, развязало Facebook руки, а с другой — привело к поиску новых подходов; WhatsApp на своих рынках стал ассоциироваться с распространением фейков, манипулированием выборами и многими другими вещами, затрудняющими развитие медиасервисов.
Кроме того, сам Facebook начал замечать потолок в рекламных доходах своей экосистемы. Любая лента — сообщений, постов, записей — имеет ограниченную рекламную емкость.
Компания решила в своих продуктах развивать другие направления — от экзотической виртуальной реальности, которая еще не скоро «выстрелит», до более традиционной платежной инфраструктуры и развития электронной торговли.
В начале года Facebook решил объединять платформы мессенджеров, упрощая и повышая управляемость продукта, а также сокращая площадь атаки — найти уязвимость в одном из трех мессенджеров проще, чем в одном.
Все лето компания пыталась продвинуть свою криптовалюту, которая смогла бы дать финансовый инструментарий жителям развивающихся стран. Когда это не получилось — запустила более привычный сервис платежей Facebook Pay, работающий в Messenger, WhatsApp и Instagram.
Компания также двинулась в онлайн-торговлю. В марте шопинг появился в Instagram. В ноябре мобильные каталоги товаров запустили в WhatsApp, объединяющем 1,5 млрд пользователей.
В результате Дуров, по праву гордившийся технологическим преимуществом и подшучивавший над WhatsApp, перенимающим инновационные функции, теперь выступает в роли догоняющего:
- Объединенная мессенджинговая платформа Facebook в начале года оценивалась в более чем 2,6 млрд пользователей. У Telegram почти на порядок меньше пользователей — около 300 млн.
- Американский и другие развитые рынки не рады Telegram из-за проблем с легализацией криптовалюты, критичных для схождения бизнес-модели (пока Telegram глубоко убыточен). Facebook, напротив, кажется, нашел.
- Telegram, научившись бороться с блокировками, теперь сталкивается с проблемами роста. Например, в ноябре около 15% пользователей испытывали проблемы с подключением, а в июне сервис, полюбившийся протестующим в Гонконге, столкнулся с DDoS-атакой со стороны китайских властей. Facebook занимает гораздо более выгодную соглашательскую позицию.
Отдельной угрозой для Telegram становится медийная стратегия Facebook. Новый продукт, вкладка News, позволяет компании захватить лакомый рынок новостной агрегации. При этом Марк Цукерберг готов платить издателям.
В долгосрочной перспективе это может привести к тому, что Facebook станет точкой входа для потребления новостей из авторитетных источников, да еще и располагающим доступом к умам половины человечества.
Новостная инфраструктура многих стран присутствия Telegram (Иран, Россия, Узбекистан) в целом нуждается в ремонте и альтернативных источниках информации. Telegram еще в июне начал набор людей на блок новостных рекомендаций, предложив перейти в компанию разработчикам «Яндекс.Новостей» и других агрегаторов. В конце ноября задачу кластеризации новостного контента выставили на конкурс с призовым фондом в $100 тысяч.
В такой гонке вооружений отсутствие уязвимостей, возможно, далеко не главное.