Более одного миллиарда человек хотя бы раз в месяц обмениваются сообщениями с друзьями, родственниками и коллегами с помощью WhatsApp. Проблема: около 42 миллиардов сообщений, ежедневно проходящих через серверы WhatsApp, до сих пор мог прочитать любой, обладающий соответствующими ресурсами и необходимыми знаниями, в том числе спецслужбы и хакеры. Теперь WhatsApp, благодаря общему для системы принципу сквозного шифрования, осложнит им жизнь.
Многие пользователи, однако, сомневаются, что этот мессенджер, принадлежащий компании Facebook, сможет выполнить то, что обещает, то есть предоставить защищенное соединение, которым действительно может управлять каждый. Мы внимательно рассмотрели ситуацию и расскажем вам, насколько в реальности надежен WhatsApp.
Протокол шифрования Signal
Проверка шифрования.Чтобы узнать, шифруются ли ваши сообщения, выберите в настройках приложения пункт «Аккаунт | Безопасность».
Для шифрования сообщений WhatsApp использует протокол Signal с открытым исходным кодом (ранее протокол носил имя Axolotl), в разработке которого участвовал Мокси Марлинспайк - специалист в области кибербезопасности. Марлинспайк, обладающий великолепной репутацией в кругах IT-безопасности, является основателем организации-разработчика программного обеспечения Open Whisper Systems, которая, в частности, выпустила крипто-мессенджер Signal.
С технической точки зрения у протокола Signal речь идет об асимметричном методе шифрования с использованием открытых ключей. Пары ключей, необходимые для шифрования/дешифрования, генерируются на смартфоне уже при установке клиента WhatsApp. Когда пользователь входит в систему WhatsApp, публичные ключи сохраняются на серверах этого мессенджера. Согласно положениям технической документации, серверы WhatsApp не обладают доступом к частным ключам, поэтому они локально хранятся на смартфоне. Это означает, что пользователь не должен ни вводить ключ, ни держать его в голове: сам смартфон как бы становится ключом. WhatsApp шифрует все содержание, от простого текста до голосового сообщения. Это же положение имеет силу и для звонков с использованием сервиса. Перед обменом первыми сообщениями клиенты смартфонов собеседников путем обмена публичными ключами согласовывают общий корневой ключ и серийный ключ.
Затем на базе последнего для каждого сообщения создается собственный кратковременный ключ. Поскольку все ключи постоянно обновляются, как при использовании метода «совершенной прямой секретности» (Perfect Forward Secrecy), злоумышленник, знающий отдельные ключи, не может расшифровать ни будущие, ни предыдущие сообщения.
Дополнительный контроль.Сведения о том, зашифрован ли чат, также находятся в контекстном меню чата, в пункте «Посмотреть контакт».
Так как до последнего времени отсутствовали сообщения об уязвимостях в протоколе Signal (мнимый взлом WhatsApp разработчиком антивируса Джоном Макафи был впоследствии представлен как пиар-ход), данное шифрование можно считать надежным. Однако это действует только до тех пор, пока связь осуществляется между двумя смартфонами. Уязвимое место все же существует - это веб-клиент и клиент для настольного ПК.
Начиная с прошлого года WhatsApp можно использовать на компьютере - через браузер. В мае 2016 года также были выпущены клиенты для Windows и Mac OS X. В принципе, эти приложения представляют собой тип дистанционного управления для приложения смартфона, которые «отражают» аккаунт со всем его контентом на компьютере. Для этого достаточно отсканировать с помощью приложения смартфона QR-код в веб- или десктопном клиенте. Далее компьютер создает защищенное HTTPS-соединение со смартфоном, однако не локальное, например, через беспроводную сеть, а через Интернет.
Веб-клиент как «слабое звено»
Шифрование только с обновлением.Сообщения шифруются только в том случае, если оба собеседника обновили свои приложения до последней версии.
Для сквозного шифрования это представляет собой большую проблему. Если верно, что, как указано в документации к мессенджеру WhatsApp, сервер не имеет доступа к частным ключам пользователя, то это же условие имеет силу и для веб- или десктопных клиентов, которые синхронизируются со смартфоном через сервер WhatsApp. Это означало бы, что сквозное шифрование сообщений между этими клиентами и приложением смартфона прекращено и заменено более слабым транспортным шифрованием, представляющим собой уязвимое место для так называемых атак «человек посередине» (Man-in-the-Middle).
В другом возможном сценарии, при котором связь между приложением смартфона и удаленным клиентом была зашифрована по методу сквозного шифрования, частные ключи пользователя должны были бы передаваться через Интернет. Так как при этом они могли бы быть перехвачены, это означало бы катастрофический крипто-провал.
Разработчики WhatsApp молчат по этому вопросу: веб- и десктопные клиенты не упоминаются в документации, и на соответствующий запрос от Chip не было получено ответа. Не имеет значения, какой сценарий применяется для внешних клиентов: тот, кто придает большое значение сквозному шифрованию, не должен вмешиваться в процесс.
Нет ничего проще
Полный доступ.WhatsApp запрашивает доступ ко многим данным, начиная с Android 6 возможно ограничить права доступа.
Что касается удобства шифрования, то здесь WhatsApp все делает правильно - проще вряд ли получится. Для включения сквозного шифрования оба собеседника (или, в случае группового чата, все участники) должны обновить приложение до последней версии.
Поскольку WhatsApp периодически выпускает обязательные обновления, повсеместное распространение сквозного шифрования является лишь вопросом времени. Однако все варианты WhatsApp, независимо от операционной системы, поддерживают шифрование. Тот, кто хочет знать, использует ли шифрование его приложение, может проверить это в настройках аккаунта, в пункте «Шифрование». Использует ли шифрование собеседник, можно узнать в контекстном меню чата, в пункте «Посмотреть контакт | Шифрование».
Существует дополнительная опция верификации публичного ключа собеседника, посредством сканирования обоими пользователями QR-кода с дисплея смартфона другого человека. Для этого необходимо выбрать контакт в списке контактов, далее нажать на кнопку с изображением трех точек в верхнем правом углу экрана, перейти в «Посмотреть контакт | Шифрование» и следовать указаниям программы (см. стр. 53).
Наряду с шифрованием собственно содержания сообщений WhatsApp также шифрует метаданные и сведения о личностях собеседников и длительности их общения. Эти данные передаются, однако, с использованием не сквозного, а транспортного шифрования, для «сокрытия от неправомочных сетевых наблюдателей», как это названо в документации. Говоря проще, это означает, что WhatsApp и, вероятно, также материнская компания Facebook, имеют доступ к этим данным.
То, что социальная сеть «не дружит» с защитой данных, достаточно широко известно. WhatsApp, кажется, тоже не придает большого значения информированию пользователей о том, что происходит с их данными. В частности, пользовательское соглашение с WhatsApp на официальном сайте доступно пока только на английском языке.
В WhatsApp также не следует путать шифрование с анонимностью. Тому, кто придает этому факту большое значение или не желает предоставлять компании Facebook доступ к личной адресной книге, следует обратиться к альтернативным крипто-мессенджерам.
Альтернативные крипто-мессенджеры
Большинство альтернатив мессенджеру WhatsApp пока не столь популярны, зато зачастую предлагают даже более широкие возможности. Недоверчивые могут использовать альтернативы для обмена важными данными, например, для деловой переписки. Мы представляем три таких мессенджера:
Signal (ранее TextSecure)
Представляет собой бесплатный мессенджер с открытым исходным кодом для Android и iOS, разработанный компанией Open Whisper Systems. Наряду с зашифрованными текстовыми сообщениями и телефонными разговорами также можно обмениваться незашифрованными SMS и MMS. Для сквозного шифрования применяется протокол Signal, используемый и в WhatsApp. С апреля 2016 года доступна бета-версия клиента для настольных компьютеров.
Бесплатный и не содержащий рекламы мессенджер, доступный для всех основных платформ. Наряду с обычной функцией обмена сообщениями, в нем также существует возможность передачи сообщений со сквозным шифрованием в так называемых «тайных чатах». Telegram был разработан основателем социальной сети «ВКонтакте» Павлом Дуровым. Однако, согласно его собственному высказыванию, мессенджер не связан ни с сайтом «ВКонтакте», ни с Россией. Штаб-квартира компании расположена в Берлине.
Как и Signal, передает все сообщения с использованием сквозного шифрования. Наряду с текстами можно отправлять изображения, видео, местонахождение, голосовые сообщения и присоединяемые файлы размером до 20 Мбайт. Сервера Threema, как и главный офис компании, расположены в Швейцарии. Приложение доступно для Android, iOS и Windows Mobile, его стоимость составляет 179 (Android) и 229 рублей (iOS). Кроме того, разработан вариант мессенджера (Threema Work), адаптированный для предприятий.
Сделка Facebook по покупке WhatsApp, о которой я писал , вызвала бурную критику по вопросу цены, и конечно же свежую критику безопасности этих самых миллиардов сообщений, отправленных и доставленных через программу WhatsApp. Сама компания WhatsApp заявляет, — "связь между телефоном и нашим сервером полностью зашифрована". Но в то же время напоминает, что пользователь должен знать, что при отправке сообщений, устройство получателя не может быть безопасным. И самое главное, компания клянется что не хранит истории переписки, и что сообщения удаляются с сервера сразу же после доставки. Но это все было до Facebook, а теперь представьте себе вы переписываетесь с другом по поводу выбора подарка на 8 марта для своей любимой, и после этого Facebook, так невзначай, показывает вам рекламу духов. Заманчиво? Я думаю для Facebook еще как заманчиво, учитывая их трудности, и отток пользователей из социальной сети.
Тем не менее, исследователи в области безопасности указывают, что в системе, которой пользуются 450 миллионов людей во всем мире, могут и должны быть уязвимости. Так Паул Ярегуи, основатель компании в области ИТ безопасности Praetorian, заявил в своем блоге, что безопасность WhatsApp и шифрование не так уж безопасны, ссылаясь на уязвимости в применении SSL, защищенного протокола обмена данными. "Исследование группы безопасности мобильных систем подняло ряд вопросов связанных с безопасностью SSL, влияющих на конфиденциальность данных пользователей WhatsApp, на пути их следования к серверам компании", — сказал Паул. Затем специалист уточнил о чем идет речь, — "Это такие вещи о которых мечтает АНБ. Это попросту позволяет им, или злоумышленнику, в общем случае атакующему, подключиться к соединению, а затем упростить шифрование, разбив его на блоки и в конечном итоге прослушивать весь трафик. Эти вопросы безопасности ставят пользователей WhatsApp и их данные под угрозу". Он также добавил, что хотел бы получить разрешение для своей компании Praetorian от Facebook и WhatsApp на более детальное исследование безопасности. Подчеркнув что уверен, что это будет несложно "залатать" дыры в программном обеспечении. Не думаю что он получит такое разрешение, учитывая что у Facebook есть своя программа финансирования исследования безопасности ПО.
А тем временем в Германии, комиссар земли Шлезвиг-Гольштейн подготовил заявление о том, что сделка по продаже WhatsApp вызывает серьезные опасения приватности и что вообще WhatsApp не соответствует европейским правилам о защите данных. Тило Вейшерт официально заявил, что люди должны отказаться от использования WhatsApp в пользу других "более проверенных сервисов".
В октябре прошлого года исследователь из Голландии, Тейс Алкемад, опубликовал статью в своем блоге, в которой говорит, что шифрование можно обойти, и это значит что "любой, кто способен подслушать подключение WhatsApp способен расшифровать свои сообщения, приложив достаточно усилий". Сама компания WhatsApp не отвечала на запросы прессы о вопросах безопасности.
Многие специалисты предрекают быстрый спад интереса пользователей к приложению WhatsApp. Так Нико Сел, сооснователь приложения по обеспечению безопасности Wickr, сказал что количество скачиваний его приложения увеличилось на несколько тысяч, после анонса о сделке Facebook, и добавил, — "Я думаю люди быстро побегут прочь от WhatsApp, потому что это теперь часть Facebook". Wickr это приложение, направленное на защиту пользователя его анонимности и конфиденциальности, с помощью шифрования высокого класса, за счет привлечения к тестированию и анализу хакеров, работающих за вознаграждение. Так, по крайней мере, заявляет сам Нико Сел.
Я думаю что всем понятно, что после сделки на 19 миллиардов долларов, появятся много желающих как-то заработать на этом. И мы еще услышим об утечках данных пользователей WhatsApp. И произойдет это по вине Facebook, когда те начнут встраивать туда фишки для своих рекламных целей.
Глубоко в настройках похоронена функция отображения активных сессий с настольных компьютеров
Для Facebook, владельца WhatsApp, сервис WhatsApp Web - это просто опция, специалисты по информационной безопасности, однако, усматривают в нем угрозу. Через него пользователи могут открыть содержимое всех сохраненных сообщений в веб-браузере, считать оттуда любой чат и даже отправлять новые послания.
Однако эта возможность может стать ловушкой: достаточно ненадолго оставить незаблокированный телефон без присмотра на рабочем месте, чтобы завистливый коллега просканировал вашим аппаратом особый QR-код на сайте web.whatsapp.com . Для разоблачения шпионажа такого рода откройте WhatsApp и зайдите в «Настройки». Здесь выберите строчку «WhatsApp Web/Desktop». Вы увидите перечень активных соединений. Нажатием на строчку «Выйти со всех компьютеров» вы завершите все сессии.
Чтобы защитить себя от таких подглядываний на будущее, включите на своем телефоне блокировку экрана. После этого вы можете не бояться, что кто-то незаметно считает вашим аппаратом QR-код на компьютере и получит доступ к переписке.
Компания Soomz (soomz.io) примерно за 600 руб. предлагает набор из трех крышек на камеру. С их помощью вы обезопасите свое устройство
Кроме того, вмешиваться в ваш WhatsApp способно и вредоносное ПО. К примеру, оно позволяет преступникам скрытно делать снимки. Для защиты воспользуйтесь крышкой для веб-камеры.
Так вы будете уверены, что с программой не проводились никакие манипуляции и что она не начнет моментально пересылать содержимое сообщений веб-шпионам.
Проверяем ключи шифрования
При изменении ключей шифрования у пользователя WhatsApp начинает бить тревогу.
Для переписки в WhatsApp предусмотрено сквозное шифрование. Необходимые для него ключи лежат непосредственно на устройствах. С помощью них WhatsApp кодирует информацию и пересылает ее получателю.
Эксперты, однако, вычислили метод обхода такого шифрования. Они просто-напросто изменяют ключ на устройстве получателя, чтобы затем считать сообщение путем атаки «человек посередине».
В том, что пользователь об этом ни слухом ни духом, виноваты настройки мессенджера. Facebook ставит комфорт превыше безопасности и не оповещает об изменениях. Однако, существует возможность активировать уведомления об смене используемого ключа. Она скрывается в настройках.
Для получения уведомления об отсутствии шифрования необходимо, чтобы в настройках была задействована соответствующая функция
Чтобы задействовать оповещения, запустите WhatsApp и зайдите в «Настройки». Оттуда откройте «Аккаунт | Безопасность». Активируйте опцию «Показывать уведомления безопасности».
Если затем ключ получателя изменится, вы об этом узнаете. Однако такая смена не обязательно указывает на атаку.
Вполне вероятно, что получатель просто связал со своим аккаунтом WhatsApp новый телефон. И в этом случае код шифрования будет уже иным. При возникновении сомнений проще всего спросить собеседника, что случилось.
— один из самых популярных мессенджеров в мире, он и его пользователи постоянно подвержены множественным атакам и угрозам. Даже несмотря на то, что разработчики ввели шифрование, нужно придерживаться некоторых правил и советов, чтобы не стать жертвами мошенников и других жуликов.
1. Используйте веб-версию более эффективно
Веб-версия WhatsApp позволяет удобнее читать и отправлять сообщения вашим коллегам, друзьям и родственникам. Все что вам для этого потребуется — прочитать QR-код с помощью вашего телефона. После этого все сообщения станут доступны на компьютере через браузер.
Когда вы покидаете компьютер, не забывайте разорвать соединение, чтобы никто не смог прочесть ваши личные сообщения на компьютере после того, как вы уйдете. Это особенно важно, если вы подключались на чужом компьютере.
Разорвать соединения можно прямо с телефона в разделе WhatsApp Web.
2. Используйте двухфакторную авторизацию
Этот дополнительный элемент — пин-код, который надо будет вводить после активации устройства и программы WhatsApp на нем.
3. Запретите доступ посторонних к вашей аватарке
Чтобы посторонние люди не могли видеть вашу аватарку, установите соответствующую опцию в настройках программы.
Достаточно разрешить контактам видеть ваше фото, а чужаки не смогут это сделать.
4. Скройте фото и видео в галерее
Одной из самых назойливых функций WhatsApp является то, что если вам кто-то прислал фото или видео, они тут же попадают к вам в галерею.
Чтобы этого избежать и случайно не выдать секретов друзей, которые могут прислать вам что-то личное, то с помощью простого файлового менеджера создайте в папке медиафайлов WhatsApp файл с именем .nomedia и перезагрузите свое устройство. После этого фото не будут попадать в Галерею.
5. Запретите доступ к WhatsApp с помощью стороннего приложения
Если в вашей переписке есть очень важные вещи, которые ни в коем разе не должны попасть в чужие руки и которые надо скрыть, то можно заблокировать доступ к приложению с помощью сторонней программы.
В этом случае для доступа к приложению потребуется введение пин-кода. Реализовать такую возможность можно с помощью приложения AppLock .
6. Деактивируйте аккаунт, если потеряли телефон или его украли
Если вдруг вы случайно потеряли телефон или его украли, то незамедлительно напишите в службу поддержки и попросите деактивировать свою учетную запись.
Для этого напишите в поддержку WhatsApp сообщение, указав в теме письма Lost/Stolen: Please deactivate my account и номер своего телефона.
7. Остерегайтесь мошеннических сообщений
WhatsApp настолько популярен, что достаточно часто приходят сообщения от незнакомцев, которые что-то пытаются выманить у своих жертв. Не стоит отвечать на сообщения от незнакомых людей — они могут представляться теми, кем на самом деле не являются. От этого можете пострадать не только вы, но и другие люди.
Утверждает, что все зашифрованные мессенджеры уязвимы, и в особенности, Whatsapp. Материал наделал много шума, однако так ли все печально на самом деле? Компания-эксперт в области интернет-безопасности Open Whisper Systems утверждает, что ничего нового в The Guardian написано не было и на Вотсап “наехали” напрасно.
Прошлой весной Whatsapp выпустил крупнейшее обновление в своей истории — добавилась функция принудительного конечного шифрования, которая по сути означает, что никто, включая Whatsapp, не может прочитать вашу переписку. Вчерашнее расследование The Guardian представляет мнение эксперта, который заявляет, что Whatsapp умышленно оставил “черный ход” (backdoor) в своем коде для возможного перехвата сообщений спецслужбами и другими заинтересованными лицами. Сами же разработчики Whatsapp утверждают, что это совсем не так, и что потенциально небезопасное поведение их приложения — ни что иное как облегчение жизни своим многочисленным пользователям.
Безопасность переписки Whatsapp была разработана с помощью компании Open Whisper Systems, той самой, которая разработала самый безопасный мессенджер в мире — Signal, и в своем блоге компания подробно описывает как все работает. В Вотсап внедрен Signаl-протокол (а еще он внедрен в недавний Google Allo), который выдает каждому пользователю два ключа безопасности: публичный ключ, по которому его могут идентифицировать другие пользователи и личный приватный ключ, который будет закреплен на устройстве. Поскольку люди частенько меняют свои телефоны и перестанавливают приложения, связка ключей безопасности будет меняться соответственно этому. Пользователи могут убедиться в приватности своего общения внутри Whatsapp, проверяя код безопасности на каждом устройстве, участвующем в разговоре — если коды совпадают, это будет означать что перехват сообщений между собеседниками отсутствует (такой тип атаки называется man-in-the-middle, MITM).
Материал the Guardian основан на расследовании Тобиаса Белтера (Tobias Belter) . Он утверждает, что сервер Whatsapp можно взломать по запросам третьих лиц. То есть Вотсап может сгенерировать новый ключ безопасности и выдать его этим самым третьим лицам пока пользователи не заметят, что что-то произошло. В мессенджере Signal app любая подмена ключа безопасности результирует в невозможность отправки сообщения и в предупреждение безопасности, причем все это происходит до того, как пользователь соберется переправить сообщение заново и самостоятельно. В Whatsapp же пользователь получает уведомление о смене ключа, при этом сообщение будет автоматически перекодировано под новый ключ и отправлено адресату. То есть вы только потом сможете выяснить, действительно ли совпадает новый ключ с вашим адресатом. При том, что такую настройку о предупреждении в вашем Whatsapp еще необходимо включить вручную:
Подобное поведение Whatsapp в компании Open Whisper Systems объясняют идеологической простотой использования мессенджера. А еще, сервера Whatsapp не знают, кто включил настройку о предупреждении, а кто нет — поэтому попытка взлома может быть быстро обнаружена. Во всяком случае, “адвокаты” Whatsapp настаивают на том, что такую политику безопасности можно называть как угодно, но это не уязвимость и не backdoor. Это “особенность”.
Многие западные эксперты по безопасности соглашаются с выводами Open Whisper Systems:
It’s ridiculous that this is presented as a backdoor. If you don’t verify keys, authenticity of keys is not guaranteed. Well known fact.
Frederic Jacobs (@FredericJacobs)
