Несмотря на популярность мессенджера и заверения разработчиков, что безопасность WhatsApp и конфиденциальность «заложены» в ДНК утилиты, и что ни один аккаунт не прослушивается, к программе все же предъявляют претензии. Многие проблемы приложения применимы и к другим месенджерам, однако в вопросах безопасности сервис уступает конкурентам, по мнению специалистов. Так ли это?
Начало работы сервиса: о надежности не могло быть и речи
Истории о взломе Ватсап стали появляться чуть ли не каждую неделю с момента появления мессенджера. В начале истории приложения использовался канал XMPP. Сообщения передавались по слабо защищённому пути. Зашифрованные данные приложения взламывались простым скриптом. На ПК загружали вирусы через веб-версию, вскрывали всю историю чатов в корыстных целях и т.д.
В 2012 году разработчики решили проблему с безопасностью в WhatsApp – переписка стала максимально скрыта от посторонних и прослушка стала проблематичнее.
По утверждениям сотрудников компании, при разработке каждой новой версии вопрос безопасности выносится на первый план. Таким образом, её уровень заметно повышается. Какая же ситуация сейчас?
Сквозное шифрование и новое соглашение о конфиденциальности
Оконечное или сквозное шифрование – нововведение в политике безопасности и конфиденциальности в WhatsApp. Суть его заключается в том, что при каждой отправке любое по объёму и содержанию сообщение кодируется отдельным ключом, который есть только у отправителя и получателя. Данная схема исключает одновременную работу WhatsApp на двух и более устройствах, как, например, на ПК и смартфоне или на двух телефонах.
Код безопасности включает 60 цифр, поэтому то, что показывается на экране телефона, – всего лишь часть цепочки. Такая стратегия обезопасит общение между двумя и более людьми.
Каков механизм работы сквозного (end-to-end) шифрования? Устройство А запрашивает у сервера мессенджера открытый ключ. Отправляется сообщение от А к В, предварительно закодированного этим ключом. Устройство пользователя В расшифровывает сообщение после получения.
Это новшество работает только в новой версии мессенджера. Таким образом, более старые его варианты должны быть обновлены, чтобы данные были максимально защищены и чтобы быть уверенным, что информацию не прослушивают. При обновлении программа сама попросит принять новое соглашение о конфиденциальности.
В процессе установки обновлений нужно принять соглашение, однако сделать это нужно еще правильно.
В конце лета 2016 года Whatsapp обновили условия и политику конфиденциальности.
Аккаунты стали связывать с учетными записями людей в Facebook. Это означает, что сообщения теперь могут анализироваться в коммерческих целях, например, для улучшения конверсии таргетированной рекламы в Facebook. Можно ли этого избежать? К счастью, да.
Чтобы прослушивание было невозможным, при принятии соглашения необходимо нажать на сам текст с условиями конфиденциальности со стрелочкой справа. Далее пролистать до конца и убрать галочку. Таким образом, вы даёте знать, что не разрешаете использовать информацию из аккаунта для улучшения взаимодействия с рекламой и продуктами Facebook.
Как подтвердить код безопасности?
Это необязательная процедура, так как шифрование включается автоматически при обновлении приложения. Тем не менее, давайте рассмотрим, как можно проверить этот код безопасности.
Зайти в чат и нажать на контакт, тем самым открыв меню с несколькими пунктами. Выбрать раздел «Шифрование».
Перед вами появится QR-код и длинный набор цифр в три ряда. Вам предложат подтвердить код безопасности. Сделать это можно, нажав на «Сканировать код» или вручную. Наведите камеру телефона на код, который появился на экране телефона вашего собеседника. При этом неважно, Android это или iOS. Появившаяся зелёная галочка будет свидетельствовать об успешном сканировании. В ином случае можно просто визуально сравнить коды.
Что, если код не совпал? Возможно, по ошибке был просканирован код другого собеседника. Получатель сообщений может также пользоваться старой версией программы и, чтобы сообщения зашифровывались, ему необходимо .
Что можно сделать дополнительно, чтобы аккаунт не мог прослушиваться? Учесть возможности, предлагаемые сервисом: ограничить доступ к своему профилю (статусу, времени последнего посещения приложения, фотографиям и т.д.). Пользователи мессенджера могут также отключить оповещения о том, что сообщение прочитали.
С новой версией утилиты разработчики значительно повысили уровень безопасности данных в аккаунтах пользователей. Конечно, здесь не обойтись без подводных камней, в частности, это связь WhatsApp и Facebook. Тем не менее, со сквозным шифрованием прослушать разговоры теперь крайне тяжело третьим лицам.
Четыре совета, которым необходимо следовать всем, кто опасается утечки личных данных.
Но прежде чем вы начали распространять через WhatsApp свои планы по свержению мирового капитализма, учтите, что перехват сообщений по время их передачи – всего лишь один из способов следить за вами, причем довольно маловероятный. От шифровки самой по себе не много толку, если вы также не следуете приведенным ниже правилам.
Вы не сохраняете сообщения в телефоне
Если вы действительно хотите, чтобы ваши сообщения никто кроме вас не прочитал, удаляйте их сразу после прочтения. Если кто-то завладеет вашим телефоном (украдет, например) и сможет разблокировать его – что совсем недавно удалось ФБР с iPhone стрелка из Сан-Бернардино – он получит доступ ко всему, что хранится в памяти. Некоторые мессенджеры, например , имеют функцию «самоуничтожения», при активации которой сообщения автоматически удаляются через заданный промежуток времени. В WhatsApp такой функции пока нет. (С другой стороны, в Telegram оконечное шифрование не работает по умолчанию, нужно его включать специально.)
Вы не сохраняете сообщения в облако
WhatsApp не сохраняет вашу переписку на своих серверах. Но, к примеру, на можно сохранять резервную копию сообщений на iCloud, облачном сервисе . Как только информация попадает на облако, ее может перехватить правительство.
Signal – это приложение, популярное среди сторонников неприкосновенности личной переписки. В нем используется та же технология шифрования, что и в WhatsApp, а резервного копирования в облако не происходит.
Way to go WhatsApp, but I"m not ready to give up Signal. I fear that many of my WhatsApp friends have enabled unencrypted cloud backups.
Christopher Soghoian (@csoghoian) 5 апреля 2016 г.
Отличная работа, WhatsApp, но я пока не готов отказаться от Signal. Подозреваю, что у многих моих друзей в WhatsApp включена копирование в облако.
Кристофер Согойан (@csoghoian)
Начавшийся с текстовых сообщений тренд на безопасные коммуникации затронул и «голос». В 2016 году о применении end-to-end-шифрования в голосовых вызовах объявили WhatsApp, Viber и ICQ. Для обеспечения защищенных звонков в 2014 году был запущен мессенджер Signal. Также два года назад о наличии шифрования в сервисе FaceTime заявляли и в компании Apple.
Одно из некогда популярных решений в этой области — Skype — ввел защиту «голоса» еще в конце нулевых, что огорчило западные спецслужбы.
Тем не менее, как отмечает в разговоре с «Газетой.Ru» редактор MForum Analytics, эксперт в области телекоммуникаций Алексей Бойко, переход абонентов на IP-телефонию и видеосвязь вызван прежде всего удобством использования и ценой. Фактически клиенту того или иного оператора необходимо заплатить только за пакет интернет-трафика, который все чаще является безлимитным.
Спикер допускает, что для некоторого процента пользователей важна именно приватность, но, безусловно, не для большинства. Такое же мнение высказал в беседе с «Газетой.Ru» и генеральный директор информационно-аналитического агентства TelecomDaily Денис Кусков. По его мнению,
число абонентов, переходящих на сервисные решения из-за заботы о конфиденциальности, не превышает 10%.
В целом эксперты на рынке сходятся в том, что интернет-сервисы действительно дают более высокий уровень конфиденциальности разговоров, нежели обычная мобильная связь.
Напомним, что операторы, согласно российскому законодательству, обязаны установить на свои сети СОРМ-1, позволяющую правоохранительным органам получить доступ к любому разговору. В 2014 году власти обеспокоились данными, которые передаются в сети, обязав провайдеров установить так называемую СОРМ-3. Благодаря системе разговор, представляющий собой информацию в цифровом формате, остается у оператора. Однако из-за кодирования разобраться в этом пакете данных, как и что именно говорил пользователь, а в какой момент он смотрел картинки с котиками, для правоохранителей остается тяжелоосуществимой задачей.
«В то же время не стоит переоценивать защищенность международных мессенджеров, она не равна 100%, а от некоторых сервисов у спецслужб различных стран, вероятно, есть пресловутые «ключи», — предупреждает Бойко.
Раздражающая приватность
Основатель «Общества защиты интернета» Леонид Волков рассказал «Газете.Ru», что не сталкивался с конкретными случаями прослушек голосовых вызовов в Skype, Viber или WhatsApp.
По его словам, люди, уделяющие приватности повышенное внимание, предпочитают FaceTime. Но он затруднился ответить, чем именно обусловлен такой выбор: вкусовыми предпочтениями или же действительно мощной защитой самого сервиса.
Также Волков сообщил, что теоретически мессенджеры с поддержкой звонков нельзя считать полностью безопасными, но от теоретической уязвимости до практических перехватов лежит огромный путь.
«В первую очередь потому, что есть куда более простые пути получения информации: подсадить трояна, который будет снимать «голос» на устройстве», — поясняет IT-специалист.
Собеседник издания полагает, что такой способ в несколько раз эффективнее и дешевле. Об установке зловредного ПО на пользовательское устройство предупредил в разговоре с «Газетой.Ru» и эксперт компании ESET Russia Вячеслав Железняков.
При этом, по его мнению, данные, передаваемые через интернет, проще перехватывать, нежели в сетях операторов.
«Там есть много возможных точек подключения: в локальной сети, через общедоступный Wi-Fi, у провайдеров и т.п. Для этого не нужно дорогостоящее оборудование — достаточно обычного компьютера или планшета с хакерским софтом», — отметил спикер.
Но если используется стойкое шифрование, то, даже перехватив трафик, злоумышленник не сможет его «прослушать», продолжает Железняков.
Невозможность добраться спецслужбам до содержания вызовов, организованных с помощью интернет-соединения, может являться раздражителем для властей. Кусков назвал отсутствие СОРМ в коммуникационных сервисах проблемой с точки зрения государства.
Аналитик прогнозирует, что в дальнейшем будут идти «бои» между законодателями совместно с правоохранительными органами и владельцами мессенджеров для налаживания «сотрудничества».
Спикер не уверен, можно ли считать попыткой подчинить спецслужбам Skype, Viber и WhatsApp принятие «пакета Яровой», так как по-прежнему непонятно, каким образом будет работать закон и какие сведения по нему нужны ФСБ. Само ведомство на прошлой неделе заявило, что в рамках документа нет необходимости в обязательной сертификации средств шифрования в интернете.
Волков и вовсе назвал «пакет Яровой» бредом. «По нему будет писаться и храниться еще больше трафика, и, следовательно, будет еще сложнее найти в нем что-то ценное», — добавил эксперт.
Труднопредсказуемое будущее
Колоссальный рост популярности приложений с поддержкой голосовых вызовов во всем мире обусловлен, как и в прочих случаях с инновационными продуктами, развитием гаджетов и высокоскоростного мобильного интернета (3G и LTE).
После перехода российских операторов на пакетную модель предоставления своих классических услуг экономия от звонков через Skype или Viber стала сходить на нет. Но благодаря повсеместному распространению смартфонов и Wi-Fi-подключения остались комфортное использование приложений и возможность без лишних сложностей позвонить при поездке в другие страны.
Одним из последних трендов на рынке стало активное распространение видеоконтента. Явление не обошло стороной и сегмент коммуникационных интернет-сервисов. Так, по данным ICQ, почти 59% звонящих пользователей общаются по видеосвязи.
Бойко и Кусков считают, что в России трудно предсказывать будущее не только «голосовых» сервисов, но и любых других телеком-продуктов.
«У нас слишком высока вероятность политических решений, которые могут влиять на данный рынок», — предсказывает аналитик MForum.
Но спикер успокаивает: если не возникнет форс-мажоров, то можно не сомневаться в дальнейшем росте популярности различных международных мессенджеров в силу их глобальности и удобства реализации.
В перспективе ближайшего года власти могут разработать поправки к закону «О связи», которые будут регулировать деятельность интернет-сервисов. В частности, о такой возможности ранее заявлял руководитель Роскомнадзора Александр Жаров.
В подготовке юридических норм, которые коснутся работы голосовых вызовов в сети, могут быть заинтересованы и телеком-корпорации.
«У операторов связи России мало рычагов, которые бы позволили им удержать абонентов голосовых услуг и SMS. Если они не задействуют свое лобби, чтобы добиться от регуляторов рынка прямых запретов на действия конкурентов, то у них мало шансов», — заявил Бойко.
В то же время у компаний есть возможность работать в рамках сотрудничества с сервисами, получая от них долю в доходах в обмен на настройки сети, добавил эксперт.
Манипуляции с пропускной мощностью канала и скоростью передачи данных могут, наоборот, стать попыткой шантажа со стороны операторов, полагает Кусков. Но одна компания, по мнению аналитика, не сможет изменить ситуацию, а в случае сговора операторов подключится ФАС.
Вы передаете личные сообщения, которое могут содержать конфиденциальные данные. Многих пользователей интересует, есть ли возможность скрыть их от посягательств посторонних? Хорошая новость для гостей нашего портала. WhatsApp безопасность – это не пустой звук для разработчиков мессенджера.
Whatsapp является одним из самых безопасных мессенджеров.
Наличие сквозного шифрования в последних версиях программы позволяет защитить себя и свою личную жизнь от посягательств мошенников.
Под надежной защитой находятся:
- текстовые сообщения,
- звонки,
- переданные документы,
- голосовые файлы,
- фото;
Мессенджер Whatsapp надежно шифрует ваши сообщения. Как проверить уровень безопасности в Ватсап
Очень просто, вам не нужно ничего делать, все процессы происходят автоматически, не нуждаются в настройках параметров или создании отдельного секретного чата. На серверах программы не хранятся передаваемые между абонентами файлы, как только они доставлены, сразу же удаляются.
Не так давно было создано новое соглашение о конфиденциальности. Если вы установили messenger и получили такое предложение, принять это соглашение нужно обязательно. Просто нажмите на кнопку Согласен и безопасность Ватсап станет удобным инструментом защиты данных.
Сделка Facebook по покупке WhatsApp, о которой я писал , вызвала бурную критику по вопросу цены, и конечно же свежую критику безопасности этих самых миллиардов сообщений, отправленных и доставленных через программу WhatsApp. Сама компания WhatsApp заявляет, — "связь между телефоном и нашим сервером полностью зашифрована". Но в то же время напоминает, что пользователь должен знать, что при отправке сообщений, устройство получателя не может быть безопасным. И самое главное, компания клянется что не хранит истории переписки, и что сообщения удаляются с сервера сразу же после доставки. Но это все было до Facebook, а теперь представьте себе вы переписываетесь с другом по поводу выбора подарка на 8 марта для своей любимой, и после этого Facebook, так невзначай, показывает вам рекламу духов. Заманчиво? Я думаю для Facebook еще как заманчиво, учитывая их трудности, и отток пользователей из социальной сети.
Тем не менее, исследователи в области безопасности указывают, что в системе, которой пользуются 450 миллионов людей во всем мире, могут и должны быть уязвимости. Так Паул Ярегуи, основатель компании в области ИТ безопасности Praetorian, заявил в своем блоге, что безопасность WhatsApp и шифрование не так уж безопасны, ссылаясь на уязвимости в применении SSL, защищенного протокола обмена данными. "Исследование группы безопасности мобильных систем подняло ряд вопросов связанных с безопасностью SSL, влияющих на конфиденциальность данных пользователей WhatsApp, на пути их следования к серверам компании", — сказал Паул. Затем специалист уточнил о чем идет речь, — "Это такие вещи о которых мечтает АНБ. Это попросту позволяет им, или злоумышленнику, в общем случае атакующему, подключиться к соединению, а затем упростить шифрование, разбив его на блоки и в конечном итоге прослушивать весь трафик. Эти вопросы безопасности ставят пользователей WhatsApp и их данные под угрозу". Он также добавил, что хотел бы получить разрешение для своей компании Praetorian от Facebook и WhatsApp на более детальное исследование безопасности. Подчеркнув что уверен, что это будет несложно "залатать" дыры в программном обеспечении. Не думаю что он получит такое разрешение, учитывая что у Facebook есть своя программа финансирования исследования безопасности ПО.
А тем временем в Германии, комиссар земли Шлезвиг-Гольштейн подготовил заявление о том, что сделка по продаже WhatsApp вызывает серьезные опасения приватности и что вообще WhatsApp не соответствует европейским правилам о защите данных. Тило Вейшерт официально заявил, что люди должны отказаться от использования WhatsApp в пользу других "более проверенных сервисов".
В октябре прошлого года исследователь из Голландии, Тейс Алкемад, опубликовал статью в своем блоге, в которой говорит, что шифрование можно обойти, и это значит что "любой, кто способен подслушать подключение WhatsApp способен расшифровать свои сообщения, приложив достаточно усилий". Сама компания WhatsApp не отвечала на запросы прессы о вопросах безопасности.
Многие специалисты предрекают быстрый спад интереса пользователей к приложению WhatsApp. Так Нико Сел, сооснователь приложения по обеспечению безопасности Wickr, сказал что количество скачиваний его приложения увеличилось на несколько тысяч, после анонса о сделке Facebook, и добавил, — "Я думаю люди быстро побегут прочь от WhatsApp, потому что это теперь часть Facebook". Wickr это приложение, направленное на защиту пользователя его анонимности и конфиденциальности, с помощью шифрования высокого класса, за счет привлечения к тестированию и анализу хакеров, работающих за вознаграждение. Так, по крайней мере, заявляет сам Нико Сел.
Я думаю что всем понятно, что после сделки на 19 миллиардов долларов, появятся много желающих как-то заработать на этом. И мы еще услышим об утечках данных пользователей WhatsApp. И произойдет это по вине Facebook, когда те начнут встраивать туда фишки для своих рекламных целей.
