Введение
Передача информации посредством мессенджеров давно стала для нас неотъемлемой частью повседневности. Мессенджеры позволяют быстро и легко взаимодействовать друг с другом по самым разным вопросам: работа, обучение, развлечения, личные контакты.
Функции современных мессенджеров давно вышли за рамки привычного обмена сообщениями, фотографиями, видео. Мы можем совершать аудио- и видеозвонки, делать покупки, оплачивать коммунальные услуги, получать справочную информацию, заказывать продукты питания, такси, билеты и многое другое.
Рисунок 1. Топ-6 популярных мессенджеров на январь 2021 г. согласно statista.com (активных пользователей в миллионах)
Развитие облачных технологий также усилило влияние мессенджеров на нашу жизнь: это действительно удобно, когда под рукой важные файлы, переписка, контакты, которыми мы можем поделиться в несколько нажатий на смартфоне, щелчком тачпада или мыши.
Мы настолько к этому всему привыкли, что совершенно не замечаем количества конфиденциальной информации, которое пропускаем через мессенджеры каждый день. На фоне различных скандалов (например, WhatsApp удалит ваш аккаунт, если не будете делиться данными с Facebook) и багов (недавний баг Facebook Messenger для Android позволял шпионить за пользователями), связанных с популярными мессенджерами, а также исследований специалистов (исследователи проверили безопасность Telegram, WhatsApp, Viber) возникает ряд естественных вопросов: насколько один мессенджер безопаснее другого? Зашифрованы ли наши данные в облаке и кто имеет к этим данным доступ? Как вообще оценить безопасность мессенджера?
Мы уже затрагивали данный вопрос и делали обзор безопасности популярных в России мобильных мессенджеров на нашем портале. В этой статье мы постараемся более панорамно оценить приватность мессенджеров, которые позиционируют себя как безопасные (не обязательно самых популярных) по тем или иным ключевым параметрам. В конце отразим преимущества и недостатки в единой таблице.
Начнём с модели риска и угроз.
Как узнать, что кто-то просматривает сообщения в твоем Ватсапе
Как мы уже писали, прослушать Ватсап, вот прям как в кино – невозможно. Но это не означает, что данные не могут перехватываться. Однако откуда же берутся теории о том, могут ли прослушивать WhatsApp? В интернете даже пишут списки способов и признаков прослушки.
Мы тоже составили список чисто теоретически возможных признаков того, что за вами следят.
Скорость разряда батареи или нагрев
В обществе принято считать, если батарея начала быстро разряжаться, то на телефоне стоит какое-то шпионское ПО и непрерывно передает данные. Вполне возможно. Проверьте телефон антивирусной программой и удалите лишнее, почистите кэш. А также проверьте саму батарею.
Возможно, причина не в мифической прослушке, а в том, что современные батареи рассчитаны на определенный срок службы. Как правило, это некоторое количество циклов полной зарядки.
Аккумулятор сильно греется – притянуто за уши, но теория существует, и мы хотим её развенчать. Аккумулятор может греться, как минимум, из-за дюжины причин, среди которых:
- Высокая нагрузка на процессор.
- Проблемы с зарядкой (некачественное зарядное устройство, поломка контроллера заряда, срок службы батареи подходит к концу).
- Вирусная активность.
- И многое другое.
Появление новых приложений
Посторонние программы устанавливаются без вашего ведома – шансы, что неадекватное поведение и появление посторонних программ является следствием прослушки нулевые. Скорее всего, вы решили установить какую-то взломанное программу или игру, и, как следствие, получили на телефон «букет» вирусов. А они уже дальше устанавливает что хотят.
Здесь достаточно почистить телефон от вирусов. А если не помогает, сбросить до заводских настроек. Только перед этим сделайте резервную копию, чтобы восстановить пользовательские файлы.
Странное поведение мессенджера
Включается подсветка, передаются какие-то данные, мессенджер может вылететь – здесь все та же причина, и связана она с вредоносной активностью. Решение одно: почистить телефон от вирусов или сбросить настройки.
Слышны непонятные шумы во время разговора
Сам разговор прослушать невозможно, никакими средствами или шпионским ПО. А шумы, это скорее всего микрофон скоро сломается или на том конце кто-то шумит. Прослушка была реальностью в аналоговых телефонах на проводе, но не в современных, защищенных сквозным шифрованием.
Появление фоновых шумов
Смартфон, с запущенным мессенджером, который поднесли к компьютеру начинает фонить. Возможно, вам стоит поменять аппарат. Китайские подделки никогда не отличались качеством.
Все вышеперечисленные признаки (и многие другие) можно найти на сотнях ресурсов по всему интернету
Интерес к теории заговора подогревают ещё авторы, которые в борьбе за внимание, распространяют эти мифы, под видом достоверной информации
Насколько безопасен Телеграм?
Безопасность данных абонентов Telegram зависит от возможностей мессенджера, бесперебойной работы программы и самих пользователей. Приложение защищает информацию клиентов несколькими способами.
Как работает шифрование
Мессенджер использует два типа шифрования:
- клиент-сервер и сервер-клиент (для облачных пользователей);
- клиент-клиент, то есть минуя сервер (для секретных чатов).
Помогают ли длинные пароли
Если вход в Telegram осуществлялся с другого устройства, то на номер телефона клиента приходил еще один облачный код. Для того чтобы войти в мессенджер, нужно просто иметь доступ к СИМ-карте, указанной при регистрации.
Рекомендуется настроить функцию, позволяющую при входе в свой аккаунт ввести пароль. Установка дополнительного кода доступа находится в «Настройках». Пароль должен содержать не меньше 8 символов. Чем больше его длина, тем он надежней. При входе в свой профиль придется совершить двукратную аутентификацию, то есть ввести облачный код и пароль. Двухступенчатая защита повышает степень надежности сохранности данных.
Взлом серверов
Взломать сервер Телеграма не так просто. Разработчики мессенджера даже несколько раз анонсировали конкурс и предлагали хакерам денежное вознаграждение. Правда, никто так и не получил приз в несколько сотен тысяч долларов за взлом сервера Телеграма.
Перехват файлов
Существуют специальные программы для перехвата отсылаемых пользователем Телеграма файлов. Подобные продукты устанавливаются в компаниях, ведущих деловую переписку с использованием мессенджера. Установка программы для перехвата файлов осуществляется с разрешения руководства. С ее помощью отслеживается переписка сотрудников.
Если кто-то отсылает конфиденциальную информацию конкурентам, программа перехватывает файлы. С помощью подобного алгоритма можно осуществлять несанкционированный перехват данных.
Что лучше Телеграм или Ватсап
На этот вопрос ответить довольно трудно, потому что эти приложения практически идут рядом друг с другом по популярности. У них похожий функционал, но все-таки есть существенные различия. Разберемся более подробно по каждому критерию.
Дизайн
Телеграм представляет собой пространство, которое оформлено в едином приятном голубом цвете. Логотип данного мессенджера довольно запоминающийся: белый бумажный самолетик на голубом фоне. Приход сообщений обозначается одной галочкой, а его получение – двумя. Дизайн самих переписок почти не отличается от Ватсапа, однако доступно гораздо больше интересных гиф-картинок и смайликов.
Ватсап же выполнен в зеленом цвете, но при этом внутри приложения можно поменять цвет оформления. Значок состоит из прозрачной трубки с белым контуром на зеленом фоне. Тоже простое и лаконичное обозначение, однако запоминается труднее. Внутри лента с сообщениями белая, доступны только размещенные там смайлы и гиф-картинки, что не особо удобно. Система так же показывает, когда было отправлено сообщение, а когда получено.
Функционал
У Телеграм очень богатый функционал, среди которого можно выделить:
- использование ботов для рассылок и чатов;
- бесплатная анимация и гиф-картинки;
- можно удалить все файлы из кэша прямо в настройках;
- исправления в переписке доступны в течение 48 часов.
У Вотсап нет таких функций, однако он так же поддерживает аудио и видео звонки, отключение уведомлений при необходимости. Кэш можно очистить лишь в настройках самого устройства.
Безопасность
Телеграм – мессенджер с самым высоким уровнем безопасности. Разработчики изначально создали специальный протокол, который способствует шифрованию всей информации, проходящей через каналы данной сети. Даже на сервере будет невозможно получить сведения о какой-либо переписке. У Ватсап система защиты намного слабее. Сеть использует сквозное шифрование, но это не значит, что переписка будет на 100% защищена от попадания в руки к мошенникам.
Совместимость с другими платформами
Телеграм имеет и другие версии мессенджера, которые могут поддерживаться на любом устройстве. Среди них Веб, Десктоп и Вебограм. Ватсап же очень часто перестает работать на разных операционных системах и даже после переустановки ситуация не меняется. Аналогов у данного мессенджера тоже нет. Соответственно, Телеграм по всем параметрам превосходит Ватсап.
Как работает Телеграмм
Безопасность Телеграмм обеспечивается за счет использования криптографического протокола MTProto Proxy. Мы не будем углубляться в цифры и узкоспециальные термины, а объясним особенности работы протокола более доступно:
- Для подключения вместо стандартной связки “логин+пароль” используется секретный ключ. Он создается в момент регистрации клиента в системе и надежно шифруется.
- Всего используется два вида шифрования: сервер-клиентское, для обмена обычными сообщениями, и сквозное (клиент-клиент) — такое шифрование в Телеграмме активируется, когда пользователь переходит в секретный чат.
- Весь трафик, передаваемый через каналы Телеграмм, выглядит он очень похоже на стандартное TCP/SSL соединение, однако внутри — нераспознаваемая “каша” из зашифрованных данных.
- MTProto Proxy — это узкоспециальный тип прокси. Работать через него может только Телеграмм, а другие приложения не поддерживаются. Кроме того, через MTProto Proxy нельзя передавать обычный интернет-трафик.
Таким образом пользователи мессенджера надежно защищены от спам-атак, воздействия мошеннических схем и других неприятных вещей. Кроме того, отпадает вопрос, прослушивают ли Телеграмм.
В связи с последними действиями Роскомнадзора, Телеграм заблокирован в России. Программисты мессенджера стараются обойти это, чтобы программа работала стабильно на всей территории страны, однако бывает, что соединение не срабатывает и тогда нужно использовать дополнительные прокси, о том, как настроить прокси в Телеграмме читайте в другой нашей статье!
Можно ли перехватить данные и сообщения Ватсап через Wi-Fi-роутер
Роутер является средством передачи данных провайдеру, откуда уже этот поток информации отправляется на сервер и дальше абоненту. В этой цепочке, вполне возможно, может появится третья сторона, некий злоумышленник, который сможет так или иначе перехватить сообщения. А вот можно ли прослушать Ватсап таким способом? Это вряд ли.
Перехваченные данные будут зашифрованными. Чтобы расшифровать их, хакеру понадобится тысяча (плюс-минус) лет. Если бы соцсети, мессенджеры были настолько ненадежными и легко взламываемыми, полтора миллиарда пользователей уже давно бы ушли от них. Владельцам это невыгодно. Поэтому разработчики прикладывают максимум усилий, чтобы обезопасить конфиденциальность и предупредить всевозможные хакерские атаки.
Авторы, жадные до просмотров будут писать всякую чушь и придумывать теории заговора. На это можно смотреть только с улыбкой. Главное понимать, что в многомиллиардной компании работают отличные профессионалы, а сквозное шифрование невозможно взломать за экономически целесообразный период времени. По крайней мере пока.
Как Telegram защищает данные пользователей
Универсальных способов, обеспечивающих полную анонимность и безопасность переписки, в данный момент не существует. В любом приложении есть уязвимые места, однако разработчики стремятся минимизировать потенциальные риски взлома, и сделать общение комфортным и максимально безопасным. Для этого используются различные методы защиты.
Разработчики Telegram Николай и Павел Дуровы создали и внедрили собственный криптографический протокол — MTProto. Особенность данного протокола в том, что он комбинирует несколько алгоритмов шифрования данных.
Основной технологический прием, который используется не только в Telegram, но и других мессенджерах (WhatsApp, Viber) — сквозное шифрование данных. Исходящее сообщение преобразуется в определенную кодовую комбинацию. На смартфоне получателя она затем декодируется. Ключи расшифровки хранятся на устройствах пользователей Telegram, а не на сервере, что позволяет исключить риск потери данных в случае каких–то взломов.
Также в Телеграме реализована возможность создания и ведения секретных чатов. Это переписка с повышенным уровнем безопасности, при котором данные об отправителе или получателе шифруется, и не передается между устройствами пользователей напрямую. В обычных чатах IP-адреса не шифруется, поэтому такую переписку можно назвать менее анонимной и защищенной.
Пользователи могут скрыть свой IP-адрес при совершении интернет-звонков. Это минимизирует вероятность того, что местоположение пользователей будет определено посторонними лицами.
Описанные методы защиты исключают вероятность того, что спецслужбы или хакеры могут читать переписку напрямую или контролировать аккаунт пользователя. Однако существуют обходные пути, которые позволяют получить доступ к секретным данным, даже несмотря на такие внедренные меры безопасности.
Безопасность протокола XMPP
Как видите, сторонним и тем более проприетарным мессенджерам доверять сложно, даже если их рекомендовали Сноуден, Ассанж и EFF. Поэтому некоторые организуют общение через свой мессенджер — с опенсорсом и плагинами. Для простой переписки годится плагин OTR, но он не поддерживает групповые чаты. Есть родственные протоколы mpOTR и GOTR, в которых добавлена эта функция.
Так или иначе, для коллективного общения удобнее использовать открытый протокол XMPP (Extensible Messaging and Presence Protocol), который ранее назывался Jabber. XMPP переводится как «расширяемый протокол обмена сообщениями и информацией о присутствии», это очень емкое название. Открытость означает полную доступность исходных кодов. Вы можете поднять свой сервер XMPP, ни от кого не зависеть и ничего за это не платить. Также есть уйма готовых серверов и клиентов на любой вкус — например, десктопный Pidgin и Xabber для Android.
Расширяемость подразумевает возможность передачи не только текста, но и данных другого типа, а также добавление разных функций и схем шифрования. Например, по XMPP легко передать голосовые сообщения, видео и файлы, при желании зашифровав их средствами TLS или PGP. Не так давно на базе XMPP был создан протокол расширения OMEMO, в котором используется тот же DR от Open Whisper Systems, что и в Signal и WhatsApp, но без прочих недостатков последних.
Серверы Telegram уже взламывали, причём публично
Ещё один Habr-пост – от пользователя Bo0oM, написан в июле 2019 года. Хакер заявил, что взломал сервер Telegram через стандартные уязвимости и искренне удивился, как отвратительно компания относится к безопасности.
Взломщик подчеркнул: в 2019 году весь Telegram использует nginx, а этот конкретный сервер – не самый надежный Apache. Bo0oM отправил некорректный запрос, и сервер слегка приуныл… За описание этого и других найденных в процессе багов получил 2500 долларов от службы безопасности мессенджера.
С одной стороны, в этом случае Bo0oM взломал не весь мессенджер, а лишь конкретный сервер. Но если пойти дальше, можно было бы наворотить гораздо больше – научиться “ронять” серверы, вытаскивать логи падения и т.д.
Устанавливать или нет?
Стоит ли устанавливать?
В России данный мессенджер еще не добился тех же успехов, что за границей. Россияне до сих пор предпочитают Вконтакте и Viber. Однако стоит еще раз обдумать это решение.
Использовать мессенджер можно и в качестве электронной почты, прикрепить к сообщению файл легко.
Поддерживаются файлы объемом до 1,5 Гб. При том, что многие программы переписки не дают отправить больше 10 фотографий за раз.
Синхронизация данных тоже на уровне. Все действия отображаются на всех ваших устройствах, где вы залогинились.
Для общения раскрывать свой номер не обязательно. Создавайте никнейм. По нему будут находить вас другие пользователи.
Небольшое неудобство вызывает только то, что мессенджером пользуются небольшая часть людей в постсоветском пространстве.
Переписываться буквально с каждым по Telegram часто не получается ввиду того, что не с кем.
Как пользоваться
С чего начать и как создать Telegram аккаунт? Рассмотрим основные моменты. Для работы потребуется компьютер, планшет или смартфон с операционной системой Windows Phone, iOS, Android, Win, Mac OS или Linux.
Программу нужно скачать в App Store или Google Play. Не потребуется никакой регистрации, только код, отправляемый на указанный номер мобильного. Контакты автоматически подтягиваются из телефонной книги. Тем, кто еще не в программе, можно отправить приглашение.
Редактирование профиля и настроек займет пару минут. Можно загрузить аватар, имя, выбранный ник и приступать к работе.
Как деанонимизацией в Telegram пользуются силовики?
Как правило, у них есть свои боты, и для них вообще не проблема войти в аккаунт. Сотрудник службы безопасности может пойти в магазин мобильного оператора, предоставить фальшивую доверенность и получить сим-карту с нужным номером. Через него он входит в свой аккаунт (в утечках чаще всего просачиваются пароли).
Массовая деанонимизация мессенджеров началась в 2020 году. Сотрудники службы безопасности связались с предполагаемыми администраторами канала Telegram Cello Case, по которому произошла утечка компрометирующей информации, и изъяли SIM-карту, связанную с аккаунтом. То же самое произошло после фальшивых публикаций на Незыгаре о введении комендантского часа. Данные о директорах впоследствии были опубликованы на других каналах.
Как обезопасить себя от деанонимизации?
Вот несколько советов от правоохранительных органов:
• Иметь как минимум две учетные записи: для тех, кому вы доверяете, и для других
• Используйте двухфакторную аутентификацию. Это означает, что для доступа к своей учетной записи вы должны сначала ввести свое имя пользователя и пароль, а затем написать специальный код по SMS или электронной почте
• Клонируйте необходимые учетные записи на гаджете резервного копирования
Что можно узнать, имея номер телефона?
Благодаря ему вы можете увидеть, в каком еще мессенджере находится этот человек, если номер встречался на других сайтах, например, на Авито. В платных телеграм-ботах вы найдете страницу ВКонтакте, связанную с этим номером телефона и даже с машиной этого человека.
Незаконное прослушивание
К незаконному прослушиванию телефонных переговоров относится любое прослушивание, которое организовано некомпетентными органами. То есть, независимо от того, ревнивый это супруг прослушивает телефон или недоверчивый работодатель, отвечать придется любому.
Так какова ответственность за незаконное прослушивание телефонных переговоров? Чего в этом случае ожидать?
В 137 статье УК РФ о незаконном прослушивании телефонных переговоров говорится о том, что незаконное собрание или использование карается штрафом на двести тысяч или зарплатой за полтора года. Также могут наказывать исправительными работами в течение года или принудительными работами на два года. Еще наказанием может послужить четырехмесячный арест, лишение свободы на два года.
Если же прослушкой занимается лицо с высоким положением без оснований на то и согласия человека, которого прослушивают, то он понесет следующую ответственность за незаконное прослушивание телефонных разговоров:
- штраф от ста до трехсот тысяч рублей;
- штраф в размере зарплаты за период от года до двух лет;
- лишение права занимать некоторые должности от двух и до пяти лет;
- принудительные работы до четырех лет с запретом к занятию должностей;
- арест на полгода;
- лишение свободы на четыре года и запрет на занятия деятельностью или должности на пять лет.
Согласно 138 статье наказание за нарушение тайны телефонных разговоров, переписки и иной личной информации следующие:
- штраф до восьмидесяти тысяч;
- штраф в размере зарплаты за полгода;
- обязательные работы на триста шестьдесят часов;
- исправительные работы на год.
Если то же самое совершил человек, воспользовавшись своим положением, то его могут наказать:
- штраф до трехсот тысяч;
- штраф в размере зарплат за два года;
- лишение права занимать должность или принимать участие в какой-то деятельности;
- обязательные работы на четыреста восемьдесят часов;
- принудительные работы на четыре года;
- арест на четыре месяца;
- лишение свободы на четыре года.
Уязвимости в мессенджерах
Signal — один из немногих мессенджеров, чей протокол проходил внешний аудит (PDF). Отчет о его результатах очень объемный, поэтому процитирую главные выводы в своем переводе.
Нужно осознавать, что анализ протокола передачи сообщений — важный этап аудита, но далеко не единственная составляющая безопасности. Любой мессенджер работает в реальной и очень уязвимой среде. Обычно он запускается на не самой свежей версии Android, параллельно с сотней левых приложений (часть из которых наверняка злоупотребляют разрешениями или даже содержат троянские закладки), а сам аккаунт привязан к номеру мобильного телефона.
Огромная брешь заключается в том, что коды подтверждения приходят в SMS. Их можно перехватить через известную уязвимость в протоколе сотовой связи SS7. Так атакующий получит доступ ко всей переписке, не зная ключей шифрования и даже не пытаясь взломать Signal/Proteus/MTProto/другойсекьюрныйпротокол. Сервер мессенджера сам сменит ключ и услужливо дешифрует последнюю переписку (как минимум, недоставленные сообщения). Даже ваши стикерпаки восстановит. Главное же — удобство, верно?
Еще одна зияющая дыра в модели безопасности — push-уведомления. Без них вы не узнаете, что вам пришло сообщение, пока вручную не запустите мессенджер. С ними вы превращаете сервер push-уведомлений в легализованного «человека посередине». Например, чтобы в iMessage работали уведомления, он отправляет ключи шифрования на серверы Apple. Уже они выполняют аутентификацию пользователей и (как минимум) дешифровку заголовков сообщений. Восстановите учетку Apple на другом устройстве, и вы получите все как было — вплоть до переписки и паролей от Wi-Fi. Почти такая же ситуация с серверами Google и Microsoft. Или вы еще верите в сквозное шифрование с привязкой к номеру мобильного и основному аккаунту на смартфоне?
Проблема небезопасного управления ключами и большой поверхности атаки касается вообще всех мессенджеров. WhatsApp, Viber и многие другие позволяют создавать копии переписки (в том числе облачные) и не шифруют метаданные (а иногда сам факт разговора важнее его содержания). У Signal дела обстоят чуть лучше, но и его я не считаю идеальным мессенджером по целому ряду причин:
- Во-первых, Signal также использует гугловский сервис push-уведомлений. Поэтому на смартфоне без сервисов Google (например, все китайские модели для внутреннего рынка без GApps) он просто не работает.
- Во-вторых, для голосового общения в Signal используется закрытый сервер RedPhone.
- В-третьих, Signal (как и многие другие мессенджеры) позволяет открыть параллельную сессию на другом устройстве, просто отсканировав QR-код.
- В-четвертых, на HITBSecConf2017 рассказали (PDF) про ряд концептуальных проблем Signal и продемонстрировали успешную атаку на него.
Telegram
Что такое Telegram
Telegram — это некоммерческий кросс-платформенный мессенджер, известный своей особенной системой шифрования данных.
Для этих целей используется проприетарная серверная часть с закрытым кодом. Она же была разработана братом известного Павла Дурова, который и занялся созданием безопасного мессенджера.
Первый выпуск приложения произошел в 2013 году. Сначала был рассчитан на iOS пользователей, но со временем появились и другие версии для Android, а также десктопов.
В итоге, за соблюдения всех критериев конфиденциальности данных мессенджер стал набирать обороты.
В феврале 2016 г. было известно, что пользуются Telegram 100 миллионов человек, отправляя ежедневно по 15 миллиардов сообщений.
Кроме защиты данных пользователей мессенджер также разрабатывает другие функции. К примеру, в версии для ПК недавно появилась возможность совершать звонки.
Безопасность мессенджера Telegram
С Telegram все покрыто завесой тайны. О протоколе MTProto 2.0 есть только частичные сведения. Его внешний аудит не выполнялся, а опенсорсная модель Telegram используется в сильно искаженном виде и исключительно с маркетинговыми целями. Ниже я поясню, почему так считаю.
Судя по официальному описанию, все недоставленные сообщения временно (мы надеемся) хранятся на серверах Telegram, которые часто разбросаны по миру и объединены в виртуальное облако. Они синхронизируются между собой, чтобы упорядочить и доставить сообщения одному или нескольким (в случае группового чата) собеседникам в определенном порядке, как только они появятся в сети. Поэтому шифрование делится на два этапа: на участках клиент — сервер и сервер — сервер. Это обычная схема, но в ней странно то, что прямое соединение клиентов не используется вообще никогда.
В Telegram трафик передается через серверы даже при открытии секретного чата, для которого логичнее было бы сделать P2P-соединение. Напрашивается вывод, что без постоянного использования серверов Telegram связь в этом мессенджере вообще не работает. Другие мессенджеры могут использовать свои серверы только на начальном этапе — для сопоставления текущих IP-адресов собеседников и организации между ними прямого соединения. Telegram так не умеет, и это чертовски похоже на MITM by design.
Почему-то все рассуждения о стойкости MTProto 2.0 крутятся вокруг того, что алгоритм DH надежно защищает от перехвата. Это не так. Алгоритм Диффи — Хеллмана как раз уязвим для атаки MITM. Более того, в случае Telegram он, вероятно, дополнительно ослаблен на уровне ГПСЧ.
Проблема в том, что клиентское приложение Telegram руководствуется очень невнятной оценкой энтропии. Вместо того чтобы локально генерировать псевдослучайные числа и отсеивать качественные простые, клиент запрашивает их с сервера. Что за ГПСЧ используется на сервере, насколько удачные простые числа он генерирует и нет ли на сервере механизмов избирательной отправки простых чисел с определенными свойствами отдельным клиентам — вопросы без ответа. Клиентское приложение лишь выполняет проверку присланного случайного числа, причем упрощенную, поскольку на тщательный тест prime numbers за разумное время у смартфона банально не хватит вычислительных ресурсов.
Другой частый аргумент в пользу безопасности Telegram — открытые исходники. Однако в них нет исходного кода серверной части, а код клиентской обычно неактуален. Репозитории Telegram обновляются с большой задержкой (разве что урезанная веб-версия более-менее живая), и в них всегда лежат только старые версии. Нет даже возможности проверить, действительно ли из исходников компилируется то, что сейчас раздается как готовый дистрибутив.
Поэтому говорить про аудит мессенджера фактически бессмысленно. Пока специалисты несколько месяцев копаются в старом коде, выйдет десяток новых версий Telegram, где будут переписаны огромные куски кода. Чтобы сделать уязвимой всю систему шифрования, достаточно замены одного байта — например, одного условного перехода.
Хакатоны, которые устраивает Дуров, не заменят аудит, поскольку ничего не доказывают. В их заданиях создается искусственная ситуация, в которой у атакующей стороны есть только одно зашифрованное сообщение. В реальной жизни таких ограничений нет и для атаки на мессенджер есть множество других векторов.
Почему к WhatsApp появились вопросы о прослушивании
В начале 2021 года пользователи Ватсапа на оперативных системах Android и iOS стали массово получать уведомления об обновлении приложения. Одна из основных причин, по которой начались волнения: в тексте нового соглашения о сотрудничестве с мессенджером значилась графа «принять новую политику конфиденциальности или удалить аккаунт».
8 февраля 2021 года эти нововведения должны были вступить в силу, но были перенесены. Один из пунктов новой политики конфиденциальности гласит о том, что все данные о пользователе будут переданы в Faebook. Что обещает WhatsApp пользователям:
- Больше обязательств со стороны разработчиков мессенджера;
- Хранение переписок для бизнес-аккаунтов;
- Улучшение качества связи.
При этом, представители WhatsApp утверждают, что серьезно относятся к безопасности данных своих пользователей, и гарантируют неприкосновенность данных.
Что хорошего в Signal?
Все интересное начинается уже с кода приложения. Signal использует разработку с открытым исходным кодом, поэтому любой человек, обладающий познаниями в программировании, может погрузиться в программу и посмотреть, как она работает, чтобы убедиться, что внутри нет никаких секретов или ловушек, скрывающихся для использования вашей личной информации.
Приложение также работает на Android, iOS и настольных компьютерах, поэтому оно совместимо с подавляющим большинством популярных устройств по всему миру. Это не то, с чем может конкурировать такое приложение, как iMessage от Apple.
Вывод: безопасен и надежен
Как особо безопасная альтернатива другим мессенджерам Telegram не может гордиться отсутствием стандартного сквозного шифрования. Для удобства облачных чатов, к которым можно получить доступ из любого места, пользователи должны принять на себя риск того, что вся их переписка, включая файлы, будет храниться на международных распределенных серверах – это создает возможность для злоупотреблений и как со стороны команды Telegram, так и извне. По сути, пользователи должны взвесить, доверяют ли они обещаниям компании защитить данные, которые не зашифрованы. Например, в Signal более высокий уровень безопасности, и альтернативой могут быть сервисы, размещенные на собственном хостинге. Однако, особенно в случае последних, массовая пригодность, которую приносят с собой установленные сервисы обмена сообщениями, вероятно, будет сильно ограничена. Функция групповых чатов с количеством участников до 200 000 и каналов дает возможность обмениваться идеями с множеством людей с одинаковыми интересами. В Telegram не только оппозиционеры могут обмениваться идеями на платформе, но также, например, и экстремистские группы. Конечно, Telegram – это контактный пункт для преступных и террористических группировок, которые чувствуют себя там спокойно. В сочетании с непрозрачной структурой компании это проливает довольно сомнительный свет на Telegram – например, структурный аспект используется компанией очень сознательно. В целом, когда дело доходит до сервисов обмена сообщениями, стоит внимательно взвесить удобства, безопасность и собственные убеждения.