Марк Цукерберг и его сервисы (Facebook, WhatsApp) регулярно оказываются в центре скандалов с личными данными пользователей. В этой статье мы рассмотрим наиболее показательные случаи утечки данных, которые произошли за последние несколько лет, а также то, как сегодня обстоят дела с защитой личной информации в крупнейших мессенджерах.
Начнём с того, что до августа 2012 года сообщения в WhatsApp никак не шифровались, а отправлялись в виде обычного текста. Это означает, что получить к ним доступ могли не только правительства и хакеры через специальные программы, но мобильные операторы и даже владельцы точек Wi-Fi.
В августе 2012 компания якобы добавила «шифрование». Однако, как выяснилось позже, это была маркетинговая уловка — ключи доступа получили сразу несколько спецслужб.
Через 3 года мессенджер всё таки внедрил шифрование, не позволяющее третьим лицам получать доступ к сообщениям. Но и тут не обошлось без уловок — одновременно компания стала призывать пользователей сохранять резервные копии чатов в облаке. При этом WhatsApp, конечно же, умалчивал, что на резервные копии новое шифрование не распространяется — сообщения с облака были по-прежнему доступны хакерам и властям. Но не думайте, что отключив резервные копии чатов, вы спасёте личные данные — на этот случай у WhatsApp есть ещё несколько вариантов: доступ к резервным копиям собеседников и подмена ключей шифрования в чатах.
Разногласия внутри Facebook
Не только журналисты и общественные деятели выступают против политики Facebook — некоторые сотрудники корпорации тоже не разделяют взгляды основателя. В апреле 2018 года соучредитель WhatsApp Ян Кум покинул Facebook из-за противоречий в отношении конфиденциальности пользовательских данных. Он был против введения инструментов для бизнеса, платной рекламы и использовании пользовательских данных в коммерческих целях. Кум также был против сбора информации о номерах телефонов друзей пользователей WhatsApp.
Ещё один сооснователь WhatsApp, Брайан Эктон, покинул компанию в ноябре 2017 года. В ходе конфликта вокруг Cambridge Analytica он поддержал кампанию #DeleteFacebook и пожертвовал 50 миллионов долларов мессенджеру Signal, который часто рекомендовал использовать Эдвард Сноуден. Об этом мессенджере – ниже.
Как построена защита у популярных мессенджеров?
1. Степень централизации. Здесь возможны 3 варианта:
- централизованный — такой мессенджер требует наличия сервера, и, следовательно, его можно заблокировать;
- федеративный — он составляет сеть из серверов, которые общаются друг с другом;
- децентрализованный (имеется в виду P2P) — клиент является одновременно сервером.
2. Возможность анонимной регистрации и использования
В большинстве случаев аккаунт в мессенджере привязан к номеру телефона. В этом случае, если не включена двухфакторная аутентификация, получив доступ к телефону, злоумышленник получает все данные аккаунта. Некоторые же мессенджеры позволяют регистрироваться через почтовый ящик или аккаунт в другой соцсети;
3. End-to-End Encryption (сквозное шифрование)
В некоторых мессенджерах данная функция предустановлена по умолчанию, в некоторых её нужно включить, а где-то её просто нет.
4. E2EE-чаты (секретные чаты): синхронизация, групповые чаты, возможность сделать скриншот, проверка отпечатков всех участников
5. Защита социального графа
Некоторые мессенджеры собирают информацию о контактах и другую метаинформацию: кому звонил пользователь, как долго разговаривал и прочее.
Если брать западные месседжеры, ситуация выглядит так:
Telegram
Мессенджер построен с использованием технологии шифрования переписки MTProto. Вопреки позиционированию мессенджера, с его безопасностью не всё так однозначно. Нет защиты социального графа — контакты и сообщения хранятся на серверах Telegram, нет групповых E2EE-чатов, секретные чаты не поддерживаются в десктопной версии. Более того, зарегистрироваться в Telegram можно только при помощи мобильного.
Signal
Signal — продукт американского стартапа Open Whisper Systems, в котором работают всего несколько человек. Компания разработала собственный протокол шифрования — Signal Protocol. Он используется для сквозного (end-to-end) шифрования звонков (голосовых и видео), а также обычных сообщений. Сейчас протокол Signal используют WhatsApp, Facebook Messenger, Google Allo. Правда, в отличие от Signal, где шифрование работает по умолчанию, в этих продуктах оно выключено. Для его включения в Facebook Messenger нужно активировать Secret Conversations, а в Google Allo — режим инкогнито (Incognito Mode). Кроме всего прочего, Signal децентрализирован и поддерживает групповые E2EE-чаты. При этом Signal не анонимен: при регистрации нужно указывать номер телефона.
Viber
Viber — централизованный мессенджер, в котором аккаунт пользователя привязывается к номеру телефона. С другой стороны, шифрование в Viber основано на протоколе Signal и доступно даже в десктопной версии. Также есть групповые E2EE-чаты с возможностью настраивать самоуничтожение сообщений — текст будет удален через определенное время после прочтения.
Дополнительно Viber позволяет создавать «скрытые секретные чаты» — они не отображаются в общем списке.
WhatsApp использует Signal-протокол, но это не даёт никаких гарантий безопасности личных данных. С 2016 мессенджер не хранит переписки пользователей на своих серверах — данные хранятся на телефоне, а также в облачных хранилищах. Хоть WhatsApp не получает самой переписки, у его владельцев есть доступ к метаданным пользователя (телефонная книга, время звонков и сообщений, длительность бесед). Помимо этого WhatsApp узнает массу информации о пользователе: модель телефона, ОС, данные из браузера, IP-адрес, номер мобильного и т.д.
Кейс с WhatsApp показывает нам, что наличие p2p-шифрования не гарант защиты от перехвата переписки — его можно обойти, проэксплуатировав уязвимость приложения.
Источник: Hi-tech Mail.ru
Вам также может быть интересно:
Связь классического маркетинга и SEO