Насколько безопасны голосовые звонки в Viber, FaceTime и WhatsApp. Как работает шифрование в мессенджере WhatsApp и почему важно сверять коды безопасности Безопасен ли ватсап
Ватсап представляет собой кроссплатформенное приложение, используемое миллионами пользователей. Многие абоненты беспокоятся о безопасности и защите своих личных данных при работе в мессенджере. Разработчики обращают внимание на то, что в WhatsApp безопасность на достаточно высоком уровне.
Защищенность мессенджера
Первое, на что следует обратить внимание, это на условия предоставления услуг в Ватсап. Разработчики прописали такие пункты, как защита личных данных, запрет на оскорбления и угрозы при переписке.
Немаловажными являются инструменты, предлагаемые для обеспечения безопасности. К примеру, здесь можно установить параметры, ограничивающие доступ к профилю пользователя (его статусу, фото, времени последнего посещения приложения).
Абонентам мессенджера дается возможность изменить настройки уведомления, отключив оповещения о прочтении отправленных другому контакту сообщений.
Шифрование
В WhatsApp шифрование позволяет обеспечить конфиденциальность переписки. В начале своей истории разработчики использовали канал XMPP. Сообщения передавались по незащищенному пути, и их легко можно было отследить. В 2012 году разработчики постарались исправить ситуацию. Тогда переписка стала достаточно защищенная и ее постарались максимально скрыть от посторонних.
Однако, в конце этого же года была найдена еще одна уязвимость в приложении. Через нее можно было взломать переписку любого пользователя и прочитать ее. Разработчики быстро справились с проблемой и выпустили новую версию мессенджера, в которой защите отводилось особое значение.
Время от времени в сети появляются сообщения блоггеров об уязвимости Ватсап . К примеру, один голландский студент отметил, что может прочитать даже зашифрованные сообщения в мессенджере. Связано это с самим процессом шифрования, в котором используется одна и та же фраза. Но проблема безопасности возникает, в основном, при использовании публичных точек беспроводного доступа к сети.
Несмотря на подобные сообщения, сами разработчики заявляют о том, что безопасность приложения увеличивается с каждой новой версией. Конфиденциальность переписки гарантируется еще и тем фактом, что сообщения хранятся на устройствах пользователей, а не на серверах. Поэтому доступ к истории чата имеют только отправители и получатели.
Четыре совета, которым необходимо следовать всем, кто опасается утечки личных данных.
Но прежде чем вы начали распространять через WhatsApp свои планы по свержению мирового капитализма, учтите, что перехват сообщений по время их передачи – всего лишь один из способов следить за вами, причем довольно маловероятный. От шифровки самой по себе не много толку, если вы также не следуете приведенным ниже правилам.
Вы не сохраняете сообщения в телефоне
Если вы действительно хотите, чтобы ваши сообщения никто кроме вас не прочитал, удаляйте их сразу после прочтения. Если кто-то завладеет вашим телефоном (украдет, например) и сможет разблокировать его – что совсем недавно удалось ФБР с iPhone стрелка из Сан-Бернардино – он получит доступ ко всему, что хранится в памяти. Некоторые мессенджеры, например , имеют функцию «самоуничтожения», при активации которой сообщения автоматически удаляются через заданный промежуток времени. В WhatsApp такой функции пока нет. (С другой стороны, в Telegram оконечное шифрование не работает по умолчанию, нужно его включать специально.)
Вы не сохраняете сообщения в облако
WhatsApp не сохраняет вашу переписку на своих серверах. Но, к примеру, на можно сохранять резервную копию сообщений на iCloud, облачном сервисе . Как только информация попадает на облако, ее может перехватить правительство.
Signal – это приложение, популярное среди сторонников неприкосновенности личной переписки. В нем используется та же технология шифрования, что и в WhatsApp, а резервного копирования в облако не происходит.
Way to go WhatsApp, but I"m not ready to give up Signal. I fear that many of my WhatsApp friends have enabled unencrypted cloud backups.
Christopher Soghoian (@csoghoian) 5 апреля 2016 г.
Отличная работа, WhatsApp, но я пока не готов отказаться от Signal. Подозреваю, что у многих моих друзей в WhatsApp включена копирование в облако.
Кристофер Согойан (@csoghoian)
И, надеемся, не стоит говорить отдельно, что съемка скриншота с сообщениями, которые вы удалили, тоже подвергает вас риску, если включено резервное копирование фотографий или вы потеряете телефон.
Никто не смотрит на ваш экран
Если кто-то может увидеть экран вашего телефона с перепиской, то шифровать его бессмысленно. К тому же, учитывая быстрое распространение телефонов с мощными камерами, единственный способ полностью от этого обезопаситься – уйти со всех возможных линий обзора и исключить нахождение рядом любых отражающих поверхностей , включая очки и, возможно, даже сами глаза. Так что, пожалуй, лучше всего вести переписку в комнате без окон, прижавшись спиной к стене.
Начавшийся с текстовых сообщений тренд на безопасные коммуникации затронул и «голос». В 2016 году о применении end-to-end-шифрования в голосовых вызовах объявили WhatsApp, Viber и ICQ. Для обеспечения защищенных звонков в 2014 году был запущен мессенджер Signal. Также два года назад о наличии шифрования в сервисе FaceTime заявляли и в .
Одно из некогда популярных решений в этой области — Skype — ввел защиту «голоса» еще в конце нулевых, что огорчило западные спецслужбы.
Тем не менее, как отмечает в разговоре с «Газетой.Ru» редактор MForum Analytics, эксперт в области телекоммуникаций , переход абонентов на IP-телефонию и видеосвязь вызван прежде всего удобством использования и ценой. Фактически клиенту того или иного оператора необходимо заплатить только за пакет интернет-трафика, который все чаще является безлимитным.
Спикер допускает, что для некоторого процента пользователей важна именно приватность, но, безусловно, не для большинства. Такое же мнение высказал в беседе с «Газетой.Ru» и генеральный директор информационно-аналитического агентства TelecomDaily . По его мнению,
число абонентов, переходящих на сервисные решения из-за заботы о конфиденциальности, не превышает 10%.
В целом эксперты на рынке сходятся в том, что интернет-сервисы действительно дают более высокий уровень конфиденциальности разговоров, нежели обычная мобильная связь.
Напомним, что операторы, согласно российскому законодательству, обязаны установить на свои сети СОРМ-1, позволяющую правоохранительным органам получить доступ к любому разговору. В 2014 году власти обеспокоились данными, которые передаются в сети, обязав провайдеров установить так называемую СОРМ-3. Благодаря системе разговор, представляющий собой информацию в цифровом формате, остается у оператора. Однако из-за кодирования разобраться в этом пакете данных, как и что именно говорил пользователь, а в какой момент он смотрел картинки с котиками, для правоохранителей остается тяжелоосуществимой задачей.
«В то же время не стоит переоценивать защищенность международных мессенджеров, она не равна 100%, а от некоторых сервисов у спецслужб различных стран, вероятно, есть пресловутые «ключи», — предупреждает Бойко.
Раздражающая приватность
Основатель «Общества защиты интернета» Леонид рассказал «Газете.Ru», что не сталкивался с конкретными случаями прослушек голосовых вызовов в Skype, Viber или WhatsApp.
По его словам, люди, уделяющие приватности повышенное внимание, предпочитают FaceTime. Но он затруднился ответить, чем именно обусловлен такой выбор: вкусовыми предпочтениями или же действительно мощной защитой самого сервиса.
президент Турции Реджеп Тайип Эрдоган в эфире CNN через FaceTime
Также Волков сообщил, что теоретически мессенджеры с поддержкой звонков нельзя считать полностью безопасными, но от теоретической уязвимости до практических перехватов лежит огромный путь.
«В первую очередь потому, что есть куда более простые пути получения информации: подсадить трояна, который будет снимать «голос» на устройстве», — поясняет IT-специалист.
Собеседник издания полагает, что такой способ в несколько раз эффективнее и дешевле. Об установке зловредного ПО на пользовательское устройство предупредил в разговоре с «Газетой.Ru» и эксперт компании ESET Russia .
При этом, по его мнению, данные, передаваемые через интернет, проще перехватывать, нежели в сетях операторов.
«Там есть много возможных точек подключения: в локальной сети, через общедоступный Wi-Fi, у провайдеров и т.п. Для этого не нужно дорогостоящее оборудование — достаточно обычного компьютера или планшета с хакерским софтом», — отметил спикер.
Но если используется стойкое шифрование, то, даже перехватив трафик, злоумышленник не сможет его «прослушать», продолжает Железняков.
Невозможность добраться спецслужбам до содержания вызовов, организованных с помощью интернет-соединения, может являться раздражителем для властей. Кусков назвал отсутствие СОРМ в коммуникационных сервисах проблемой с точки зрения государства.
Аналитик прогнозирует, что в дальнейшем будут идти «бои» между законодателями совместно с и владельцами мессенджеров для налаживания «сотрудничества».
Спикер не уверен, можно ли считать попыткой подчинить спецслужбам Skype, Viber и WhatsApp принятие «пакета Яровой», так как по-прежнему непонятно, каким образом будет работать закон и какие сведения по нему нужны . Само ведомство на прошлой неделе заявило, что в рамках документа нет необходимости в обязательной сертификации средств шифрования в интернете.
Волков и вовсе назвал «пакет Яровой» бредом. «По нему будет писаться и храниться еще больше трафика, и, следовательно, будет еще сложнее найти в нем что-то ценное», — добавил эксперт.
Труднопредсказуемое будущее
Колоссальный рост популярности приложений с поддержкой голосовых вызовов во всем мире обусловлен, как и в прочих случаях с инновационными продуктами, развитием гаджетов и высокоскоростного мобильного интернета (3G и LTE).
После перехода российских операторов на пакетную модель предоставления своих классических услуг экономия от звонков через Skype или Viber стала сходить на нет. Но благодаря повсеместному распространению смартфонов и Wi-Fi-подключения остались комфортное использование приложений и возможность без лишних сложностей позвонить при поездке в другие страны.
Одним из последних трендов на рынке стало активное распространение видеоконтента. Явление не обошло стороной и сегмент коммуникационных интернет-сервисов. Так, по данным ICQ, почти 59% звонящих пользователей общаются по видеосвязи.
Бойко и Кусков считают, что в России трудно предсказывать будущее не только «голосовых» сервисов, но и любых других телеком-продуктов.
«У нас слишком высока вероятность политических решений, которые могут влиять на данный рынок», — предсказывает аналитик MForum.
Но спикер успокаивает: если не возникнет форс-мажоров, то можно не сомневаться в дальнейшем росте популярности различных международных мессенджеров в силу их глобальности и удобства реализации.
В перспективе ближайшего года власти могут разработать поправки к закону «О связи», которые будут регулировать деятельность интернет-сервисов. В частности, о такой возможности ранее заявлял руководитель .
В подготовке юридических норм, которые коснутся работы голосовых вызовов в сети, могут быть заинтересованы и телеком-корпорации.
«У операторов связи России мало рычагов, которые бы позволили им удержать абонентов голосовых услуг и SMS. Если они не задействуют свое лобби, чтобы добиться от регуляторов рынка прямых запретов на действия конкурентов, то у них мало шансов», — заявил Бойко.
В то же время у компаний есть возможность работать в рамках сотрудничества с сервисами, получая от них долю в доходах в обмен на настройки сети, добавил эксперт.
Манипуляции с пропускной мощностью канала и скоростью передачи данных могут, наоборот, стать попыткой шантажа со стороны операторов, полагает Кусков. Но одна компания, по мнению аналитика, не сможет изменить ситуацию, а в случае сговора операторов подключится .
Более одного миллиарда человек хотя бы раз в месяц обмениваются сообщениями с друзьями, родственниками и коллегами с помощью WhatsApp. Проблема: около 42 миллиардов сообщений, ежедневно проходящих через серверы WhatsApp, до сих пор мог прочитать любой, обладающий соответствующими ресурсами и необходимыми знаниями, в том числе спецслужбы и хакеры. Теперь WhatsApp, благодаря общему для системы принципу сквозного шифрования, осложнит им жизнь.
Многие пользователи, однако, сомневаются, что этот мессенджер, принадлежащий компании Facebook, сможет выполнить то, что обещает, то есть предоставить защищенное соединение, которым действительно может управлять каждый. Мы внимательно рассмотрели ситуацию и расскажем вам, насколько в реальности надежен WhatsApp.
Протокол шифрования Signal
Проверка шифрования.Чтобы узнать, шифруются ли ваши сообщения, выберите в настройках приложения пункт «Аккаунт | Безопасность».
Для шифрования сообщений WhatsApp использует протокол Signal с открытым исходным кодом (ранее протокол носил имя Axolotl), в разработке которого участвовал Мокси Марлинспайк - специалист в области кибербезопасности. Марлинспайк, обладающий великолепной репутацией в кругах IT-безопасности, является основателем организации-разработчика программного обеспечения Open Whisper Systems, которая, в частности, выпустила крипто-мессенджер Signal.
С технической точки зрения у протокола Signal речь идет об асимметричном методе шифрования с использованием открытых ключей. Пары ключей, необходимые для шифрования/дешифрования, генерируются на смартфоне уже при установке клиента WhatsApp. Когда пользователь входит в систему WhatsApp, публичные ключи сохраняются на серверах этого мессенджера. Согласно положениям технической документации, серверы WhatsApp не обладают доступом к частным ключам, поэтому они локально хранятся на смартфоне. Это означает, что пользователь не должен ни вводить ключ, ни держать его в голове: сам смартфон как бы становится ключом. WhatsApp шифрует все содержание, от простого текста до голосового сообщения. Это же положение имеет силу и для звонков с использованием сервиса. Перед обменом первыми сообщениями клиенты смартфонов собеседников путем обмена публичными ключами согласовывают общий корневой ключ и серийный ключ.
Затем на базе последнего для каждого сообщения создается собственный кратковременный ключ. Поскольку все ключи постоянно обновляются, как при использовании метода «совершенной прямой секретности» (Perfect Forward Secrecy), злоумышленник, знающий отдельные ключи, не может расшифровать ни будущие, ни предыдущие сообщения.
Дополнительный контроль.Сведения о том, зашифрован ли чат, также находятся в контекстном меню чата, в пункте «Посмотреть контакт».
Так как до последнего времени отсутствовали сообщения об уязвимостях в протоколе Signal (мнимый взлом WhatsApp разработчиком антивируса Джоном Макафи был впоследствии представлен как пиар-ход), данное шифрование можно считать надежным. Однако это действует только до тех пор, пока связь осуществляется между двумя смартфонами. Уязвимое место все же существует - это веб-клиент и клиент для настольного ПК.
Начиная с прошлого года WhatsApp можно использовать на компьютере - через браузер. В мае 2016 года также были выпущены клиенты для Windows и Mac OS X. В принципе, эти приложения представляют собой тип дистанционного управления для приложения смартфона, которые «отражают» аккаунт со всем его контентом на компьютере. Для этого достаточно отсканировать с помощью приложения смартфона QR-код в веб- или десктопном клиенте. Далее компьютер создает защищенное HTTPS-соединение со смартфоном, однако не локальное, например, через беспроводную сеть, а через Интернет.
Веб-клиент как «слабое звено»
Шифрование только с обновлением.Сообщения шифруются только в том случае, если оба собеседника обновили свои приложения до последней версии.
Для сквозного шифрования это представляет собой большую проблему. Если верно, что, как указано в документации к мессенджеру WhatsApp, сервер не имеет доступа к частным ключам пользователя, то это же условие имеет силу и для веб- или десктопных клиентов, которые синхронизируются со смартфоном через сервер WhatsApp. Это означало бы, что сквозное шифрование сообщений между этими клиентами и приложением смартфона прекращено и заменено более слабым транспортным шифрованием, представляющим собой уязвимое место для так называемых атак «человек посередине» (Man-in-the-Middle).
В другом возможном сценарии, при котором связь между приложением смартфона и удаленным клиентом была зашифрована по методу сквозного шифрования, частные ключи пользователя должны были бы передаваться через Интернет. Так как при этом они могли бы быть перехвачены, это означало бы катастрофический крипто-провал.
Разработчики WhatsApp молчат по этому вопросу: веб- и десктопные клиенты не упоминаются в документации, и на соответствующий запрос от Chip не было получено ответа. Не имеет значения, какой сценарий применяется для внешних клиентов: тот, кто придает большое значение сквозному шифрованию, не должен вмешиваться в процесс.
Нет ничего проще
Полный доступ.WhatsApp запрашивает доступ ко многим данным, начиная с Android 6 возможно ограничить права доступа.
Что касается удобства шифрования, то здесь WhatsApp все делает правильно - проще вряд ли получится. Для включения сквозного шифрования оба собеседника (или, в случае группового чата, все участники) должны обновить приложение до последней версии.
Поскольку WhatsApp периодически выпускает обязательные обновления, повсеместное распространение сквозного шифрования является лишь вопросом времени. Однако все варианты WhatsApp, независимо от операционной системы, поддерживают шифрование. Тот, кто хочет знать, использует ли шифрование его приложение, может проверить это в настройках аккаунта, в пункте «Шифрование». Использует ли шифрование собеседник, можно узнать в контекстном меню чата, в пункте «Посмотреть контакт | Шифрование».
Существует дополнительная опция верификации публичного ключа собеседника, посредством сканирования обоими пользователями QR-кода с дисплея смартфона другого человека. Для этого необходимо выбрать контакт в списке контактов, далее нажать на кнопку с изображением трех точек в верхнем правом углу экрана, перейти в «Посмотреть контакт | Шифрование» и следовать указаниям программы (см. стр. 53).
Наряду с шифрованием собственно содержания сообщений WhatsApp также шифрует метаданные и сведения о личностях собеседников и длительности их общения. Эти данные передаются, однако, с использованием не сквозного, а транспортного шифрования, для «сокрытия от неправомочных сетевых наблюдателей», как это названо в документации. Говоря проще, это означает, что WhatsApp и, вероятно, также материнская компания Facebook, имеют доступ к этим данным.
То, что социальная сеть «не дружит» с защитой данных, достаточно широко известно. WhatsApp, кажется, тоже не придает большого значения информированию пользователей о том, что происходит с их данными. В частности, пользовательское соглашение с WhatsApp на официальном сайте доступно пока только на английском языке.
В WhatsApp также не следует путать шифрование с анонимностью. Тому, кто придает этому факту большое значение или не желает предоставлять компании Facebook доступ к личной адресной книге, следует обратиться к альтернативным крипто-мессенджерам.
Альтернативные крипто-мессенджеры
Большинство альтернатив мессенджеру WhatsApp пока не столь популярны, зато зачастую предлагают даже более широкие возможности. Недоверчивые могут использовать альтернативы для обмена важными данными, например, для деловой переписки. Мы представляем три таких мессенджера:
Signal (ранее TextSecure)
Представляет собой бесплатный мессенджер с открытым исходным кодом для Android и iOS, разработанный компанией Open Whisper Systems. Наряду с зашифрованными текстовыми сообщениями и телефонными разговорами также можно обмениваться незашифрованными SMS и MMS. Для сквозного шифрования применяется протокол Signal, используемый и в WhatsApp. С апреля 2016 года доступна бета-версия клиента для настольных компьютеров.
Бесплатный и не содержащий рекламы мессенджер, доступный для всех основных платформ. Наряду с обычной функцией обмена сообщениями, в нем также существует возможность передачи сообщений со сквозным шифрованием в так называемых «тайных чатах». Telegram был разработан основателем социальной сети «ВКонтакте» Павлом Дуровым. Однако, согласно его собственному высказыванию, мессенджер не связан ни с сайтом «ВКонтакте», ни с Россией. Штаб-квартира компании расположена в Берлине.
Как и Signal, передает все сообщения с использованием сквозного шифрования. Наряду с текстами можно отправлять изображения, видео, местонахождение, голосовые сообщения и присоединяемые файлы размером до 20 Мбайт. Сервера Threema, как и главный офис компании, расположены в Швейцарии. Приложение доступно для Android, iOS и Windows Mobile, его стоимость составляет 179 (Android) и 229 рублей (iOS). Кроме того, разработан вариант мессенджера (Threema Work), адаптированный для предприятий.
Несмотря на популярность мессенджера и заверения разработчиков, что безопасность WhatsApp и конфиденциальность «заложены» в ДНК утилиты, и что ни один аккаунт не прослушивается, к программе все же предъявляют претензии. Многие проблемы приложения применимы и к другим месенджерам, однако в вопросах безопасности сервис уступает конкурентам, по мнению специалистов. Так ли это?
Начало работы сервиса: о надежности не могло быть и речи
Истории о взломе Ватсап стали появляться чуть ли не каждую неделю с момента появления мессенджера. В начале истории приложения использовался канал XMPP. Сообщения передавались по слабо защищённому пути. Зашифрованные данные приложения взламывались простым скриптом. На ПК загружали вирусы через веб-версию, вскрывали всю историю чатов в корыстных целях и т.д.
В 2012 году разработчики решили проблему с безопасностью в WhatsApp – переписка стала максимально скрыта от посторонних и прослушка стала проблематичнее.
По утверждениям сотрудников компании, при разработке каждой новой версии вопрос безопасности выносится на первый план. Таким образом, её уровень заметно повышается. Какая же ситуация сейчас?
Сквозное шифрование и новое соглашение о конфиденциальности
Оконечное или сквозное шифрование – нововведение в политике безопасности и конфиденциальности в WhatsApp. Суть его заключается в том, что при каждой отправке любое по объёму и содержанию сообщение кодируется отдельным ключом, который есть только у отправителя и получателя. Данная схема исключает одновременную работу WhatsApp на двух и более устройствах, как, например, на ПК и смартфоне или на двух телефонах.
Код безопасности включает 60 цифр, поэтому то, что показывается на экране телефона, – всего лишь часть цепочки. Такая стратегия обезопасит общение между двумя и более людьми.
Каков механизм работы сквозного (end-to-end) шифрования? Устройство А запрашивает у сервера мессенджера открытый ключ. Отправляется сообщение от А к В, предварительно закодированного этим ключом. Устройство пользователя В расшифровывает сообщение после получения.
Это новшество работает только в новой версии мессенджера. Таким образом, более старые его варианты должны быть обновлены, чтобы данные были максимально защищены и чтобы быть уверенным, что информацию не прослушивают. При обновлении программа сама попросит принять новое соглашение о конфиденциальности.
В процессе установки обновлений нужно принять соглашение, однако сделать это нужно еще правильно.
В конце лета 2016 года Whatsapp обновили условия и политику конфиденциальности.
Аккаунты стали связывать с учетными записями людей в Facebook. Это означает, что сообщения теперь могут анализироваться в коммерческих целях, например, для улучшения конверсии таргетированной рекламы в Facebook. Можно ли этого избежать? К счастью, да.
Чтобы прослушивание было невозможным, при принятии соглашения необходимо нажать на сам текст с условиями конфиденциальности со стрелочкой справа. Далее пролистать до конца и убрать галочку. Таким образом, вы даёте знать, что не разрешаете использовать информацию из аккаунта для улучшения взаимодействия с рекламой и продуктами Facebook.
Как подтвердить код безопасности?
Это необязательная процедура, так как шифрование включается автоматически при обновлении приложения. Тем не менее, давайте рассмотрим, как можно проверить этот код безопасности.
Зайти в чат и нажать на контакт, тем самым открыв меню с несколькими пунктами. Выбрать раздел «Шифрование».
Перед вами появится QR-код и длинный набор цифр в три ряда. Вам предложат подтвердить код безопасности. Сделать это можно, нажав на «Сканировать код» или вручную. Наведите камеру телефона на код, который появился на экране телефона вашего собеседника. При этом неважно, Android это или iOS. Появившаяся зелёная галочка будет свидетельствовать об успешном сканировании. В ином случае можно просто визуально сравнить коды.
Что, если код не совпал? Возможно, по ошибке был просканирован код другого собеседника. Получатель сообщений может также пользоваться старой версией программы и, чтобы сообщения зашифровывались, ему необходимо обновить Вацап.
Что можно сделать дополнительно, чтобы аккаунт не мог прослушиваться? Учесть возможности, предлагаемые сервисом: ограничить доступ к своему профилю (статусу, времени последнего посещения приложения, фотографиям и т.д.). Пользователи мессенджера могут также отключить оповещения о том, что сообщение прочитали.
С новой версией утилиты разработчики значительно повысили уровень безопасности данных в аккаунтах пользователей. Конечно, здесь не обойтись без подводных камней, в частности, это связь WhatsApp и Facebook. Тем не менее, со сквозным шифрованием прослушать разговоры теперь крайне тяжело третьим лицам.
