Блог

Почему не стоит доверять свои разговоры Telegram и WhatsApp

Даже при условии сквозного шифрования Большой Брат все равно следит за вашим телефоном, и имя ему – метаданные!

Сегодня утром я посоветовал своим друзьям и семье прекратить использовать WhatsApp и Telegram, а также отправил им приглашение зарегистрироваться в другом мессенджере Signal.

И вот почему.

Протоколы шифрования: Signal против MTProto в Telegram

Возможно, вы и не знаете, что уже используете протокол мессенджера Signal вместе с еще целым миллиардом человек на планете.

Данный протокол используется в таких мессенджерах как WhatsApp, Facebook, Google Allo и, само-собой – Signal.

Но что он из себя представляет?

Это несетеризованный криптографический протокол, которые обеспечивает сквозное шифрование для пересылки мгновенных сообщений. (Википедия).

Сквозное шифрование гарантирует, что ваше сообщение зашифровывается отправителем и дешифруется только конечным получателем.

Именно это использовали несколько месяцев назад в WhatsApp'е, рассылая вот такие сообщения своим пользователям:



Данный протокол был разработан Open Whisper System, некоммерческой организацией, основанной в 2013 году бывшим руководителем отдела безопасности Твиттера – Мокси Мэрлинспайком. Но еще в 2011 году известная платформа, позволяющая постить сообщения длиной не более 140 символов приобрела первую компанию Мэрлинспайка по разработке безопасного мессенджера – Whisper System.

Open Whisper System сосредоточила свои силы на разработке протокола Signal и поддержке одноименного мессенджера. Некоммерческая организация финансируется различными пожертвованиями и грантами.

В октябре 2016 года протокол Signal был проанализирован международной группой экспертов по безопасности и получил блестящие рецензии.

Прочитав все вышесказанное, вы, скорее всего, с облегчением вздохнете, поскольку указанный протокол используется во многих популярных мессенджерах – WhatsApp, Facebook Messenger и Google Allo.

И будете не правы.

Все дело в том, что мессенджеры от Фейсбука и Гугла не используют по умолчанию сквозное шифрование. Пользователям Фейсбука приходится включать в приложении – «Секретные беседы», а в приложении Гугла – «Режим Инкогнито».

Телеграмм, которым пользуются более 100 миллионов человек, был создан основателем социальной сети Вконтакте – Павлом Дуровым, использует собственный протокол шифрования: MTProto. В свое время данный протокол вызвал много споров по поводу своей эффективности. Затем, в 2015 году эксперт по безопасности опубликовал результаты исследования, в котором подробно рассматривались слабые места данного протокола. В заключении эксперт пришел к выводу, что Телеграмму не стоило пытаться разрабатывать свой собственный протокол шифрования. Итак, мы приходим к выводу, что только два приложения WhatsApp и Signal используют по умолчанию протокол Signal для всех отправляемых сообщений.

Возникает резонный вопрос – не проще ли в таком случае пользоваться WhatsApp'ом?

Ответ кроется в метаданных, собираемых WhatsApp'ом.

Сбор данных и метаданные

Метаданные и сбор данных часто оказывались предметом споров, стороны которых выдвигали требования подобные следующим:

Мы не можем прослушать или прочитать пересылаемые вами сообщения из-за сквозного шифрования, мы можем только собирать метаданные.

Сам термин – метаданные – является довольно размытым понятием. Для вашего удобства – ниже попытаемся «на пальцах» объяснить, что означает этот термин:

Если же вам до сих пор не вполне ясно, что же такое метаданные – советую прочитать статью Курта Опзаля, опубликованную в EFF. Он приводит примеры того, какой информацией обладают компании или правительства стран, просто собирая метаданные.

Так, им известно, что вы звонили в службу «Секс по телефону» в 2:24 и разговаривали 18 минут. Но, они не знают, о чем именно вы говорили.

Они знают, что вы звонили на горячую линию предотвращения самоубийств с моста Golden Gate. Но тема разговора все, же остается тайной для них.

Они знают, что вы разговаривали со службой тестирования на ВИЧ, затем со своим врачом, а после со своей страховой компанией – и все это в течение одного часа. Но они не знают, о чем вы говорили.

Теперь, когда вы представляете, что такое метаданные позвольте повторить – использование сквозного шифрования не мешает мессенджерам собирать метаданные.

Давайте посмотрим, что же собирают разные мессенджеры.

WhatsApp

Согласно FAQ данного мессенджера, приложение получает доступ ко всем телефонным номерам в вашей адресной книге, и это позволяет собрать огромное количество информации о вас.

Что интересно, WhatsApp не хранит ваши сообщения на своих серверах. Вместо этого, ваши сообщения хранятся в вашем телефоне – и конечно же, на тех серверах, где хранятся бекапы информации с него. Например, если вы пользуетесь Айфоном, все ваши сообщения из WhatsApp'а будут храниться на серверах iCloud (если вы используете его в качестве облачного хранилища для своего телефона).

Что касается информации, которую собирает это приложение о том когда, где и с кем вы общаетесь, то здесь все намного более расплывчато. Вот что заявляет сама компания:

Использование и запись информации

Мы собираем информацию, которая имеет отношение к предоставляемой услуге, диагностическую, а также информации о работе приложения. К этому относится информация о вашей активности (например, то, как вы пользуетесь нашей службой, как вы взаимодействуете с другими пользователями, зарегистрированными в этой же службе и т.п.), файлы с логами, отчеты о диагностике, падениях, работе приложения, а также информация о работе с веб-сайтом приложения.

WhatsApp также собирает информацию о вашем устройстве в момент, когда вы устанавливаете приложение и получаете доступ к нему или же пользуетесь соответствующей службой. Здесь подразумеваются такая информация как: модель телефона, операционная система, информация из браузреа, IP адрес и мобильная сеть, включая ваш номер телефона.

Если же они не смогут получить эту информацию с вашего телефона, то они добудут ее у тех, кто пишет вам, ведь у приложения есть еще и доступ к данным об активности ваших друзей.

Кроме незашифрованных бэкапов, EFF выделила и другие моменты в уведомлениях об изменении ключа шифрования – это онлайн-версия WhatsApp, и обмен данными с Фейсбуком, который, кстати, выкупил WhatsApp в 2014 году.

И раз уж зашла речь о Фейсбуке, то…

Мессенджер от Фейсбука

Согласно обзору MIT Technology:

Фейсбук собирает наиболее объемный набор данных, которые когда-либо собирались на основе социального поведения человека.

Думаю, мне не нужно расписывать, что именно собирает Фейсбук о вас. Ведь он ваш друг, поэтому ребята из компании, практически «на пальцах» объяснили вам насколько же близкие вы с Фейсбуком друзья.

Подробности здесь.

Google Allo

Многие специалисты по безопасности очень критично относятся в данному мессенджеру.

И дело не в том, что они могут прочитать любое ваше сообщение. Они еще и хранят все ваши беседы.

Это элементарно.

Telegram

Телеграм – хитрая штука, поскольку, как я уже упоминал, их протокол шифрования раскрывает некоторые недостатки с теоретической точки зрения. Но, давайте отвлечемся и посмотрим, что же в реальности Телеграмм знает о вас.

Сообщения, фото, видео и документы – шифруются и хранятся на серверах Телеграмма (за исключением сообщений из Секретных чатов, которые там не хранятся). По примеру WhatsApp'а и Фейсбука, Телеграмм имеет доступ к вашей адресной книге и хранит список ваших контактов на своем сервере. Используя именно эту технологию, они могут присылать вам уведомления, когда кто-то из вашей адресной книги регистрируется в Телеграмме.

Здорово, правда?

Signal

Единственная информация, которую хранит Signal – это номер вашего телефона, который вы использовали при регистрации и дату, когда вы последний раз заходили на их сервер.

Все.

Они даже не записывают час, минуту и секунду вашего последнего посещения. Только день.

Если вам хочется повредничать, в Signal’е есть, специально для вас, исчезающие сообщения.

А еще Signal – бесплатен. Действительно бесплатный. Я имею ввиду то, что разработчики не пытаются поймать ваш взгляд на рекламе какого-нибудь продукта, как это делают Фейсбук и Гугл.

Если хотите, то можете добровольно пожертвовать любую сумму разработчика приложения.

Кстати, исходный код данного продукта – также бесплатный и открытый. Можете проверить – он есть в свободном доступе на GitHub'е.

Почему следует заботиться о конфедициальности в сети?

После прочтения статьи вы можете сказать, что-то вроде: «Кому какое дело? Мне нечего скрывать!»

Так вот, если вы считаете, что конфедициальность не так уж и важно, советую вам:

· Посмотреть интервью с Гленом Гринвальдом о вопросах конфедициальности.

· Прочесть статью Квинси Ларсона о том, как спрятать свою жизнь от чужих глаз меньше чем за один час.

· И еще немного информации о том, что шифрование является правом человека, опубликованной в EFF Амулом Калиа.

Credits: Romain Aubert, Alex "Khaki" Vance

Релокация в Кабо Верде
Периодическая таблица факторов ранжирования.
Сейчас 2017-й. И вы делаете SEO неправильно.
Почему предложения агрегаторов больше не столь прибыльны для туристов?