Whatsapp безопасен ли – «Правда ли, что WhatsApp — шпионское ПО, и все переписки в нем доступны злоумышленникам?» – Яндекс.Знатоки
Почему WhatsApp никогда не станет безопасным / Habr
Автор колонки — Павел Дуров, основатель мессенджера TelegramМир, кажется, шокирован новостью о том, что WhatsApp превратил любой телефон в следящее устройство. Всё на вашем телефоне, включая фотографии, электронные письма и тексты, было доступно злоумышленникам только потому, что у вас установлен WhatsApp.
Однако эта новость меня не удивила. В прошлом году WhatsApp пришлось признать очень похожую проблему — хакер мог получить доступ ко всем данным вашего телефона через один видеозвонок.
Каждый раз, когда WhatsApp исправляет критическую уязвимость в своём приложении, на её месте появляется новая. Все вопросы безопасности хорошо подходят для слежки, они выглядят и работают как бэкдоры.
В отличие от Telegram, WhatsApp не открывает исходный код, поэтому исследователи безопасности не могут легко проверить, есть ли там бэкдоры. WhatsApp не только не публикует код, они делают прямо противоположное: WhatsApp специально обфусцирует бинарные файлы своих приложений, чтобы никто не мог их тщательно изучить.
Возможно, WhatsApp и её материнская компания Facebook даже обязаны реализовать бэкдоры — через секретные процессы, такие как секретные приказы ФБР. Нелегко запустить безопасный мессенджер, находясь в США. За неделю, проведённую нашей командой в США в 2016 году, к нам трижды пытались проникнуть агенты ФБР. Представьте, что произойдёт с американской компанией за 10 лет работы в такой среде.
Я понимаю, что силовые структуры оправдывают установку бэкдоров антитеррористическими усилиями. Проблема в том, что такие бэкдоры могут также использоваться преступниками и авторитарными правительствами. Неудивительно, что диктаторы, похоже, любят WhatsApp. Отсутствие безопасности позволяет им шпионить за своими гражданами, поэтому WhatsApp не блокируют в таких странах, как Россия или Иран, где Telegram запрещён властями.
Собственно говоря, моя работа над Telegram стала прямым ответом на личное давление со стороны российских властей. Тогда, в 2012 году, WhatsApp все ещё передавал сообщения открытым текстом. Это безумие. Не только правительства или хакеры, но и мобильные провайдеры и администраторы WiFi имели доступ ко всем текстам WhatsApp.
Позже WhatsApp добавил некоторое шифрование, которое быстро оказалось маркетинговой уловкой: ключ для расшифровки сообщений был доступен, по крайней мере, нескольким правительствам, включая Россию. Затем, когда Telegram начал набирать популярность, основатели WhatsApp продали свою компанию Facebook и заявили, что у них «конфиденциальность встроена в ДНК». Если это правда, то это, наверное, спящий или рецессивный ген.
Три года назад WhatsApp объявил, что они внедрили сквозное шифрование, поэтому «никакая третья сторона не может получить доступ к сообщениям». Это совпало с агрессивным призывом ко всем пользователям создать резервную копию своих чатов в облаке. При этом WhatsApp не сказал пользователям, что при резервном копировании сообщения больше не защищены сквозным шифрованием и могут быть доступны хакерам и правоохранительным органам. Блестящий маркетинг, в результате которого некоторые наивные люди теперь отбывают тюремный срок.
Тех, кто не поддался на постоянные всплывающие окна, рекомендующие создавать резервные копии своих чатов, всё ещё можно отследить с помощью ряда трюков — от доступа к резервным копиям контактов до незаметных изменений ключа шифрования. Метаданные, генерируемые пользователями WhatsApp — логи, описывающие, кто с кем и когда общается, — просачиваются во все агентства в больших объёмах через материнскую компанию. Кроме того, вы получаете набор критических уязвимостей, сменяющих друг друга.
У WhatsApp стабильная и последовательная история — от нулевого шифрования при создании до нынешних уязвимостей, странно подходящих для целей наблюдения. Оглядываясь назад, за их десятилетнюю историю не было ни одного дня, когда этот сервис был безопасным. Вот почему я не думаю, что простое обновление мобильного приложения WhatsApp сделает его безопасным. Чтобы стать сервисом, ориентированным на конфиденциальность, WhatsApp должен рискнуть потерей целых рынков и столкнуться с властями в своей стране. Они, кажется, не готовы к этому.
В прошлом году основатели WhatsApp покинули компанию из-за опасений за конфиденциальность пользователей. Они определённо связаны либо секретными приказами, либо NDA, поэтому не могут публично обсуждать бэкдоры, не рискуя потерять своё состояние и свободу. Однако они смогли признать, что «продали конфиденциальность своих пользователей».
Я могу понять нежелание основателей WhatsApp предоставить более подробную информацию — нелегко поставить под угрозу свой комфорт. Несколько лет назад мне пришлось покинуть свою страну после отказа соблюдать санкционированные правительством нарушения конфиденциальности пользователей «ВКонтакте». Это было неприятно. Но сделаю ли я что-то подобное снова? С удовольствием. Каждый из нас рано или поздно умрёт, но мы, как вид, останемся здесь на некоторое время. Вот почему я думаю, что накопление денег, славы или власти не имеет значения. Служить человечеству — это единственное, что действительно имеет значение в долгосрочной перспективе.
И всё же, несмотря на наши намерения, я чувствую, что мы подвели человечество во всей этой шпионской истории WhatsApp. Многие люди не могут прекратить использовать WhatsApp, потому что их друзья и семья всё ещё там. Это означает, что мы в Telegram проделали плохую работу, убеждая людей переключиться. Хотя за последние пять лет мы привлекли сотни миллионов пользователей, этого оказалось недостаточно. Большинство пользователей интернета по-прежнему остаются заложниками империи Facebook/WhatsApp/Instagram. Многие из тех, кто использует Telegram, также находятся на WhatsApp, то есть их телефоны по-прежнему уязвимы. Даже те, кто полностью отказался от WhatsApp, вероятно, используют Facebook или Instagram, оба из которых думают, что это нормально хранить ваши пароли в открытом тексте (я до сих пор не могу поверить, что техническая компания способна сделать что-то подобное и выйти сухой из воды).
Почти за шесть лет своего существования у Telegram не было серьёзных утечек данных или недостатков безопасности, которые WhatsApp демонстрирует каждые несколько месяцев. За те же шесть лет мы раскрыли ровно ноль байтов данных третьим лицам, в то время как Facebook/WhatsApp делятся любой информацией почти со всеми, кто утверждает, что работает на правительство.
Мало кто за пределами сообщества поклонников Telegram понимает, что большинство новых функций обмена сообщениями сначала появляются в Telegram, а затем копируются WhatsApp до мельчайших деталей. Совсем недавно мы стали свидетелями попытки Facebook заимствовать всю философию Telegram, когда Цукерберг внезапно заявил о важности конфиденциальности и скорости, практически слово в слово цитируя описание приложения Telegram в своей речи на конференции F8.
Но нытьё о лицемерии FB и отсутствии креативности не поможет. Мы должны признать, что Facebook выполняет эффективную стратегию. Посмотрите, что они сделали со Snapchat.
Мы в Telegram должны признать свою ответственность в формировании будущего. Либо мы, либо монополия Facebook. Либо свобода и приватность, либо жадность и лицемерие. Наша команда конкурирует с Facebook в течение последних 13 лет. Мы уже обыграли их однажды, на восточноевропейском рынке социальных сетей. Мы снова победим их на мировом рынке обмена сообщениями. Мы должны.
Это будет нелегко. Отдел маркетинга Facebook огромен. А мы в Telegram не занимаемся маркетингом. Мы не хотим платить журналистам и исследователям, чтобы они рассказывали миру о Telegram. Для этого мы полагаемся на вас — миллионы наших пользователей. Если вам достаточно нравится Telegram, вы расскажете о нём своим друзьям. И если каждый пользователь Telegram уговорит трёх своих друзей удалить WhatsApp и на постоянной основе использовать Telegram, то Telegram уже станет более популярным, чем WhatsApp.
Век жадности и лицемерия закончится. Начнётся эра свободы и приватности. Она гораздо ближе, чем кажется.
Насколько безопасно использовать WhatsApp?
Мессенджеры плотно заняли огромную часть нашей повседневной жизни. Whatsapp — популярная платформа для обмена сообщениями в мире, принадлежащая Facebook. Многие вещи имеют изъяны и Whatsapp не стал исключением. В нем скрываются потенциальные угрозы, о которых вы как пользователь должны знать и помнить.
Сеть WhatsApp
Начать нужно с понятия Whatsapp Web. Данная утилита синхронизирует вашу информацию между телефоном и вашим компьютером. Удобная функция, однако, именно здесь и появилась проблема — многие киберпреступники используют ее. Так как сервисы для установки приложений для телефонов вроде Google Play и прочее регулируются куда более тщательно, нежели мировая сеть Интернет, злоумышленники стали подсовывать незнающим пользователям ненастоящие программы через компьютер, где могли содержаться: спам, вредоносное ПО и другие зловреды. Не стоит забывать и про фишинговые сайты, где пользователей обманным путем заставляли передавать свою личную информацию. Киберпреступники маскировали сайты под Whatsapp Web, чтобы выпрашивать из вас ваши номера телефона для подключения к своей ложной услуге. После этого мошенники начинают закидывать вас спамом или чем еще похуже. Чтобы избежать подобной неприятности, лучше использовать только те приложения и сервисы, которые доступны из официальных источников.
Незашифрованные резервные копии
Многие мессенджеры кодируют передаваемые пользователями сообщения. Данная функция предотвращает перехват переданной вами информации другим пользователям. Но данные сообщения могут быть доступны, если будут расшифрованы прямо на вашем устройстве. Whatsapp позволяет создавать резервные хранилища данных по типу Google Диск или ICloud. Данные утилиты позволяют восстановить случайно удаленные сообщения. Разница лишь в том, что в хранилищах ваши сообщения расшифрованы, и, в теории, являются уязвимыми, так как подрывают сквозное шифрование WhatsApp.
На данный момент ни один крупномасштабный взлом не повлиял на облачные хранилища, но это не означает, что в будущем не может произойти тотального взлома. Не стоит забывать о других средствах, которые злоумышленники могут использовать для получения доступа к вашим учетным записям.
Фейковые новости
В последние годы компании, занимающиеся социальными сетями, подвергались критике за то, что они позволяли распространять поддельные новости и дезинформацию на своих платформах. Facebook, в частности, был осужден за свою роль в распространении дезинформации на всю президентскую кампанию в США в 2016 году. WhatsApp также подвергался тем же обвинениям.
Два из наиболее заметных случаев были в Индии и Бразилии. WhatsApp был замешан в широком распространении информации в Индии, содержащую жестокий контент с насильственным подтекстом. Происходило это в 2017-2018 годах.В сообщениях передавали информацию о сфабрикованных похищениях детей. Данный контент распространился среди многих пользователей мессенджера.
В Бразилии WhatsApp был основным источником фальшивых новостей на выборах 2018 года. Поскольку такую дезинформацию было так легко распространить, деловые люди в Бразилии создали компании, которые создали незаконные кампании по дезинформации WhatsApp против кандидатов. Они могли сделать это при помощи вашего номера телефона. Ведь именно эта информация несет в себе ваше имя пользователя WhatsApp. Поэтому они приобрели списки телефонных номеров для отслеживания.
Обе проблемы продолжались до 2018 года. Facebook нес большие убытки. Подобные ситуации показали, что цифровая дезинформация — огромная проблема для всего мира.
Безопасен ли?
WhatsApp — противоречивая платформа. В данном приложении существует сквозное шифрование, как гарант безопасности ваших данных. Однако есть и проблемы, которые подвергают опасности вашу конфиденциальность в сети. Не забывайте о том, что WhatsApp принадлежит Facebook и подвергается многим таким же угрозам конфиденциальности и кампаниям по дезинформации, что и их материнская компания. Надеемся, что статья поможет вам безопасно и эффективно общаться в чате.
5 угроз безопасности, о которых должен знать каждый пользователь WhatsApp
5 угроз безопасности, о которых должен знать каждый пользователь WhatsApp
По разным оценкам у WhatsApp около одного миллиарда пользователей, отправляющих более 65 миллиардов сообщений ежедневно.
WhatsApp, принадлежащий социальной сети Facebook, является одним из наиболее популярных мессенджеров. По разным оценкам у WhatsApp около одного миллиарда пользователей, отправляющих более 65 миллиардов сообщений ежедневно.
Немудрено, что у столь популярного приложения появились угрозы, связанные с безопасностью, вредоносами и спамом. Далее мы рассмотрим пять проблем, о которых должен знать каждый пользователь WhatsApp.
1. Злоупотребление сервисом WhatsApp Web
Огромная база пользователей WhatsApp — очевидная цель киберпреступников, многие из которых специализируются на сервисе WhatsApp Web. В течение нескольких лет WhatsApp доступен через веб-сайт или в виде настольного приложения, когда мы можем отсканировать код в телефоне и использовать этот мессенджер на компьютере.
Однако официальные магазины приложений — App Store в iOS и Google Play в Android – регулируются намного строже, чем другие сайты подобного рода в интернете. Когда мы ищем WhatsApp в официальном магазине, вполне понятно, какое приложение является официальном. В интернете же картина далеко не столь очевидна, чем и пользуются хакеры, спамеры и другие криминальные элементы.
Бывали случаи, когда злоумышленники выдавали вредоносное ПО за официальные приложения WhatsApp. Соответственно, после загрузки и установки в системе жертвы появлялся вредонос или происходило компрометирование другим образом.
В некоторых случаях хакеры могли устанавливать вредоносы через уязвимость в WhatsApp.
Некоторые злоумышленники использовали другие подходы, например, создавая фишинговые сайты с целью сбора персональной информации. Некоторые из этих сайтов маскировались под веб-версию WhatsApp и запрашивали номер телефона для подключения к сервису. Впоследствии полученный телефонный номер использовался для спама или поиска соответствия с другими украденными данными.
Для безопасной работы лучше всего использовать приложения и сервисы, предоставляемые официальными источниками. В WhatsApp есть веб-клиент WhatsApp Web для работы на любом компьютере. Существуют также официальные приложения для Android, iOS, macOS и Windows.
2. Незашифрованные резервные копии
Во время пересылки сообщений в WhatsApp используется сквозное шифрование. То есть декодировать переданную информацию сможете только вы и получатель. Эта функция позволяет защититься от перехвата (даже администраторами Facebook) во время передачи данных. Однако сквозное шифрование никак не защищает сообщения после дешифровки на вашем устройстве.
В WhatsApp предусмотрено создание резервной копии сообщений и другого контента в Android и iOS. Эта важная функция позволяет восстанавливать случайно удаленные сообщения. Помимо резервной копии в облаке, также существует локальная резервная копия на вашем устройстве. В Android вы можете сохранить копию на Google Drive, в iOS – на iCloud. Резервная копия содержит сообщения, расшифрованные на вашем устройстве.
Резервные файлы, хранимые на iCloud и Google Drive, не зашифрованы. Теоретически эти облачные сервисы могут быть уязвимы, что снижает эффективность сквозного шифрования.
Поскольку мы не можем выбирать местонахождение резервной копии, то в плане безопасности данных находимся во власти облачных провайдеров. Хотя до сегодняшнего момента ни один крупномасштабный взлом не касался iCloud и Google Drive, полной гарантии безопасности никто не даст. Существуют также и другие способы получения незаконного доступа к вашей учетной записи облачного хранилища.
Одно из преимуществ шифрования – защита вашей информации от правительства и правоохранительных органов, а поскольку незашифрованная резервная копия хранится у одного из двух американских облачных провайдеров, для доступа к этим данным потребуется всего лишь ордер. В общем, как уже было сказано выше, незашифрованная резервная копия снижает эффективность сквозного шифрования.
3. Совместное использование данных в Facebook
За последние годы социальная сеть Facebook многократно подвергалась критике. В основном дело касалось эффективной рыночной монополии и деятельности, направленной против конкурентов. Регуляторы пытаются минимизировать анти-конкурентные действия посредством оценки и анализа любых попыток поглощения.
Поэтому, когда в семейство Facebook было решено добавить WhatsApp, Европейский Союз одобрил сделку только после того, как было заявлено, что Facebook и WhatsApp являются двумя отдельными компаниями, и данные будут храниться раздельно.
Через весьма непродолжительное время в Facebook вернулись к этому соглашению, и в 2016 году WhatsApp обновил Политику конфиденциальности, позволив делать доступной информацию из WhatsApp в Facebook. Хотя в полной мере детали о передаваемой информации обнародованы не был, по факту сюда входит номер телефона и другие данные, как, например, время последнего использования сервиса.
Также было заявлено, что никакая информация не будет публично доступна в Facebook, а будет скрыта в недоступном профиле. В ответ на негативную реакцию на это заявление, в WhatsApp была добавлена опция, позволяющая запретить обмен информацией, которая, впрочем, впоследствии была по-тихому убрана.
Сей факт, вероятно, является подготовительным шагом к будущим плана Facebook. Согласно статье, опубликованной в New York Times в январе 2019 года, начинается создание единой инфраструктуры для всех платформ обмена сообщениями: Facebook, Instagram, и WhatsApp. Таким образом, хотя каждый сервис будет продолжать работать как отдельное приложение, все сообщение будут отправляться через единую сеть.
4. Слухи и фейковые новости
В последнее время социальные сети подвергались критике за лояльное отношение к распространению фейковых новостей и дезинформации. В частности, компания Facebook стала участником судебного разбирательства за распространение ложной информации во время президентской компании в 2016 году. WhatsApp также был объектом критики по схожим причинам.
Два наиболее примечательных случая произошли в Индии и Бразилии. В Индии WhatsApp использовался в распространении информации, связанной с насилием, в 2017-2018 годах. Сообщения содержали детали о сфабрикованных похищениях детей с конкретной информацией о псевдо преступниках, о чем узнало много людей. В результате все закончилось линчеванием участников несуществующих криминальных событий.
В Бразилии WhatsApp был источником поддельных новостей во время выборов 2018 года. Поскольку подобного рода информацию легко распространять, бизнесмены в Бразилии организовали целые компании для дезинформации средствами WhatsApp против кандидатов. Этот сценарий удалось реализовать, поскольку телефонный номер одновременной является именем пользователя, и была куплена база телефонов для рассылки.
Обе проблемы существовали весь 2018 год, ставший одним из самых ужасных для Facebook. Предотвратить распространение дезинформации в век цифровых технологий не так-то просто, но многие считали, что реакция WhatsApp была довольно вялой.
Однако в WhatsApp были внесены некоторые изменения. В частности, появились ограничение на перенаправление сообщений. Раньше можно было перенаправлять в 250 групп, затем – только в 5. Кроме того, в некоторых регионах была удалена кнопка перенаправления.
5. Статус в WhatsApp
В течение многих лет статус WhatsApp (короткая строка текста) был единственным способом сообщить, чем вы занимаетесь в данный момент. Потом эта функция переросла в WhatsApp Status, представляющую собой клон популярной опции Stories в Instagram.
Instagram – эта платформа, предназначенная для публичного использования, хотя при желании вы можете сделать свой профиль скрытым. С другой стороны, WhatsApp более приватный сервис, используемый для общения с друзьями и семьей. Таким образом, предполагается, что статус в WhatsApp также должен быть приватным.
Ничего подобного. Любой из вашего списка контактов в WhatsApp может просматривать ваш статус. Однако вы можете управлять видимостью своего статуса.
В разделе Settings (Настройки) > Account (Аккаунт) > Privacy (Приватность) > Status (Статус) доступно три варианта приватности:
- My contacts (Мои контакты).
- My contacts except… (Контакты, кроме…).
- Only share with… (Поделиться с…).
Хотя в WhatsApp не дают четкого ответа, могут ли заблокированные контакты просматривать ваш статус, была сделана разумная вещь: все заблокированные контакты не могут просматривать ваш статус вне зависимости от настроек приватности. Как и в случае с опцией Stories в Instagram, любые видео и фотографии добавленные в статус, исчезнут через 24 часа.
Безопасен ли WhatsApp?
После прочтения статьи возникает закономерный вопрос «Безопасен ли сейчас WhatsApp?», ответить на который не так-то просто. С одной стороны, в одном из наиболее популярных приложений используется сквозное шифрование, намекающее на высокий уровень безопасности. Однако есть и проблемы, главная из которых – WhatsApp принадлежит социальной сети Facebook и перенимает многие проблемы и угрозы, связанные с приватностью и распространением дезинформации, которые присутствуют в родительской компании.
Надёжен ли WhatsApp? Разбор полётов «за» и «против»
На данный момент известно несколько фактов отсутствия анонимности в мессенджере
Например, компания WhatsApp в настоящее время принадлежит компании Facebook. Кроме того, что она просто принадлежит ей, так компания WhatsApp «сливает» информацию в FB. Если более конкретно говорить — если один и тот же номер привязан и к WhatsApp и к Фэйсбуку — ждите «возможных» друзей в Фэйсбуке из вашей телефонной книги. Из чего можно сделать вывод — остаться анонимным используя номер WhatsApp как основной не удастся ни в коем случае. Кроме того, зная чём вы переписываетесь Фэйсбук делает предложения каких-либо товаров(реклама). Исходя из чего можно сделать вывод, что WhatsApp «сливает информацию» как минимум Facebook’y, а возможно, не только им. И, всякие сказки про сквозное шифрование и секретные чаты в WhatsApp уходят в небытие.
Кроме того, на середину 2016 года надёжное end-to-end шифрование он мог предоставить только для Android. Для iPhone под управлением iOS/ в том же году правозащитная организация присвоила 2 балла из 7 возможных по надёжности для WhatsApp (Electronic Frontier Foundation (EFF))/
И, казалось бы, на этом всё, вроде бы понятно, не очень надёжный мессенджер, но это только лишь начало…
Мессенджер WhatsApp использует библиотеку мессенджера Signal, исходники которого вполне открыты, что не мешает закрытой части мессенджера «сливать» ваш приватный ключ, либо тексты сообщения до шифрования
Кроме того, сама компания WhatsApp может принудительно генерировать ключи к вашим сообщениям в тот момент, когда вы не в сети. Более подробно от источника: Брешь в системе безопасности обнаружил Тобиас Бёльтер (Tobias Boelter), исследователь в области криптографии и безопасности из Калифорнийского университета в Беркли. Он рассказал ресурсу The Guardian: «Если правительственная организация попросит WhatsApp открыть доступ к записям сообщений… это будет легко сделать из-за возможности смены ключей». Остаётся только добавить, что устанавливая клиент WhatsApp на свой компьютер вы также передаёте часть данных о компьютере — привязываете конкретный компьютер к записи WhatsApp, конкретному номеру телефона. Выходит, конкретное «железо» компьютера к конкретному «железу» телефона, записные книжки и т.п. Кроме того, не стоит забывать о том, какие разрешения вы сами даёте при установке данной программы. А это доступ к записной книжке, фото, видео, камере и так далее(об этом более подробно в другой статье)
Из новостей этого года.
13 января 2017 года в известной газете «The Guardian» была опубликована статья, в которой чётко было написано следующее. Уязвимость в WhatsApp позволяет самим разработчикам данного приложения подслушивать пользователя и читать его переписку. Когда вы находитесь в offline владельцы компании просто могут заменить ключи без вашего уведомления! Круто? Добавим ещё щепотку соли: когда у вас телефон разряжен — вы находитесь вне зоны сети… Когда вы решили сменить телефон — вы находитесь вне зоны сети, а в этот прекрасный момент… ВСЮ вашу переписку или звуковые сообщения могут закачать себе и прослушать сами разработчики мессенджера.
Напоследок ещё чуть-чуть информации… Исследователи одного из университетов США анализируя коды программы пришли к выводу, что приложение собирает и хранит всю конфиденциальную информацию об абоненте. А также хранит информацию и о его разговорах о всех звонках, кто их принимает и даже о длительности разговоров! А так как сервис об этом не предупреждает заранее, то можно сделать вывод, что сами переписки и содержание звонков он также хранит без уведомления абонента и в любой момент может воспользоваться данной информацией.
Обладая информацией, которую мы привели выше. Мы настоятельно рекомендуем использовать данный мессенджер только на инокгнито (noname) сим карты. Либо зарегистрированные на «собачек» и, что не менее важно, на сим карты другой страны. Кроме того, информацию, которую могут хранить правообладатели WhatsApp они выдают исключительно по запросу каких-либо служб. И наивно полагать, что об абоненте, например, Англии, выдадут информацию нашим заинтересованным структурам.
Поделиться ссылкой:
стоит ли верить словам Дурова о WhatsApp?
Основатель Telegram Павел Дуров призвал пользователей, которые дорожат безопасностью своих сообщений и медиафайлов, удалить приложение WhatsApp. Правда ли приложение опасно или это банальное заявление в адрес конкурента, попытался разобраться «360».
Опасные видео
В очередных проблемах с WhatsApp признались в Facebook, холдингу которого принадлежит мессенджер. 14 ноября компания сообщила, что в WhatsApp устранили брешь CVE-2019-11931. Она позволяла злоумышленникам удаленно, с помощью WhatsApp, взламывать устройства, зная только номера телефонов пользователей. Хакеры отправляли жертвам специальный файл в формате MP4, с помощью которого на гаджете устанавливалась шпионская программа или бэкдор. Это вело к проблемам с переполнением буфера и сбою.
Дуров рассказал, как WhatsApp сливает данные пользователей
Подробнее«Проблема кроется в парсинге метаданных таких типов файлов. Результатом успешной эксплуатации может стать как состояние DoS, так и удаленное выполнение кода», — написали в Facebook.
Фактически с помощью отправленного видео хакеры получали доступ к сообщениям и файлам, которые отправляли пользователи через WhatsApp.
Уязвимость была обнаружена в версиях программы для всех платформ: Android, iOS, Enterprise Client, Windows Phone, а также Business for Android и Business for iOS.
«Уязвимость уже исправлена, там выпустили обновление. Но какое-то время с помощью нее, отправив определенным образом файл, можно было заразить устройство чем-нибудь другим и получить доступ к данным на нем», — объяснил «360» заместитель руководителя Лаборатории компьютерной криминалистики и исследования вредоносного кода Group IB Сергей Никитин.
Критика Дурова
Несмотря на то, что об уязвимости стало известно еще на прошлой неделе, а в новых обновлениях она и вовсе была устранена, основатель Telegram Павел Дуров обрушился с критикой на мессенджер только сейчас.
«Все больше свидетельств тому, что WhatsApp стал ловушкой для людей, которые все еще верят Facebook в 2019 году. Но возможно и то, что WhatsApp просто случайно внедряет критические уязвимости безопасности в свои приложения каждые несколько месяцев. Но я сомневаюсь — у Telegram, похожего приложения по сложности, не было проблем такого масштаба за все шесть лет после запуска», — написал Дуров в своем Telegram-канале.
Программист напомнил, что еще в мае предупреждал о рисках появления все новых уязвимостей в WhatsApp. По словам Дурова, этот мессенджер не просто не защищает сообщения, а постоянно используется в качестве троянского коня для слежки за фотографиями и сообщениями, не относящимися к WhatsApp.
Дуров обратил внимание на то, что Facebook сообщила об уязвимости, но, по их словам, нет доказательств того, что она была создана именно хакерами. Он заметил, что для получения доказательств компании нужно анализировать видео, которыми обмениваются пользователи WhatsApp. При этом мессенджер не хранит видеофайлы на своих серверах постоянно, а отправляет незашифрованными прямо на серверы Google и Apple.
Нечего анализировать — нет доказательств. Удобно
Дуров заявил, что уязвимость такого масштаба, без сомнений, будет использована хакерами. Поэтому он дал пользователям простой совет: если они не хотят, чтобы все их фотографии и сообщения в один прекрасный день стали общедоступными, нужно удалить WhatsApp.
Дуров в своем посте также дал ссылки на 12 сайтов с новостями, которые, по его мнению, могут убедить в необходимости отказаться от WhatsApp.
Не только видео
За последний год Facebook и входящий в его холдинг WhatsApp не раз и не два попадали в мировые новости из-за новых уязвимостей.
В октябре независимый ИБ-исследователь под ником Awakened рассказал про баг CVE-2019-11932, который позволяет получать доступ к сообщениям с помощью гифок. По его словам, проблема связана с ошибкой класса double-free, которая возникает при попытке дважды освободить ячейку памяти. Он показал на видео, что злоумышленники могут получить доступ к устройству в течение нескольких секунд после того, как вредоносный GIF-файл появится в окне галереи в WhatsApp. Проблема была устранена в версии WhatsApp 2.19.244.
В мае WhatsApp сам сообщил о серьезной уязвимости, которая позволяла хакерам устанавливать на телефонах вредоносную программу для слежки за пользователями. Суть атаки заключалась в том, что на телефон просто отправлялся голосовой звонок. Причем, даже если пользователь не отвечал на него, вредоносная программа все равно устанавливалась. Она позволяла отслеживать передвижение владельца с помощью камеры и микрофона смартфона. По информации Financial Times, шпионскую программу разработала израильская фирма NSO Group.
Пару недель назад Rеutеrs сообщил, что из-за бага с голосовым сообщением слежке подверглись политики и представители высшего руководства вооруженных сил из, как минимум, 20 государств с пяти континентов.
Кроме того, Bloomberg сообщал, что США и Британия подписали соглашение, согласно которому данные WhatsApp могут передавать британской полиции. Хотя это и не уязвимость приложения в техническом смысле, но все равно неприятно.
WhatsApp изменил настройки конфиденциальности
ПодробнееВсе это выглядит еще более угрожающе, если учесть, что, по последним данным, у WhatsApp 1,6 миллиарда пользователей. Он занимает третье место среди всех соцсетей и первое место среди мессенджеров. Для сравнения, у Telegram, по данным комиссии по ценным бумагам и биржам США, 300 миллионов пользователей по всему миру.
MessengerPeople опубликовал карту, на которой показано, какие мессенджеры предпочитают использовать пользователи тех или иных стран. Оказалось, что WhatsАрр является абсолютным лидером в Восточной Европе, в том числе и в России, в Африке, Южной Америке, Мексике и Индии. Есть страны, где лидирует Telegram. Это Иран, Узбекистан и Эфиопия.
Источник фото: MessengerPeopleЭксперты предполагают, что именно популярность мессенджера сделала его столь уязвимым.
«Это проблема, но нужно понимать, что любое популярное ПО является целью для поиска уязвимостей. Чем популярнее, тем больше ищут, тем больше находят. В любом мессенджере могут быть уязвимости. Вопрос только в том, насколько быстро их ищут и насколько быстро исправляют», — заметил Никитин.
Есть вопрос и к Павлу Дурову — насколько в его словах действительно стоит забота о пользователях и насколько желание распространить свой продукт. Никитин отметил, что в Telegram тоже могли быть уязвимости, которые уже исправили и которые не получили столь большой огласки.
«Безопасность мессенджера с точки зрения шифрования данных — это одно, есть ли сквозное шифрование, зашифрованы ли базы. А другая плоскость — вопрос уязвимости в самой программе. Мессенджер может передавать все очень безопасно, но если он сам дырявый, то, эксплуатируя эту уязвимость, можно получить доступ ко всем этим безопасно хранимым и передаваемым данным. И это действительно проблема», — заключил Никитин.
можно ли прослушать разговоры, способы прослушки
Несмотря на популярность мессенджера и заверения разработчиков, что безопасность WhatsApp и конфиденциальность «заложены» в ДНК утилиты, и что ни один аккаунт не прослушивается, к программе все же предъявляют претензии. Многие проблемы приложения применимы и к другим месенджерам, однако в вопросах безопасности сервис уступает конкурентам, по мнению специалистов. Так ли это?
Начало работы сервиса: о надежности не могло быть и речи
Истории о взломе Ватсап стали появляться чуть ли не каждую неделю с момента появления мессенджера. В начале истории приложения использовался канал XMPP. Сообщения передавались по слабо защищённому пути. Зашифрованные данные приложения взламывались простым скриптом. На ПК загружали вирусы через веб-версию, вскрывали всю историю чатов в корыстных целях и т.д.
В 2012 году разработчики решили проблему с безопасностью в WhatsApp – переписка стала максимально скрыта от посторонних и прослушка стала проблематичнее.
По утверждениям сотрудников компании, при разработке каждой новой версии вопрос безопасности выносится на первый план. Таким образом, её уровень заметно повышается. Какая же ситуация сейчас?
Сквозное шифрование и новое соглашение о конфиденциальности
Оконечное или сквозное шифрование – нововведение в политике безопасности и конфиденциальности в WhatsApp. Суть его заключается в том, что при каждой отправке любое по объёму и содержанию сообщение кодируется отдельным ключом, который есть только у отправителя и получателя. Данная схема исключает одновременную работу WhatsApp на двух и более устройствах, как, например, на ПК и смартфоне или на двух телефонах.
Код безопасности включает 60 цифр, поэтому то, что показывается на экране телефона, – всего лишь часть цепочки. Такая стратегия обезопасит общение между двумя и более людьми.
Каков механизм работы сквозного (end-to-end) шифрования? Устройство А запрашивает у сервера мессенджера открытый ключ. Отправляется сообщение от А к В, предварительно закодированного этим ключом. Устройство пользователя В расшифровывает сообщение после получения.
Это новшество работает только в новой версии мессенджера. Таким образом, более старые его варианты должны быть обновлены, чтобы данные были максимально защищены и чтобы быть уверенным, что информацию не прослушивают. При обновлении программа сама попросит принять новое соглашение о конфиденциальности.
В процессе установки обновлений нужно принять соглашение, однако сделать это нужно еще правильно.
В конце лета 2016 года Whatsapp обновили условия и политику конфиденциальности.
Аккаунты стали связывать с учетными записями людей в Facebook. Это означает, что сообщения теперь могут анализироваться в коммерческих целях, например, для улучшения конверсии таргетированной рекламы в Facebook. Можно ли этого избежать? К счастью, да.
Чтобы прослушивание было невозможным, при принятии соглашения необходимо нажать на сам текст с условиями конфиденциальности со стрелочкой справа. Далее пролистать до конца и убрать галочку. Таким образом, вы даёте знать, что не разрешаете использовать информацию из аккаунта для улучшения взаимодействия с рекламой и продуктами Facebook.
Как подтвердить код безопасности?
Это необязательная процедура, так как шифрование включается автоматически при обновлении приложения. Тем не менее, давайте рассмотрим, как можно проверить этот код безопасности.
Зайти в чат и нажать на контакт, тем самым открыв меню с несколькими пунктами. Выбрать раздел «Шифрование».
Перед вами появится QR-код и длинный набор цифр в три ряда. Вам предложат подтвердить код безопасности. Сделать это можно, нажав на «Сканировать код» или вручную. Наведите камеру телефона на код, который появился на экране телефона вашего собеседника. При этом неважно, Android это или iOS. Появившаяся зелёная галочка будет свидетельствовать об успешном сканировании. В ином случае можно просто визуально сравнить коды.
Что, если код не совпал? Возможно, по ошибке был просканирован код другого собеседника. Получатель сообщений может также пользоваться старой версией программы и, чтобы сообщения зашифровывались, ему необходимо обновить Вацап.
Что можно сделать дополнительно, чтобы аккаунт не мог прослушиваться? Учесть возможности, предлагаемые сервисом: ограничить доступ к своему профилю (статусу, времени последнего посещения приложения, фотографиям и т.д.). Пользователи мессенджера могут также отключить оповещения о том, что сообщение прочитали.
С новой версией утилиты разработчики значительно повысили уровень безопасности данных в аккаунтах пользователей. Конечно, здесь не обойтись без подводных камней, в частности, это связь WhatsApp и Facebook. Тем не менее, со сквозным шифрованием прослушать разговоры теперь крайне тяжело третьим лицам.
Как обезопасить фотографии, пересылаемые в WhatsApp
Как обезопасить фотографии, пересылаемые в WhatsApp
Миллионы пользователей по всему миру пересылают через WhatsApp изображения, сообщения и другую конфиденциальной информации друзьям и членам семьи.
Автор: Anya Zhukova
Миллионы пользователей по всему миру пересылают через WhatsApp изображения, сообщения и другую конфиденциальной информации друзьям и членам семьи. Огромная масса людей, использующих WhatsApp, свидетельствует о том, что многие считают этот мессенджер безопасным или, по крайней мере, достаточно безопасным.
Однако так ли безопасен WhatsApp, как кажется на первый взгляд? К примеру, надежно ли защищены фотографии, которыми вы делитесь с друзьями? В этой статье мы поговорим о различных аспектах, касающихся безопасности WhatsApp.
Что подразумевается под безопасностью фотографий
Вначале определимся с термином «безопасность». Поскольку это понятие очень размыто и для разных людей может означать разное, мы будем подразумевать, что безопасность – синоним защищенности ваших фотографий, сообщений и другой информации, к которой не так просто получить доступ посторонним, будь то человек, находящийся в соседней комнате или неуловимый хакер.
Таким образом, далее мы будем обсуждать безопасность WhatsApp, с точки зрения вышеизложенной концепции. Повторимся еще раз, подразумевается, что речь идет о том, что информация надежно защищена от несанкционированного доступа.
Меры безопасности, используемые в WhatsApp
Создатели WhatsApp утверждают, что ваши данные надежно защищены от хакеров и вообще всех любопытствующих. На сайте компании говорится, что предпринимаются серьезные меры безопасности для сохранения вашей конфиденциальности. Также утверждается, что сообщения зашифрованы и, соответственно, вся пересылаемая информация хорошо защищена от несанкционированного доступа. Этот момент очень важен. Если используется хорошее шифрование, задача злоумышленника уже значительно осложняется.
Кроме того, рекомендуется не использовать незащищенные Wi-Fi и другие сети для пересылки сообщений, поскольку значительно повышается риск того, что вы можете стать жертвой злоумышленников. Это ключевой момент, о котором должен знать каждый пользователь, поскольку большинство взломов происходит через промежуточные звенья.
Также создатели WhatsApp утверждают, что не могут полностью защитить вашу конфиденциальность, но оповестят вас, если сие событие случится. Для таких популярных приложений подобные меры обязательны по закону.
Не менее важно отметить, что по утверждению создателей WhatsApp на серверах, используемых мессенджером, не хранится никакой информации, включая сообщения и фотографии. Хранение на сервере происходит до тех пор, пока на другой стороной не получено ваше сообщение. Если адресат не получил сообщение в течение 30 дней, сообщение будет удалено.
О чем стоит переживать касаемо WhatsApp
Даже несмотря на то, что разработчики WhatsApp непрерывно совершенствуют меры безопасности, полностью предотвратить взломы не получится. Злоумышленники всегда найдут способы украсть ваши конфиденциальные данные. Часто подобные неприятности происходят при использовании незащищенных сетей, как, например, Wi-Fi в аэропорту.
Утечки также случаются во время пересылки сообщения, если, например, адресат, которому предназначалась фотография, оставит телефон незаблокированным без присмотра.
Как быть более защищенным, используя WhatsApp
Касаемо серверов, которые использует WhatsApp, вы сделать ничего не сможете. Остается только поверить на слово разработчикам, утверждающих о хорошей безопасности. Однако все же вы можете повысить свой уровень безопасности, если воспользуетесь советами ниже.
Во-первых, используйте только сети, в которых вы уверены. В противном случае работайте через VPN сервер. Популярные VPN сервисы позволяют решить эту проблему.
Блокируйте телефон. Не делайте ваше устройство легкодоступным для злоумышленников.
Избегайте мошенников. Если вы получили подозрительное сообщение не кликайте на ссылки и не отвечайте. Администрация WhatsApp никогда не контактирует с пользователями. Не переходите по ссылкам, которые рекламируют что-то бесплатное.
Сохраняйте профиль закрытым. Поиск по картинкам в Google – прекрасный способ выяснить больше информации о фотографии. К тому же, если на фото изображены вы, любой желающий может с легкостью найти ваши профили в социальных сетях. Соответственно, дальше можно выяснить много дополнительной информации про вас. Таким образом, лучше сохранять профиль закрытым, чтобы никто не смог провести расследование через поиск по картинкам.
Убедитесь, что конфиденциальные фотографии остаются конфиденциальными
Последний, но не менее важный пункт – не допускайте, чтобы фотографии из WhatsApp, оказались в общедоступном альбоме телефона. В WhatsApp можно указать, чтобы отсылаемые и получаемые фотографии хранились в приложении телефона. Если вы пересылаете конфиденциальные фото, и данная опция включена, фотографии окажутся в альбоме телефона и окажутся более легкодоступными.
Чтобы отключить эту функцию в устройстве на базе Android, перейдите в главное окно мессенджера и кликните на три вертикальные точки в правом верхнем углу. Зайдите в раздел Настройки (Settings) и далее в раздел Данные и хранилище (Data and Storage Usage). В разделе Автозагрузка медиа (Media auto-download) есть три параметра: Мобильная сеть, Wi-Fi и Роуминг. В каждой опции отключите автоматическую загрузку.
В iOS вы также можете отключить автозагрузку. Зайдите в раздел Настройки, затем Данные и хранилище. В разделе Автозагрузка медиа выберите Никогда для фото, аудио, видео и документов. Теперь все фото и другие файлы, пересылаемые через WhatsApp, не будут сохранятся в приложениях телефона (в частности, в фотоальбоме).
Сделайте ваш WhatsApp более безопасным
Проще говоря, вы легко можете стать жертвой злоумышленника, если будете использоваться WhatsApp через незащищенные сети. Ваши фото, телефонные номера и другие сведения могут оказаться в руках злоумышленника, кто жаждет получить доступ к вашей конфиденциальной информации.
Ничто не является на 100% защищенным. Если кто-то хочет заполучить ваши фото и другую информацию, то, скорее всего, воспользуется вашей оплошностью, а не будет взламывать сервера WhatsApp.
Однако меры, описанные выше, помогут повысить ваш уровень безопасности. Всегда обращайте особое внимание на фотографии, которые вы хотите отослать.