Основатель Telegram Павел Дуров заявил об уязвимости одного из популярных мессенджеров — WhatsApp. По его словам, хакеры могут получить доступ к содержимому телефонов, где он установлен.
Aif.ru узнал у экспертов, можно ли доверять мессенджерам и какие из них наиболее надежные.
«Злоумышленники не смогут перехватить содержимое “по пути”»
Большинство сервисов (WhatsApp, Signal, Viber) применяют сквозное шифрование. Используемый сервер обеспечивает доступ к аккаунту, вложениям, перепискам, выполняет отправку сообщений, но ему неизвестны секретные ключи, то есть недоступны передаваемые данные. «Благодаря такому методу сообщения шифруются на одном устройстве и могут быть расшифрованы только получателем, — говорит Андрей Слободчиков, эксперт по информационной безопасности. — Так злоумышленники не смогут перехватить содержимое “по пути”. Переписка хранится не на облачном сервере, а на личных устройствах. Таким образом обеспечивается максимальная конфиденциальность сообщений».
С точки зрения конфиденциальности Viber надежнее, чем Telegram, так как в нем сквозное шифрование включено по умолчанию. Для стандартных и групповых чатов Telegram использует собственный уникальный протокол MTProto, а для секретных переписок — аналогичное сквозное шифрование. Оно намного безопаснее, чем протокол MTProto.
В протоколе MTProto реализована другая логика хранения ключей шифрования. Если в Telegram не включен режим «Секретный чат», то вся передаваемая информация в зашифрованном виде хранится на серверах Telegram, а ключи шифрования — на других серверах в иной юрисдикции. Так мессенджер обеспечивает удобный доступ к переписке с разных устройств, однако возникает риск, что сообщения и файлы смогут просматривать злоумышленники.
В Viber можно добавить контакт, не передавая информацию о нем на серверы Viber. Мессенджеры вроде WhatsApp и Telegram используют для этого отдельный сервер, который хранит информацию о контакте.
К сожалению, такое шифрование уязвимо к некоторым атакам, например «человек посередине» (Man-In-The-Middle), когда злоумышленник пытается перехватить и подменить открытый ключ, чтобы получить доступ к шифруемым сообщениям. Безопасность сквозного шифрования пропорционально зависит от безопасности устройства, с которого ведется переписка.
По результатам нескольких опросов и исследований награда за безопасность часто вручается сервису Signal, однако, во-первых, он не очень популярен в России, во-вторых, в августе 2022 года произошла утечка порядка двух тысяч номеров и кодов подтверждения из-за взлома данных компании, которая предоставляла услуги приложению Signal.
«Важно понимать, что чаще всего причина утечек — цифровая неграмотность пользователей, а не уязвимость самих мессенджеров, — говорит эксперт. — Разработчики приложений регулярно выпускают патчи, закрывающие слабые места. Нередко люди сами забывают обновлять приложения на своих гаджетах, что увеличивает шанс утечки, делает устройство менее защищенным».
Для безопасного использования мессенджеров пользователям стоит соблюдать ряд правил: не общаться на конфиденциальные темы, не передавать важные рабочие файлы, паспортные данные и так далее. Всю защищаемую информацию лучше направлять через почтовые сервисы, развернутые на сервере в корпоративной сети.
«Если же, например, в общении с клиентами вы все же предпочитаете формат быстрой коммуникации через мессенджеры, обратите внимание на сервисы, поддерживающие шифрование информации и настройку прав доступа к чатам, — советует Слободчиков. — Если такая коммуникация необходима внутри компании, то можно использовать on-premise мессенджеры, серверы которых разворачиваются внутри корпоративной сети и контролируются штатной службой безопасности».
Чтобы обезопасить себя, лишний раз лучше не подключаться к публичным сетям Wi-Fi для отправки сообщений — высок риск, что ваши данные могут оказаться скомпрометированными. Мошенники часто создают фейковые точки доступа или используют незащищенные каналы для перехвата информации в общественных местах. Кроме того, лучше не использовать VPN-сервисы, которые также способны передавать содержимое ваших переписок.
При общении через мессенджеры лучше исходить из парадигмы того, что любое отправленное сообщение может быть доступно неограниченному кругу лиц.
Виноваты сами!
«Если говорить про мессенджеры, то все они уязвимы, — уверен специалист по соцсетям Роял Рахимов. — Нельзя утверждать, что именно WhatsApp может быть опасен для пользователей. Почему Павел Дуров утверждает, что именно он ненадежный? В целом ситуация говорит сама за себя, так как WhatsApp является прямым успешным конкурентом Telegram, и, соответственно, такими высказываниями Павел Дуров, скорее всего, хочет переманить и отставшуюся аудиторию WhatsApp в Telegram. В любом случае я как эксперт по социальным сетям, который довольно долгое время помогает людям с подобными проблемами, могу заявить, что все взломы происходят по ошибке самих же пользователей. Они переходят по непроверенным ссылкам, открывают файлы, которые могут содержать в себе вирус “Троян” и попадают в не самое лучшее положение. “Троян” — это вирус, который при активации ворует личные данные и пересылает злоумышленнику, активация происходит автоматически, при запуске зараженного файла или даже фотографии». Поэтому эксперт все же не советует хранить в мессенджерах конфиденциальную информацию.
От Telegram к Viber
Руководитель перспективных проектов в области информационной безопасности Оксана Ульянинкова приводит статистику. По недавним опросам и данным мобильных операторов, самыми популярными мессенджерами в России по убыванию являются:
- Telegram;
- WhatsApp;
- Viber.
Также россияне используют Signal, Яндекс.чат, Wickr Me, WeChat, Element, Session, мессенджеры от мобильных операторов, корпоративные чаты, мессенджеры социальных сетей.
Если раньше пользователи были согласны с удобством взамен безопасности, то на данный момент процент тех, кто обеспокоен конфиденциальностью своих данных, растет, уверена Ульянинкова. Возможности мессенджеров для удобства общения пользователей расширяются, но и тема безопасности стала актуальна с учетом постоянных сообщений об утечках данных и выявленных уязвимостях, приводящих к возможным хищениям данных, перехвату сообщений и получению доступа к мобильным телефонам.
При оценке эксперт предлагает использовать следующие параметры, которые влияют на безопасность использования мессенджера для обычных пользователей.
Конфиденциальность:
— Данные, которые требуются для регистрации.
Во всех рассматриваемых мессенджерах требуются данные для регистрации, таким образом возможность анонимной регистрации отсутствует у всех.
— Возможность скрыть свои данные от других пользователей: телефон, имя, время последнего визита. На данный момент такая функция присутствует у всех трех мессенджеров.
— Возможность удалить сообщения для всех участников переписки. Эта возможность теперь доступна для всех мессенджеров, но, например, у WhatsApp появилась сравнительно недавно.
— Самоудаляющиеся/исчезающие сообщения. Этот параметр также доступен во всех трех мессенджерах.
— Сбор и использование метаданных. Метаданные — это данные об отправителе, получателе, номер телефона, ip и другие данные. Все три мессенджера не гарантируют приватность, так как собирают и хранят метаданные в незашифрованном виде. Но Telegram собирает меньше данных пользователей — контактная информация, контакты, идентификаторы, тогда как остальные собирают и данные о покупках, контенте, местоположении.
Безопасность:
— Использование шифрования при переписке по-умолчанию/групповые секретные чаты.
В WhatsApp и Viber сквозное шифрование включено по-умолчанию, включая групповые чаты. В Telegram сквозное шифрование возможно подключить только при переписке в секретных чатах. Вообще, умелые настройки позволят увеличить уровень приватности во всех мессенджерах.
— Шифрование видеозвонков. Данный вид коммуникаций шифруется во всех мессенджерах.
— Поддержка двухфакторной аутентификации.
Функции двухфакторной аутентификации нет в Viber.
— Передачи личных данных пользователя государственным органам безопасности. Публичные источники говорят, что все три мессенджера передают данные.
Уже нельзя представить повседневную жизнь без использования мессенджеров, но если изучить вопрос безопасности, ни один из инструментов не гарантирует конфиденциальность пользовательских данных. Поэтому в любом случае следует соблюдать элементарные правила безопасности: не пересылать документы и конфиденциальные данные, не принимать звонки и файлы от незнакомых контактов, а также по максимуму использовать доступные настройки безопасности.
«Отсутствие контроля в корпорациях»
Если корпоративного инструмента для общения в компании нет, то и рабочая коммуникация происходит в WhatsApp или Telegram.
Для сотрудников это привычно, удобно и мобильно. Для бизнеса это риски. Так считает Андрей Врацкий, основатель одной из платформ корпоративных коммуникаций на российском рынке.
«Проблема использования для работы обычных мессенджеров — это даже не то, что их могут прочитать на стороне. Проблема для компаний и корпораций состоит в отсутствии контроля, — уверен эксперт. — Руководство не имеет возможности контролировать, кто с кем переписывается, какие ценные файлы отсылаются на сторону. В отличие от той же рабочей почты, где все необходимые инструменты есть. Это повышает риск утечек, и в открытый доступ могут попасть конфиденциальные документы компании».