— один из самых популярных мессенджеров в мире, он и его пользователи постоянно подвержены множественным атакам и угрозам. Даже несмотря на то, что разработчики ввели шифрование, нужно придерживаться некоторых правил и советов, чтобы не стать жертвами мошенников и других жуликов.
1. Используйте веб-версию более эффективно
Веб-версия WhatsApp позволяет удобнее читать и отправлять сообщения вашим коллегам, друзьям и родственникам. Все что вам для этого потребуется — прочитать QR-код с помощью вашего телефона. После этого все сообщения станут доступны на компьютере через браузер.
Когда вы покидаете компьютер, не забывайте разорвать соединение, чтобы никто не смог прочесть ваши личные сообщения на компьютере после того, как вы уйдете. Это особенно важно, если вы подключались на чужом компьютере.
Разорвать соединения можно прямо с телефона в разделе WhatsApp Web.
2. Используйте двухфакторную авторизацию
Этот дополнительный элемент — пин-код, который надо будет вводить после активации устройства и программы WhatsApp на нем.
3. Запретите доступ посторонних к вашей аватарке
Чтобы посторонние люди не могли видеть вашу аватарку, установите соответствующую опцию в настройках программы.
Достаточно разрешить контактам видеть ваше фото, а чужаки не смогут это сделать.
4. Скройте фото и видео в галерее
Одной из самых назойливых функций WhatsApp является то, что если вам кто-то прислал фото или видео, они тут же попадают к вам в галерею.
Чтобы этого избежать и случайно не выдать секретов друзей, которые могут прислать вам что-то личное, то с помощью простого файлового менеджера создайте в папке медиафайлов WhatsApp файл с именем .nomedia и перезагрузите свое устройство. После этого фото не будут попадать в Галерею.
5. Запретите доступ к WhatsApp с помощью стороннего приложения
Если в вашей переписке есть очень важные вещи, которые ни в коем разе не должны попасть в чужие руки и которые надо скрыть, то можно заблокировать доступ к приложению с помощью сторонней программы.
В этом случае для доступа к приложению потребуется введение пин-кода. Реализовать такую возможность можно с помощью приложения AppLock .
6. Деактивируйте аккаунт, если потеряли телефон или его украли
Если вдруг вы случайно потеряли телефон или его украли, то незамедлительно напишите в службу поддержки и попросите деактивировать свою учетную запись.
Для этого напишите в поддержку WhatsApp сообщение, указав в теме письма Lost/Stolen: Please deactivate my account и номер своего телефона.
7. Остерегайтесь мошеннических сообщений
WhatsApp настолько популярен, что достаточно часто приходят сообщения от незнакомцев, которые что-то пытаются выманить у своих жертв. Не стоит отвечать на сообщения от незнакомых людей — они могут представляться теми, кем на самом деле не являются. От этого можете пострадать не только вы, но и другие люди.
Более одного миллиарда человек хотя бы раз в месяц обмениваются сообщениями с друзьями, родственниками и коллегами с помощью WhatsApp. Проблема: около 42 миллиардов сообщений, ежедневно проходящих через серверы WhatsApp, до сих пор мог прочитать любой, обладающий соответствующими ресурсами и необходимыми знаниями, в том числе спецслужбы и хакеры. Теперь WhatsApp, благодаря общему для системы принципу сквозного шифрования, осложнит им жизнь.
Многие пользователи, однако, сомневаются, что этот мессенджер, принадлежащий компании Facebook, сможет выполнить то, что обещает, то есть предоставить защищенное соединение, которым действительно может управлять каждый. Мы внимательно рассмотрели ситуацию и расскажем вам, насколько в реальности надежен WhatsApp.
Протокол шифрования Signal
Проверка шифрования.Чтобы узнать, шифруются ли ваши сообщения, выберите в настройках приложения пункт «Аккаунт | Безопасность».
Для шифрования сообщений WhatsApp использует протокол Signal с открытым исходным кодом (ранее протокол носил имя Axolotl), в разработке которого участвовал Мокси Марлинспайк - специалист в области кибербезопасности. Марлинспайк, обладающий великолепной репутацией в кругах IT-безопасности, является основателем организации-разработчика программного обеспечения Open Whisper Systems, которая, в частности, выпустила крипто-мессенджер Signal.
С технической точки зрения у протокола Signal речь идет об асимметричном методе шифрования с использованием открытых ключей. Пары ключей, необходимые для шифрования/дешифрования, генерируются на смартфоне уже при установке клиента WhatsApp. Когда пользователь входит в систему WhatsApp, публичные ключи сохраняются на серверах этого мессенджера. Согласно положениям технической документации, серверы WhatsApp не обладают доступом к частным ключам, поэтому они локально хранятся на смартфоне. Это означает, что пользователь не должен ни вводить ключ, ни держать его в голове: сам смартфон как бы становится ключом. WhatsApp шифрует все содержание, от простого текста до голосового сообщения. Это же положение имеет силу и для звонков с использованием сервиса. Перед обменом первыми сообщениями клиенты смартфонов собеседников путем обмена публичными ключами согласовывают общий корневой ключ и серийный ключ.
Затем на базе последнего для каждого сообщения создается собственный кратковременный ключ. Поскольку все ключи постоянно обновляются, как при использовании метода «совершенной прямой секретности» (Perfect Forward Secrecy), злоумышленник, знающий отдельные ключи, не может расшифровать ни будущие, ни предыдущие сообщения.
Дополнительный контроль.Сведения о том, зашифрован ли чат, также находятся в контекстном меню чата, в пункте «Посмотреть контакт».
Так как до последнего времени отсутствовали сообщения об уязвимостях в протоколе Signal (мнимый взлом WhatsApp разработчиком антивируса Джоном Макафи был впоследствии представлен как пиар-ход), данное шифрование можно считать надежным. Однако это действует только до тех пор, пока связь осуществляется между двумя смартфонами. Уязвимое место все же существует - это веб-клиент и клиент для настольного ПК.
Начиная с прошлого года WhatsApp можно использовать на компьютере - через браузер. В мае 2016 года также были выпущены клиенты для Windows и Mac OS X. В принципе, эти приложения представляют собой тип дистанционного управления для приложения смартфона, которые «отражают» аккаунт со всем его контентом на компьютере. Для этого достаточно отсканировать с помощью приложения смартфона QR-код в веб- или десктопном клиенте. Далее компьютер создает защищенное HTTPS-соединение со смартфоном, однако не локальное, например, через беспроводную сеть, а через Интернет.
Веб-клиент как «слабое звено»
Шифрование только с обновлением.Сообщения шифруются только в том случае, если оба собеседника обновили свои приложения до последней версии.
Для сквозного шифрования это представляет собой большую проблему. Если верно, что, как указано в документации к мессенджеру WhatsApp, сервер не имеет доступа к частным ключам пользователя, то это же условие имеет силу и для веб- или десктопных клиентов, которые синхронизируются со смартфоном через сервер WhatsApp. Это означало бы, что сквозное шифрование сообщений между этими клиентами и приложением смартфона прекращено и заменено более слабым транспортным шифрованием, представляющим собой уязвимое место для так называемых атак «человек посередине» (Man-in-the-Middle).
В другом возможном сценарии, при котором связь между приложением смартфона и удаленным клиентом была зашифрована по методу сквозного шифрования, частные ключи пользователя должны были бы передаваться через Интернет. Так как при этом они могли бы быть перехвачены, это означало бы катастрофический крипто-провал.
Разработчики WhatsApp молчат по этому вопросу: веб- и десктопные клиенты не упоминаются в документации, и на соответствующий запрос от Chip не было получено ответа. Не имеет значения, какой сценарий применяется для внешних клиентов: тот, кто придает большое значение сквозному шифрованию, не должен вмешиваться в процесс.
Нет ничего проще
Полный доступ.WhatsApp запрашивает доступ ко многим данным, начиная с Android 6 возможно ограничить права доступа.
Что касается удобства шифрования, то здесь WhatsApp все делает правильно - проще вряд ли получится. Для включения сквозного шифрования оба собеседника (или, в случае группового чата, все участники) должны обновить приложение до последней версии.
Поскольку WhatsApp периодически выпускает обязательные обновления, повсеместное распространение сквозного шифрования является лишь вопросом времени. Однако все варианты WhatsApp, независимо от операционной системы, поддерживают шифрование. Тот, кто хочет знать, использует ли шифрование его приложение, может проверить это в настройках аккаунта, в пункте «Шифрование». Использует ли шифрование собеседник, можно узнать в контекстном меню чата, в пункте «Посмотреть контакт | Шифрование».
Существует дополнительная опция верификации публичного ключа собеседника, посредством сканирования обоими пользователями QR-кода с дисплея смартфона другого человека. Для этого необходимо выбрать контакт в списке контактов, далее нажать на кнопку с изображением трех точек в верхнем правом углу экрана, перейти в «Посмотреть контакт | Шифрование» и следовать указаниям программы (см. стр. 53).
Наряду с шифрованием собственно содержания сообщений WhatsApp также шифрует метаданные и сведения о личностях собеседников и длительности их общения. Эти данные передаются, однако, с использованием не сквозного, а транспортного шифрования, для «сокрытия от неправомочных сетевых наблюдателей», как это названо в документации. Говоря проще, это означает, что WhatsApp и, вероятно, также материнская компания Facebook, имеют доступ к этим данным.
То, что социальная сеть «не дружит» с защитой данных, достаточно широко известно. WhatsApp, кажется, тоже не придает большого значения информированию пользователей о том, что происходит с их данными. В частности, пользовательское соглашение с WhatsApp на официальном сайте доступно пока только на английском языке.
В WhatsApp также не следует путать шифрование с анонимностью. Тому, кто придает этому факту большое значение или не желает предоставлять компании Facebook доступ к личной адресной книге, следует обратиться к альтернативным крипто-мессенджерам.
Альтернативные крипто-мессенджеры
Большинство альтернатив мессенджеру WhatsApp пока не столь популярны, зато зачастую предлагают даже более широкие возможности. Недоверчивые могут использовать альтернативы для обмена важными данными, например, для деловой переписки. Мы представляем три таких мессенджера:
Signal (ранее TextSecure)
Представляет собой бесплатный мессенджер с открытым исходным кодом для Android и iOS, разработанный компанией Open Whisper Systems. Наряду с зашифрованными текстовыми сообщениями и телефонными разговорами также можно обмениваться незашифрованными SMS и MMS. Для сквозного шифрования применяется протокол Signal, используемый и в WhatsApp. С апреля 2016 года доступна бета-версия клиента для настольных компьютеров.
Бесплатный и не содержащий рекламы мессенджер, доступный для всех основных платформ. Наряду с обычной функцией обмена сообщениями, в нем также существует возможность передачи сообщений со сквозным шифрованием в так называемых «тайных чатах». Telegram был разработан основателем социальной сети «ВКонтакте» Павлом Дуровым. Однако, согласно его собственному высказыванию, мессенджер не связан ни с сайтом «ВКонтакте», ни с Россией. Штаб-квартира компании расположена в Берлине.
Как и Signal, передает все сообщения с использованием сквозного шифрования. Наряду с текстами можно отправлять изображения, видео, местонахождение, голосовые сообщения и присоединяемые файлы размером до 20 Мбайт. Сервера Threema, как и главный офис компании, расположены в Швейцарии. Приложение доступно для Android, iOS и Windows Mobile, его стоимость составляет 179 (Android) и 229 рублей (iOS). Кроме того, разработан вариант мессенджера (Threema Work), адаптированный для предприятий.
В 2014 году, накануне покупки Facebook компании-разработчика мессенджера WhatsApp, основным ресурсом последней являлась клиентская база, чей объем оценивался в 417 миллионов пользователей. Стоит ли лишний раз говорить о популярности сервисов обмена мгновенными сообщениями (IM), если вы, наверняка, применяете их преимущества в своей личной и профессиональной жизни ежедневно?
WhatsApp, Viber, Skype, Facebook Messenger и другим ПО действительно удалось захватить мир коммуникаций и заставить нервничать мобильных операторов. Секрет успеха прост: пользователи смартфонов обеспечены беспроводной связью практически повсеместно, и выбор между традиционным звонком и бесплатным контактом посредством мессенджеров стирается сам собой.
Но готовы ли вы слепо обменять личную безопасность на экономию средств? Организация под названием Фонд Электронных Рубежей (EFF) настоятельно советует задуматься, прежде чем дать окончательный ответ. EFF специализируется на защите гражданских свобод в цифровом мире и охране пользователей от массовой правительственной слежки. Одно из направлений деятельности службы касается обмена мгновенными сообщениями. Фонд не призывает отказываться от использования сервисов IM, но рекомендует делать выбор с соблюдением интересов личной безопасности.
Что делает безопасный мессенджер защищенным?
Существует семь критериев, которые могут быть выявлены в ходе следующего теста:
- Предоставляет ли приложение шифрование на всех этапах коммуникации?
- Провайдер услуг не может получить доступ к каналу коммуникации?
- Можете ли вы получить подтверждение информации о личности собеседника?
- В случае утери ключей шифрования предыдущие сообщения остаются в безопасности?
- Может ли быть проведен независимый глубокий анализ кода приложения?
- Разработка и реализация криптографии задокументирована и доступна для анализа?
- Был ли код и его исполнение независимо проверены в течение прошлого года?
Если в случае исследования вы получите отрицательный ответ на первые 4 вопроса, скорее всего, вы имеете дело с небезопасным ПО. Вероятно, вам интересно, проходят ли тест самые популярные приложения: BlackBerry Messenger, Facebook Chat, iMessage, Skype, Viber и WhatsApp? Результаты не могут порадовать — лишь iMessage набрал более двух положительных ответов.
Где искать защиту?
Безопасность, как и любая базовая потребность, как правило, находит удовлетворение. Этот принцип действует и в отношении защищенности связи. Компания WhisperSystems занимается разработкой мобильных программ, одной из которых является безопасный мессенджер Signal для iOS.
Приложение использует протокол под названием TextSecure. Это значит, что пользователи могут без страха за утечку информации обмениваться голосовыми и текстовыми сообщениями по сети интернет. Мессенджер дарит душевное спокойствие. Вот, в чем заключается его основная ценность.
Signal подтверждает личность собеседника и, в отличие от схожих продуктов, является open-source проектом, доступным для аудита. Если злоумышленник украдет ваш ключ шифрования, ему не удастся с помощью него расшифровать уже написанные сообщения. Данные сервиса не перемешиваются с прочими мобильными службами. Уязвимость iMessage, например, заключается в том, что в отсутствие сопряжения с другим устройством от Apple информация передается через шлюз SMS, что снижает степень защиты.
Пора ли отказываться от WhatsApp?
Важно понимать, что ни одна технология не является абсолютно безопасной. WhisperSystems удалось проделать серьезную работу в русле защиты обывателей от массовой слежки. Если вы действительно хотите минимизировать вероятность надзора за конфиденциальной информацией, пожалуй, отказ от WhatsApp в пользу Signal станет мотивированным поступком.
Утверждает, что все зашифрованные мессенджеры уязвимы, и в особенности, Whatsapp. Материал наделал много шума, однако так ли все печально на самом деле? Компания-эксперт в области интернет-безопасности Open Whisper Systems утверждает, что ничего нового в The Guardian написано не было и на Вотсап “наехали” напрасно.
Прошлой весной Whatsapp выпустил крупнейшее обновление в своей истории — добавилась функция принудительного конечного шифрования, которая по сути означает, что никто, включая Whatsapp, не может прочитать вашу переписку. Вчерашнее расследование The Guardian представляет мнение эксперта, который заявляет, что Whatsapp умышленно оставил “черный ход” (backdoor) в своем коде для возможного перехвата сообщений спецслужбами и другими заинтересованными лицами. Сами же разработчики Whatsapp утверждают, что это совсем не так, и что потенциально небезопасное поведение их приложения — ни что иное как облегчение жизни своим многочисленным пользователям.
Безопасность переписки Whatsapp была разработана с помощью компании Open Whisper Systems, той самой, которая разработала самый безопасный мессенджер в мире — Signal, и в своем блоге компания подробно описывает как все работает. В Вотсап внедрен Signаl-протокол (а еще он внедрен в недавний Google Allo), который выдает каждому пользователю два ключа безопасности: публичный ключ, по которому его могут идентифицировать другие пользователи и личный приватный ключ, который будет закреплен на устройстве. Поскольку люди частенько меняют свои телефоны и перестанавливают приложения, связка ключей безопасности будет меняться соответственно этому. Пользователи могут убедиться в приватности своего общения внутри Whatsapp, проверяя код безопасности на каждом устройстве, участвующем в разговоре — если коды совпадают, это будет означать что перехват сообщений между собеседниками отсутствует (такой тип атаки называется man-in-the-middle, MITM).
Материал the Guardian основан на расследовании Тобиаса Белтера (Tobias Belter) . Он утверждает, что сервер Whatsapp можно взломать по запросам третьих лиц. То есть Вотсап может сгенерировать новый ключ безопасности и выдать его этим самым третьим лицам пока пользователи не заметят, что что-то произошло. В мессенджере Signal app любая подмена ключа безопасности результирует в невозможность отправки сообщения и в предупреждение безопасности, причем все это происходит до того, как пользователь соберется переправить сообщение заново и самостоятельно. В Whatsapp же пользователь получает уведомление о смене ключа, при этом сообщение будет автоматически перекодировано под новый ключ и отправлено адресату. То есть вы только потом сможете выяснить, действительно ли совпадает новый ключ с вашим адресатом. При том, что такую настройку о предупреждении в вашем Whatsapp еще необходимо включить вручную:
Подобное поведение Whatsapp в компании Open Whisper Systems объясняют идеологической простотой использования мессенджера. А еще, сервера Whatsapp не знают, кто включил настройку о предупреждении, а кто нет — поэтому попытка взлома может быть быстро обнаружена. Во всяком случае, “адвокаты” Whatsapp настаивают на том, что такую политику безопасности можно называть как угодно, но это не уязвимость и не backdoor. Это “особенность”.
Многие западные эксперты по безопасности соглашаются с выводами Open Whisper Systems:
It’s ridiculous that this is presented as a backdoor. If you don’t verify keys, authenticity of keys is not guaranteed. Well known fact.
Frederic Jacobs (@FredericJacobs)
Многие проблемы и недостатки WhatsApp применимы и к другим популярным сервисам. Однако WhatsApp пользуется неимоверной популярностью, но при этом не имеет простейших функций вроде видеозвонков (хотя их вскоре обещают добавить), что несколько сковывает при использовании мессенджера. А появление «дыры» в безопасности может привести к серьезным проблемам для всех пользователей.
Безопасность
Не так давно WhatsApp преодолел отметку в один миллиард активных пользователей. Ежедневно в мессенджере отсылается 42 млрд сообщений и 1,6 млрд фотографий. При этом столь высокие показатели WhatsApp удалось достичь, во многом уступая своим конкурентам в вопросе безопасности.
Истории об очередном взломе WhatsApp появляются чуть ли не каждую неделю с момента появления мессенджера.
Чего только не делали с WhatsApp: взламывали за несколько действий зашифрованные данные приложения, загружали вирусы на компьютеры через веб-версию сервиса, вскрывали всю историю чатов и не только.
С целью повышения безопасности WhatsApp не так давно ввел механизм шифрования переписки и любой другой информации, передаваемой между пользователями. То есть получить доступ к данным могут только отправитель и адресат сообщения — перехватить сообщения третьи лица (хакеры, преступники, силовики и т.д.) не могут.
Но по уверениям популярного специалиста по безопасности, и это шифрование удается взломать.
Основатель компании - разработчика антивирусного ПО McAfee на глазах журналистов взломал смартфон с установленным WhatsApp и показал зашифрованную переписку. Однако, по мнению экспертов компании LIFARS, подобный трюк мог быть всего лишь умелым применением шпионского софта.
Функциональность
Одна из главных проблем WhatsApp заключается в редком обновлении сервиса. Многие давно обещанные функции появляются спустя очень долгое время. Так, шифрование в мессенджере анонсировали в 2014 году, а финальную версию — только в 2016-м.
Чем шире функциональность мессенджера, тем меньше нужно прибегать к другим сервисам: в одном чате мессенджера можно вести формальную переписку с коллегами, а в другой — весело обсуждать котиков с YouTube, а после этого и связаться с помощью видеозвонка. С такой точки зрения WhatsApp выглядит как обычный сервис для отправки сообщений, тогда как конкуренты уже могут предложить гораздо больше.
Сообщения с таймером
Возможность отправки самоуничтожающихся сообщений набирает популярность, спрос на такие сервисы растет. У многих сложилось впечатление, что подобная возможность нужна разве что маргинальным слоям населения, отправляющим исключительно запрещенную информацию, но это вовсе не так.
Необходимость в этом может возникнуть из-за обычной боязни того, что сообщение или фотография попадут не в те руки. В случае с WhatsApp это особенно актуально.
Примеров может быть очень много, начиная от пароля, который нужно отправить другу, и заканчивая приватным снимком, который хочется отправить близкому человеку. Хотя самоуничтожение не гарантирует стопроцентную безопасность, потому что ничто не мешает получателю сделать скриншот с сообщением.
Боты
После волны ботов для Telegram на подобный способ взаимодействия с пользователем обратили внимание Google и Microsoft. Все они направлены на то, чтобы помогать пользователю решать задачи: какие-то боты публикуют новости, другие помогают найти самые дешевые билеты на поезд, а с третьими просто можно поиграть.
Именно возможность узнать местонахождение ближайшего ресторана, погоду, последние новости, не выходя из мессенджера, и делает ботов столь интересными.
Кроме этого, при плохом интернет-соединении боты могут сильно выручить, поскольку работают быстрее и требуют меньше трафика.
Стикеры
Стикеры — это весело, кто бы что ни говорил. А возможность их создавать собственноручно еще лучше. Но в WhatsApp нет ни того ни другого. Это выступает барьером при попытке завести неформальную беседу или ответить готовой подходящей наклейкой.
Фишка со стикерами в Telegram несколько переоценена, так как через пару месяцев в мессенджере накапливается невероятно большое их количество, а используется не больше десяти из них. Но, опять же, лучше пусть такая возможность будет, чем нет.
Видеозвонки
Слухи о работе над видеозвонками в WhatsApp ходят уже более года. Сейчас функция тестируется и работает только у тех пользователей, которые приняли участие в тестировании новой версии приложения. Аналогичным образом компания готовилась к запуску голосовых вызовов. Чего-то революционного от видеозвонков в WhatsApp ждать не стоит, функция, скорее всего, будет повторять все то, что уже было доступно в других сервисах.
