Утверждает, что все зашифрованные мессенджеры уязвимы, и в особенности, Whatsapp. Материал наделал много шума, однако так ли все печально на самом деле? Компания-эксперт в области интернет-безопасности Open Whisper Systems утверждает, что ничего нового в The Guardian написано не было и на Вотсап “наехали” напрасно.
Прошлой весной Whatsapp выпустил крупнейшее обновление в своей истории — добавилась функция принудительного конечного шифрования, которая по сути означает, что никто, включая Whatsapp, не может прочитать вашу переписку. Вчерашнее расследование The Guardian представляет мнение эксперта, который заявляет, что Whatsapp умышленно оставил “черный ход” (backdoor) в своем коде для возможного перехвата сообщений спецслужбами и другими заинтересованными лицами. Сами же разработчики Whatsapp утверждают, что это совсем не так, и что потенциально небезопасное поведение их приложения — ни что иное как облегчение жизни своим многочисленным пользователям.
Безопасность переписки Whatsapp была разработана с помощью компании Open Whisper Systems, той самой, которая разработала самый безопасный мессенджер в мире — Signal, и в своем блоге компания подробно описывает как все работает. В Вотсап внедрен Signаl-протокол (а еще он внедрен в недавний Google Allo), который выдает каждому пользователю два ключа безопасности: публичный ключ, по которому его могут идентифицировать другие пользователи и личный приватный ключ, который будет закреплен на устройстве. Поскольку люди частенько меняют свои телефоны и перестанавливают приложения, связка ключей безопасности будет меняться соответственно этому. Пользователи могут убедиться в приватности своего общения внутри Whatsapp, проверяя код безопасности на каждом устройстве, участвующем в разговоре — если коды совпадают, это будет означать что перехват сообщений между собеседниками отсутствует (такой тип атаки называется man-in-the-middle, MITM).
Материал the Guardian основан на расследовании Тобиаса Белтера (Tobias Belter) . Он утверждает, что сервер Whatsapp можно взломать по запросам третьих лиц. То есть Вотсап может сгенерировать новый ключ безопасности и выдать его этим самым третьим лицам пока пользователи не заметят, что что-то произошло. В мессенджере Signal app любая подмена ключа безопасности результирует в невозможность отправки сообщения и в предупреждение безопасности, причем все это происходит до того, как пользователь соберется переправить сообщение заново и самостоятельно. В Whatsapp же пользователь получает уведомление о смене ключа, при этом сообщение будет автоматически перекодировано под новый ключ и отправлено адресату. То есть вы только потом сможете выяснить, действительно ли совпадает новый ключ с вашим адресатом. При том, что такую настройку о предупреждении в вашем Whatsapp еще необходимо включить вручную:
Подобное поведение Whatsapp в компании Open Whisper Systems объясняют идеологической простотой использования мессенджера. А еще, сервера Whatsapp не знают, кто включил настройку о предупреждении, а кто нет — поэтому попытка взлома может быть быстро обнаружена. Во всяком случае, “адвокаты” Whatsapp настаивают на том, что такую политику безопасности можно называть как угодно, но это не уязвимость и не backdoor. Это “особенность”.
Многие западные эксперты по безопасности соглашаются с выводами Open Whisper Systems:
It’s ridiculous that this is presented as a backdoor. If you don’t verify keys, authenticity of keys is not guaranteed. Well known fact.
Frederic Jacobs (@FredericJacobs)
Начавшийся с текстовых сообщений тренд на безопасные коммуникации затронул и «голос». В 2016 году о применении end-to-end-шифрования в голосовых вызовах объявили WhatsApp, Viber и ICQ. Для обеспечения защищенных звонков в 2014 году был запущен мессенджер Signal. Также два года назад о наличии шифрования в сервисе FaceTime заявляли и в .
Одно из некогда популярных решений в этой области — Skype — ввел защиту «голоса» еще в конце нулевых, что огорчило западные спецслужбы.
Тем не менее, как отмечает в разговоре с «Газетой.Ru» редактор MForum Analytics, эксперт в области телекоммуникаций , переход абонентов на IP-телефонию и видеосвязь вызван прежде всего удобством использования и ценой. Фактически клиенту того или иного оператора необходимо заплатить только за пакет интернет-трафика, который все чаще является безлимитным.
Спикер допускает, что для некоторого процента пользователей важна именно приватность, но, безусловно, не для большинства. Такое же мнение высказал в беседе с «Газетой.Ru» и генеральный директор информационно-аналитического агентства TelecomDaily . По его мнению,
число абонентов, переходящих на сервисные решения из-за заботы о конфиденциальности, не превышает 10%.
В целом эксперты на рынке сходятся в том, что интернет-сервисы действительно дают более высокий уровень конфиденциальности разговоров, нежели обычная мобильная связь.
Напомним, что операторы, согласно российскому законодательству, обязаны установить на свои сети СОРМ-1, позволяющую правоохранительным органам получить доступ к любому разговору. В 2014 году власти обеспокоились данными, которые передаются в сети, обязав провайдеров установить так называемую СОРМ-3. Благодаря системе разговор, представляющий собой информацию в цифровом формате, остается у оператора. Однако из-за кодирования разобраться в этом пакете данных, как и что именно говорил пользователь, а в какой момент он смотрел картинки с котиками, для правоохранителей остается тяжелоосуществимой задачей.
«В то же время не стоит переоценивать защищенность международных мессенджеров, она не равна 100%, а от некоторых сервисов у спецслужб различных стран, вероятно, есть пресловутые «ключи», — предупреждает Бойко.
Раздражающая приватность
Основатель «Общества защиты интернета» Леонид рассказал «Газете.Ru», что не сталкивался с конкретными случаями прослушек голосовых вызовов в Skype, Viber или WhatsApp.
По его словам, люди, уделяющие приватности повышенное внимание, предпочитают FaceTime. Но он затруднился ответить, чем именно обусловлен такой выбор: вкусовыми предпочтениями или же действительно мощной защитой самого сервиса.
президент Турции Реджеп Тайип Эрдоган в эфире CNN через FaceTime
Также Волков сообщил, что теоретически мессенджеры с поддержкой звонков нельзя считать полностью безопасными, но от теоретической уязвимости до практических перехватов лежит огромный путь.
«В первую очередь потому, что есть куда более простые пути получения информации: подсадить трояна, который будет снимать «голос» на устройстве», — поясняет IT-специалист.
Собеседник издания полагает, что такой способ в несколько раз эффективнее и дешевле. Об установке зловредного ПО на пользовательское устройство предупредил в разговоре с «Газетой.Ru» и эксперт компании ESET Russia .
При этом, по его мнению, данные, передаваемые через интернет, проще перехватывать, нежели в сетях операторов.
«Там есть много возможных точек подключения: в локальной сети, через общедоступный Wi-Fi, у провайдеров и т.п. Для этого не нужно дорогостоящее оборудование — достаточно обычного компьютера или планшета с хакерским софтом», — отметил спикер.
Но если используется стойкое шифрование, то, даже перехватив трафик, злоумышленник не сможет его «прослушать», продолжает Железняков.
Невозможность добраться спецслужбам до содержания вызовов, организованных с помощью интернет-соединения, может являться раздражителем для властей. Кусков назвал отсутствие СОРМ в коммуникационных сервисах проблемой с точки зрения государства.
Аналитик прогнозирует, что в дальнейшем будут идти «бои» между законодателями совместно с и владельцами мессенджеров для налаживания «сотрудничества».
Спикер не уверен, можно ли считать попыткой подчинить спецслужбам Skype, Viber и WhatsApp принятие «пакета Яровой», так как по-прежнему непонятно, каким образом будет работать закон и какие сведения по нему нужны . Само ведомство на прошлой неделе заявило, что в рамках документа нет необходимости в обязательной сертификации средств шифрования в интернете.
Волков и вовсе назвал «пакет Яровой» бредом. «По нему будет писаться и храниться еще больше трафика, и, следовательно, будет еще сложнее найти в нем что-то ценное», — добавил эксперт.
Труднопредсказуемое будущее
Колоссальный рост популярности приложений с поддержкой голосовых вызовов во всем мире обусловлен, как и в прочих случаях с инновационными продуктами, развитием гаджетов и высокоскоростного мобильного интернета (3G и LTE).
После перехода российских операторов на пакетную модель предоставления своих классических услуг экономия от звонков через Skype или Viber стала сходить на нет. Но благодаря повсеместному распространению смартфонов и Wi-Fi-подключения остались комфортное использование приложений и возможность без лишних сложностей позвонить при поездке в другие страны.
Одним из последних трендов на рынке стало активное распространение видеоконтента. Явление не обошло стороной и сегмент коммуникационных интернет-сервисов. Так, по данным ICQ, почти 59% звонящих пользователей общаются по видеосвязи.
Бойко и Кусков считают, что в России трудно предсказывать будущее не только «голосовых» сервисов, но и любых других телеком-продуктов.
«У нас слишком высока вероятность политических решений, которые могут влиять на данный рынок», — предсказывает аналитик MForum.
Но спикер успокаивает: если не возникнет форс-мажоров, то можно не сомневаться в дальнейшем росте популярности различных международных мессенджеров в силу их глобальности и удобства реализации.
В перспективе ближайшего года власти могут разработать поправки к закону «О связи», которые будут регулировать деятельность интернет-сервисов. В частности, о такой возможности ранее заявлял руководитель .
В подготовке юридических норм, которые коснутся работы голосовых вызовов в сети, могут быть заинтересованы и телеком-корпорации.
«У операторов связи России мало рычагов, которые бы позволили им удержать абонентов голосовых услуг и SMS. Если они не задействуют свое лобби, чтобы добиться от регуляторов рынка прямых запретов на действия конкурентов, то у них мало шансов», — заявил Бойко.
В то же время у компаний есть возможность работать в рамках сотрудничества с сервисами, получая от них долю в доходах в обмен на настройки сети, добавил эксперт.
Манипуляции с пропускной мощностью канала и скоростью передачи данных могут, наоборот, стать попыткой шантажа со стороны операторов, полагает Кусков. Но одна компания, по мнению аналитика, не сможет изменить ситуацию, а в случае сговора операторов подключится .
Мессенджером WhatsApp пользуются уже больше миллиарда человек. При таком огромном охвате не удивительно, что людей интересует безопасность программы. Насколько легко злоумышленники могут добраться до личной переписки? Как защититься от таких любопытных? В статье мы расскажем об этом.
Как защитить Ватсап?
Мессенджер, будучи запущен на смартфоне, работает на нём постоянно, в фоновом режиме. При этом в нём нет никаких способов запаролить вход. Это значит, что если ваш смартфон в разблокированном состоянии попал в чужие руки, то все ваши отныне доступны похитителю. Создатели WhatsApp полагаются на то, что пользователи умеют блокировать свои гаджеты средствами Андроид или iOS. Поэтому ответ на вопрос «Как защитить мой Ватсап от просмотра» такой: первое, что нужно сделать, это установить надёжную блокировку экрана.
Двухшаговая проверка
Многие слышали об этой возможности, и полагают, что она как раз придумана для повышения приватности и защиты переписки от любопытных глаз. Это не совсем так.
Двухшаговая проверка предназначена для того, чтобы верифицировать новый аппарат. Вы можете включить эту функцию в настройках вашего Ватсапа, при этом вам предложат придумать секретный PIN-код из шести цифр. Больше никаких изменений не будет. Приложение будет по-прежнему работать в фоновом режиме и появляться на экране без всяких паролей. С двухшаговой проверкой вы столкнётесь, когда решите поменять гаджет.
Например, вы купили новый смартфон и перенесли на него WhatsApp. При первом же запуске и попытке входа в аккаунт (со старым телефонным номером) мессенджер попросит ввести PIN-код. Логика здесь простая: если кто-то получил доступ к вашему смартфону и всё оттуда скачал, то запустить WhatsApp на своём устройстве он не сможет, потому что не знает кода.
Таким образом, если вы пользуетесь одним и тем же смартфоном, эта функция не очень вам поможет защитить вашу информацию, но зато сильно выручит, если у вас его украдут.
Отображение сообщений из WhatsApp в браузере
Мессенджер имеет онлайн-версию. Это сайт, расположенный по адресу web.whatsapp.com . Этот Ватсап можно запустить в любом браузере, как на мобильных гаджетах, так и на стационарном компьютере. Работать перед большим экраном, на большой клавиатуре действительно удобнее, чем тыкать пальцем в маленький экранчик гаджета.
Когда вы зайдёте на сайт веб-версии, перед вами на экране монитора окажется QR-код. Вы должны просканировать его из вашей мобильной версии WhatsApp, которая работает в смартфоне. После успешного распознавания кода компьютер покажет собственно сам мессенджер. И эти две версии (стационарная и мобильная) будут синхронизированы между собой – все сообщения, которые вы отправляете или принимаете, будут одновременно отображаться и на гаджете, и на мониторе.
В этом как раз и состоит опасность. Если вы утратите бдительность и ваш разблокированный смартфон окажется в чужих руках, то злоумышленник сможет тут же запустить на своём ноутбуке (или даже в смартфоне!) веб-версию мессенджера и отсканировать вашим телефоном QR-код на экране. Для этого требуется меньше минуты. Но теперь вся ваша переписка будет синхронизирована с веб-версией Ватсапа, запущенного на устройстве хакера.
Правда, в самом Ватсапе предусмотрена функция для контроля таких соединений. В Настройках есть раздел WhatsApp Web/Desktop, где можно видеть все . Вам нужно будет только тапнуть на пункт «Выйти на всех компьютерах», и все сессии будут принудительно завершены. Не стоит об этом забывать.
Защита через настройки
Как уже говорилось, в настройках Ватсапа нет практически никаких функций для защиты переписки от любопытных. Но кое-что всё-таки предпринять можно. Например, вы можете настроить, кто видит ваш статус в сети. Часть пользователей не сможет понять, в онлайне вы сейчас или нет. Ещё можно скрыть время последнего захода в сеть. Самая полезная возможность – отключить сообщения о прочтении чужих сообщений. Ваши абоненты не будут знать, увидели вы их послания или нет.
Это не так уж много, но в ряде случаев может оказаться очень полезным.
Блокировка потерянного смартфона
Об этом знают все, но нелишне ещё раз напомнить: в случае потери смартфона следует как можно скорее сообщить об этом мобильному оператору, чтобы они заблокировали SIM-карту. Совершать телефонные звонки похититель уже не сможет. А вот пользоваться Ватсапом сможет! Потому что мессенджер работает через Wi-Fi сети, а не через телефонного оператора.
Поэтому повторим снова: не оставляйте телефон без присмотра! Не отдавайте его малознакомым людям. Придумайте сложную блокировку экрана. Не подключайтесь к общедоступным сетям Wi-Fi, если не уверены в их надёжности. Всё это простейшие правила Интернет-гигиены, если их соблюдать, то вероятность утечки вашей переписки в WhatsApp будет близка к нулю.
За последнее время WhatsApp стал одним из самых популярных мессенджеров не только в России, но и по всему миру. С помощью него удобно вести переписки, передавать данные, осуществлять звонки. И конечно же любой пользователь хочет быть уверенным, что его звонки никто не сможет прослушать, переписку прочитать, а файлы будут доступны только ему и собеседнику. Именно поэтому не стоит упускать из внимания такой параметр, как безопасность .
Уровень безопасности в WhatsApp. Защищенность информации
Прежде всего безопасность — это конфиденциальность, доступность и целостность информации . Компания-разработчик должна давать уверенность своим пользователям в том, что все эти три параметра безопасности функционируют на должном уровне.
В плане безопасности WhatsApp имеет очень богатую историю. Несколько лет назад выяснилось, что изначально, когда приложение только вышло в релиз, безопасность Ватсап осуществлялась всего лишь за счет хеширования пароля с помощью алгоритма MD5. Т.е. взломщик почти не прилагая никаких усилий мог с легкостью заполучить пароль пользователя . Исправить свою репутацию разработчики решили сотрудничеством с криптографической фирмой Open Whisper Systems.
В настоящее время Ватсап использует безопасную технологию шифрования данных, так называемое сквозное шифрование. Для тех, кто не знает, что это такое, попробуем объяснить на простых словах.
Представим, что существует два пользователя Дима и Коля. И у Димы и у Коли генерируется
по два ключа. Первый ключ (открытый) предназначен для зашифровки сообщений
, а второй (закрытый) для обратного процесса — расшифровки. Соответственно открытый ключ находится в открытом доступе, то есть его может просмотреть абсолютно любой
пользователь, но вот расшифровать сможет только обладатель закрытого ключа. Таким образом, сгенерировав по паре ключей, Дима и Коля начинают защищенное общение, так как ключ для расшифровки есть только у автора послания и его получателя.
Однако, несмотря на то, что безопасность в Ватсап осуществляется за счет сквозного шифрования , WhatsApp безопасность находится не совсем на должном уровне. К примеру, Ватсап не защищен от Dos-атак , но немного в своеобразной форме. Разработчики WhatsApp ограничили размер сообщения 6600 символами. Но если сообщение будет содержать 4400 смайлов , работа приложения Вотсап из-за переполнения буфера аварийно завершится. Единственный способ избавиться от данной проблемы на данный момент — удалить переписку с таким отправителем. Следует отметить, что WhatsApp безопасность на iOS пошатнуть подобной атакой невозможно .
Значительно недавно 15.03.2017 г. стало известно о такой уязвимости, используя которую злоумышленники могли захватить полную власть над аккаунтом пользоваться через WhatsApp Web. Так как Ватсап
позволяет отправлять различные типы данных, вредоносный код маскировался под обычную картинку, нажав
на которую атакующий получает доступ к контенту
пользователя. Эта уязвимость была актуальна не только для WhatsApp, но и для Telegram. Новое обновление помогло устранить подобный баг.
Еще один интересный факт. Как выяснил специалист компании iOS по информационной безопасности стертую историю чатов можно восстановить, так как Ватсап не до конца удаляет историю. Связано это с тем, что мессенджер использует базу данных (БД) SQLite для хранения переписок. И когда пользователь пытается удалить выбранные сообщения, они не удаляются , а перемещаются в так называемый free list. Т.е. Ватсап в дальнейшем перезаписывает поверх этих сообщений новые. Но особенность в том, что некоторые сообщения могут ждать своей очереди ни один месяц, чтобы до конца исчезнуть.
Более осторожными необходимо быть пользователям iOS. WhatsApp безопасность несет для них дополнительные риски. Если пользователь платформы iOS создает бекап переписок на Ватсап , то БД SQLite сохраняет незашифрованную историю сообщений на серверы Apple. Специалист по информационной безопасности iOS рекомендует периодически удалять Вотсап с устройства с целью обнуления БД, а также по возможности не пользоваться бекапами icloud.
Также известна еще одна уязвимость. Ватсап может сгенерировать новые пары ключей, если пользователь продолжительное время не был онлайн и при этом не предупредить об случившемся участников переписки. Это значит, что если абонент отправит сообщение пользователю, который давно не был онлайн, либо удалил приложение с телефона, то послание может потеряться, т.е. не дойти до конечного получателя.
Но наполовину этот недочет всё же можно исправить.
Так почему же эта опция исправляет ситуацию лишь наполовину? Дело в том, что Ватсап не поддерживает повторную отправку сообщений, но может предупредить отправителя о том , что ключ шифрования обновился.
Пароль на WhatsApp
Иногда приходиться скрывать свои переписки от посторонних глаз. Нижеописанный способ конечно не спасет ваши данные от профессиональных хакеров, но от тех к кому может попасть в руки ваш телефон вполне возможно.
Приложение ChatLock позволяет поставить пароль на любой мессенджер, в том числе и Ватсап.
Теперь после каждой попытки входа в WhatApp система будет спрашивать у пользователя пароль. При неудачной попытки, вход не совершится.
Подведя итоги, нельзя утверждать, что безопасность в Ватсап осуществляется на должном уровне . Как и любой другой мессенджер WatsApp имеет свои недостатки. Но зная, какие именно есть уязвимости в приложении, можно уберечь себя от многих неприятных ситуаций .
