Дали течь: как сделать переписку в мессенджерах защищенной

19.10.2021 |

Россия и Венесуэла совместно разрабатывают защищенный мессенджер. Об этом заявил замглавы «Ростеха» Александр Назаров, чьи слова приводятся на сайте госкорпорации. Насколько новый мессенджер будет надежнее своих более зрелых конкурентов, выяснится после его презентации. А пока «Известия» поинтересовались у экспертов, какой мессенджер считается самым безопасным и какие данные о пользователях доступны создателям приложений.

Как «защищаются» мессенджеры

Безопасность мессенджеров — один из ключевых запросов аудитории, особенно учитывая тот факт, что пользователи доверяют приложениям как деловые, так и интимные подробности своей жизни. Именно поэтому нахождение любой уязвимости остро воспринимается клиентами, по крайней мере в комментариях и обсуждениях.

Основным инструментом защиты в мессенджерах является технология сквозного шифрования. Термин означает, что сообщения шифруются на одном устройстве и расшифровываются на втором. Информация о переписке недоступна сотрудникам мессенджера или третьим лицам.

Почти все мессенджеры декларируют ее использование, однако как обстоит дело на практике, никому не известно, отметил основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян.

— Практически никто не публикует исходный код, и даже в случае Signal, который имеет репозиторий на GitHub, мы не можем быть до конца уверены, что приложения собираются именно из него без изменений и бекдоров, — заявил специалист.

Помимо сквозного шифрования, которое де-факто является стандартом, эксперты призывают учитывать и другие особенности приложений.

— Нужно обращать внимание на наличие следующих технологий: возможность анонимной регистрации без выгрузок адресной книги телефона, возможность каким-либо способом проверить подлинность собеседника (сверка ключей), отношение мессенджера к данным, которые он оставляет на устройстве пользователя (есть ли фактическое удаление того, что пользователь удалил в интерфейсе), открыты ли спецификации и исходные коды мессенджера всему миру, — перечислил заместитель руководителя департамента аудита и консалтинга Group-IB Павел Супрунюк.

Руководитель отдела web-разработки TravelLine Сергей Калинин советует также брать в расчет территориальную принадлежность серверов мессенджера и то, как давно приложение популярно в конкретной стране.

Какие данные о нас известны мессенджерам

Считается, что при сквозном шифровании владельцам мессенджеров недоступно содержание сообщения, но остается известен сам факт отправки сообщения от пользователя к пользователю, время и дата отправки, а также объем отправленных данных.

— На уровне заявлений большинство операторов мессенджеров не имеют доступа к содержимому сообщений при включении опции сквозного шифрования, которая, впрочем, у Android Messenger по умолчанию выключена, а в Telegram доступна только в «секретных» чатах, — напомнил Атош Оганесян. — Остальные данные, такие как ID устройств и IP-адрес, вполне официально им доступны. Кроме того, проприетарные мессенджеры производителей мобильных ОС, такие как iMessage, имеют доступ к геолокации.

Если мессенджер не использует сквозное шифрование (end-to-end encryption, E2EE), то владельцу мессенджера технически может быть доступна любая информация, которую юзер доверил приложению, за исключением разве что паролей, так как обычно они не хранятся в открытом виде, отметил Павел Супрунюк.

— Если же сквозное шифрование присутствует, то самыми типичными метаданными, к которым мессенджер получает доступ, являются адресные книги мобильных устройств, то есть номера телефонов и имена, — добавил эксперт.

Какой мессенджер самый безопасный

Пока эксперты не пришли к единому мнению, какой мессенджер мог бы однозначно претендовать на звание самого надежного и защищенного. Разные аналитики формируют рейтинги по-своему.

Так, согласно исследованию компании Artezio, наиболее безопасными средствами связи являются Signal, Wickr Me и Viber. Четвертую строчку в этом году занял Telegram, ранее обгонявший своего фиолетового коллегу — мессенджер Viber. Между тем эксперты высоко оценили Signal за качество протоколов шифрования, наличие двухфакторной идентификации и неготовность к раскрытию персональных данных.

В то же время специалист Google Project Zero Натали Сильванович во время исследования аудио- и видеосвязи обнаружила несколько уязвимостей в популярных мессенджерах. Например, в коде Signal присутствовала логическая ошибка, которая могла привести к ответу на входящий вызов, даже если вызываемый абонент не поднимал трубку. Не прошли тест на идеальность Google Duo и Facebook Messenger. Однако после обращения Сильванович все разработчики устранили названные ей ошибки. Аналитик не обнаружила проблем с видеозвонками в Telegram и Viber.

Компания Group-IB предложила свой рейтинг защищенных мессенджеров. Она рассмотрела Signal, Telegram и Wickr Me на соответствие трем критериям: архитектура, функциональность и открытость сообществу. Signal и Telegram, в отличие от Wickr Me, имеют открытый исходный код, что позволяет программистам со всего мира принимать участие в работе над ошибками. В то же время оба мессенджера демонстрируют недостатки при хранении чувствительной информации в локальном хранилище. Поэтому первое место ушло Wickr Me, второе — Telegram, далее — Signal. Последний уступил продукту Павла Дурова в категории «функциональность»: при отправке определенного формата файла на платформе Android мессенджер Signal дает сбой и «вылетает».

Формально в пользовательской среде наиболее защищенным считается всё же Signal, отметил Ашот Оганесян. Но с учетом его инкорпорации в США, нет никакой уверенности, что тот не станет расшифровывать трафик по требованию американских правоохранительных органов.

— Все мессенджеры одинаково небезопасны, и выбор пользователя лежит в основном в плоскости выбора оператора, который будет или не будет продавать его данные рекламодателям. Если вы не хотите этого, избегайте продуктов компании Facebook, — посоветовал собеседник.

Сергей Калинин, в свою очередь, предлагает обратить внимание на пока еще малоизвестные Wickr Me, Threema и Twinme:

— К примеру, у Wickr Me есть возможность, недоступная популярным мессенджерам: получатель сообщения не может сохранить текст — сообщение обязательно пропадет из памяти смартфона. Время уничтожения сообщения контролирует отправитель.

Мария Уткина добавляет к Wickr Me и Threema мессенджер Sessio, появившийся в 2020 году. Он не требует телефонный номер или email-адрес для регистрации. Вместо этого при создании аккаунта генерируется случайный уникальный ID, что повышает уровень конфиденциальности.

Утечка данных и мошенничество

По мнению Ашота Оганесяна, мошенничество в мессенджерах имеет относительно короткую историю и начало развиваться только с приходом туда большого числа технически и финансово неграмотных «обычных» пользователей. На подходы мошенников куда больше повлияло развитие маркетплейсов и карточных платежей, считает эксперт. Это позволило перейти от попрошайничества в долг, от имени взломанного аккаунта к рассылке фишинговых ссылок под видом оплаты покупки или продажи чего-либо.

А вот взламывать аккаунты становится всё сложнее.

— Мешают системы антифрода и двухфакторная аутентификация, плюс растет защищенность клиентской части мессенджеров, — разъяснил Павел Супрунюк. — Мошенникам приходится использовать всю социальную инженерию для развода пользователей на запуск вредоносных программ, которые и «уведут» аккаунт, либо применять схемы с «угоном» мобильных номеров через дубликаты SIM-карт.

По оценке экспертов Viber, основные угрозы безопасности в мессенджерах — это кража учетной записи или чтение злоумышленниками личной переписки пользователей. Как пояснили «Известиям», у незаконного доступа к подобной информации есть несколько разновидностей:

перехват и чтение данных на лету (так называемая атака посредника, или man in the middle attack) — например, перехват интернет-провайдером, системным администратором или другим пользователем той же сети;
кража переписки непосредственно с устройства;
взлом сервера и кража данных с него;
завладение учетными данными (credentials).

— Доступ к «кредам» можно получить, взломав устройство клиента, устроив фишинг-атаку или воспользовавшись нестареющим приемом — социальной инженерией. Согласно отчету американской компании Purplesec, 98% кибератак приходятся именно на социальную инженерию, когда пользователи под психологическим воздействием добровольно делятся конфиденциальной информацией, — подытожили в пресс-службе мессенджера.

Мария Немцева