Безопасность
Это один из главных запросов аудитории, особенно если учитывать тот факт, что пользователи доверяют приложениям деловые и интимные подробности своей личной жизни. Именно поэтому нахождение любой уязвимости воспринимается обществом весьма остро.
Основным инструментом защиты в мессенджерах прямо сейчас является технология сквозного шифрования. То есть, сообщения шифруются на устройстве отправителя и расшифровываются только на гаджете получателя. Данные о переписке недоступны разработчикам или третьим лицам.
Почти все современные мессенджеры декларируют ее использование, но, как обстоит дело на практике, никому неизвестно, заявил основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян.
По его словам, почти никто не публикует исходный код, и даже в случае с Signal, имеющем репозиторий на GitHub, нельзя быть до конца уверенным в том, что приложения собираются именно из него без изменений и бекдоров.
Кроме сквозного шифрования, которое уже стало стандартом, эксперты призывают учитывать и другие особенности мессенджеров. Заместитель руководителя департамента аудита и консалтинга Group-IB Павел Супрунюк рассказал, что пользователям надо обращать внимание на наличие возможности анонимной регистрации без выгрузок адресной книги телефона, возможность каким-то способом проверить подлинность собеседника, отношение мессенджера к данным, которые он оставляет на устройстве, а также открыты ли спецификации и исходные коды приложения.
Руководитель отдела web-разработки TravelLine Сергей Калинин также посоветовал брать в расчет территориальную принадлежность серверов мессенджера и то, как давно он набрал популярность в конкретной стране.
Что о нас знают мессенджеры
Принято считать, что при сквозном шифровании владельцам мессенджеров недоступно содержание сообщений, но остается известен факт отправки, время и дата, а также объем переданных данных.
Ашот Оганесян отметил, что на уровне заявлений разработчиков большая их часть не имеют доступа к содержимому сообщений при сквозном шифровании. Эта функция, например, есть у WhatsApp и Facebook Messenger, но она по умолчанию выключена. При этом остальные данные, такие как ID устройств и IP-адрес им доступны. Вдобавок проприетарные мессенджеры мобильных операционных систем, такие как iMessage, имеют доступ к местоположению пользователя.
Если приложение для обмена сообщениями не использует сквозное шифрование (end-to-end encryption, E2EE), то разработчикам технически может быть доступна любая информация, которую пользователь доверил мессенджеру, кроме паролей, потому что они обычно не хранятся в открытом виде, пояснил Павел Супрунюк.
Он добавил, что если сквозное шифрование есть, то самыми типичными метаданными, к которым приложение получает доступ, являются адресные книги, то есть номера телефонов и имена, которые есть в контактах у пользователя.
Самый безопасный мессенджер
Пока что эксперты не могут прийти к единому мнению, какой мессенджер мог бы стать самым безопасным в мире. Разные аналитики формируют рейтинги по-своему.
Так, если верить исследованию компании Artezio, наиболее безопасными являются Signal, Wickr Me и Viber. На четвертом месте расположился Telegram. При этом эксперты высоко оценили Signal за качество протоколов шифрования, наличие двухфакторной идентификации, а также неготовность к раскрытию персональных данных юзеров.
А вот специалист Google Project Zero Натали Сильванович в ходе исследования аудио- и видеосвязи обнаружила ряд уязвимостей в популярных мессенджерах. Например, в коде Signal была допущена логическая ошибка, которая могла привести к ответу на входящий вызов, даже если человек не поднимал трубку. Также не прошли тест Google Duo и Facebook Messenger. Однако после обращения Сильванович все разработчики устранили выявленные ошибки. Проблем с видеозвонками не было обнаружено в Telegram и Viber.
Компания Group-IB предложила свой рейтинг самых безопасных мессенджеров. Она рассмотрела Signal, Telegram и Wickr Me на соответствие трем критериям: архитектура, функциональность и открытость сообществу. Так, Signal и Telegram, в отличие от Wickr Me, имеют открытый исходный код, а это позволяет программистам принимать участие в работе над ошибками. Однако оба мессенджера показали свои недостатки при хранении чувствительной информации в локальном хранилище. Поэтому первое место занял Wickr Me, второе — Telegram, а третье — Signal.
Среди пользователей наиболее защищенным считается Signal, рассказал Ашот Оганесян. Но с учетом его инкорпорации в Соединенных Штатах, нет уверенности в том, что он не станет расшифровывать трафик по требованию американских властей.
Ранее управляющий компании в сфере ИТ и права RTM Group Евгений Царев предупредил россиян о невозможности удаления переписки из мессенджеров, а также о том, что пересылаемые данные могут стать уликой. По его словам, переписка может являться основой состава административного или уголовного дела.
