У пошуках безпечного месенджера

Більшість популярних месенджерів, такі як WhatsApp, Viber, Telegram, Skype та інші – це централізовані додатки з закритим вихідним кодом. Адміністратори мають змогу контролювати усе, що проходить через їх канали електронного зв’язку. Історія повідомлень, завантажені файли, статистика використання – все це синхронізується та зберігається на корпоративних серверах невизначений період часу. Діє цензура. Користувача можуть забанити за будь-які незмістовні (з точки зору адміністраторів) дії.

Порівняння централізованої, децентралізованої і федеративної мереж

В централізованих месенджерах дані користувача можуть бути розшифровані та додатково оброблятися, фільтруватися, аналізуватися системами штучного інтелекту без його відома. Дані також можуть передаватися третім сторонам у різних цілях.

Бізнес-модель популярних месенджерів побудована на принципі “Послуга за послугу”. Тобто, користувач безкоштовно завантажує програму, а взамін ділиться з нею чимось корисним, наприклад метаданими, персональними даними, статистикою використання. Таким чином компанії заробляють і утримують свою інфраструктуру, яка налічує сотні дата-центрів і тисячі співробітників по всьому світу. Відповідно, вони життєво зацікавлені в охопленні якнайширшої аудиторії та зборі якомога більшої кількості даних.

Безпека месенджерів, захищеність онлайн-комунікацій постають центральною проблемою. Щорічно дослідники безпеки виявляють нові витоки даних і нові вразливості у роботі популярних програм для обміну онлайн-повідомленнями. Сервери з користувацькими даними регулярно стають об’єктами цільових зламів й хакерських так. Через закритий вихідний код неможливо точно дізнатись наскільки добре захищений той чи інший додаток, провести незалежний аудит безпеки і оцінти рівень ризиків. У висновку, користування такими програмами як WhatsApp, Viber, Telegram чи Skype базується на сліпій довірі.

У листопаді 2021 року некомерційною організацією “Property of the People” був опублікований документ, який демонструє можливість спецслужб цілком таємно та цілком законно отримувати доступ до користувацьких даних від популярних месенджерів:

У 2013 році системний адміністратор і колишній фахівець АНБ Едвард Сноуден оприлюднив в ЗМІ засекречені факти й матеріали, завдяки яким стало відомо, що дані популярних соцмереж і месенджерів тривалий час таємно використовувались в роботі урядових програм електронної розвідки і шпіонажу: XKeyscore, PRISM, ECHELON та інших.

У 2019 році через вразливість нульового дня у найпопулярнішому месенджері WhatsApp (аудиторія більше 1 млрд) на тисячі Android-пристроїв незаконно проникло шпигунське програмне забезпечення NSO Pegasus . ПЗ могло копіювати повідомлення й файли користувачів, вести записи їх телефонних розмов, визначати точне місцерозташування, таємно здійснювати відеозйомку, фотофіксацію, прослуховування і багато іншого… (детальніше про Pegasus).

Популярні месенджери не раз ставали “троянським конем” й для інших зловмисних програм, таких як Candiru і Cellebrite. 30 жовтня 2022 року в ЗМІ просочилась інформація про злам мобільного телефону колишньої прем’єрки Великобританії Ліз Трасс. Кажуть, телефон був настільки скомпрометований, що його помістили у замкнений сейф. Британські експерти з питань безпеки жорстко засудили цей випадок і закликали відмовитись від використання популярних месенджерів на держаному рівні, зокрема був згаданий месенджер WhatsApp (джерело).

Які метадані збирають популярні месенджери?

Як казав Стюарт Бейкер, колишній генеральний радник АНБ: “Метадані абсолютно все розповідають про чиєсь життя. Якщо у вас достатньо метаданих, вам насправді не потрібен контент”. 

🎯 Ідентифікатори користувача (User ID): будь-які деталі профілю: хобі, інтереси, національність, релігія, орієнтація; номер телефону, email-адреса, дата народження, країна проживання, інформація про онлайн-платежі та покупки та ін.;

🎯 Ідентифікатори пристрою (Device ID): технічні характеристики пристрою, назва, модель, серія, IMEI, IP-адреса, GPS-координати, DNS-сервери, MAC-адреси, відомості про операційну систему і т.д.;

🎯 Соціальні зв’язки (SOCMINT): зв’язок з іншими користувачами, доступ до телефонної книги, будь-яка доступна інформація про відправника й одержувача повідомлень, посилання на акаунти в соцмережах, інші дані;

🎯 Аналіз подій і статистика користування (Event/Log Info): голосові і відео виклики, відправка повідомлень і файлів, частота і кількість відправлених повідомлень, дата останнього входів, звіт про помилки, різноманітні системні журнали;

🎯 Дані інтернет-перегляду: User-Agent браузера, трекінг (відстеження) переходів по URL-посиланням, список переглянутих сайтів, дані автентифікації (cookie, токени, сесії);

🎯 Доступ до файлової системи: накопичувачі, файли, папки, фото, медіа та ін.;

🎯 Доступ до апаратної частини: оперативна пам’ять, графічний прискорювач, відеокамера, мікрофон, клавіатура, батарея, мережа (Wi-Fi/Bluetooth) і ін.

Навіщо їм потрібні ваші метадані?

👉 вдосконалення власних сервісів та інформаційних систем, побудова нейронних мереж, машинне навчання (ML), створення просунутих систем штучного інтелекту (AI);

👉 монетизація, заробіток на співпраці з рекламними і комерційними структурами, продаж аналітичних даних, створення різноманітних зрізів/вибірок, котрі охоплюють аудиторію з різних куточків світу й включають такі дані як: вік, стать, спеціальність, інтереси, вподобання, орієнтація і т.д. Ці допомагають передбачати можливі тренди, сплески і падіння покупок (сезонність), вдосконалити свої пропозиції, підлаштуватись під громадську думку тощо;

👉 аналітика і заробіток на співпраці з різними інформаційно-аналітичними центрами, структурами, агенціями, які займаються спостереженнями, соцопитуваннями, прогнозуваннями глобальних процесів, вивченням і аналітикою політик, подій, тенденцій, лідерів думок, суспільних настроїв тощо;

👉 співпраця у сфері безпеки з державними службами, органами, структурами, щоби попереджувати можливі злочини та інциденти, збитки і їх наслідки, відстеження осіб або подій, які можуть бути загрозою національній, суспільній, міжнародній безпеці.

Недоліки безпеки популярних месенджерів

ℹ️ Конкретно про недоліки деяких популярних месенджерів.

Недоліки Skype

❌ Метадані збираються в значній кількості;
❌ Вихідний код програми закритий;
❌ Під час дзвінка може розголошуватися IP-адреса пристрою користувача;
❌ Наскрізне E2EE-шифрування обмежено приватними чатами. Його по-замовчуванню немає в групових чатах та конференц-викликах;
❌ Усі чати і голосові виклики зберігаються на серверах Microsoft протягом 30 днів, адміністрація має до них доступ;
❌ Зафіксовані випадки прослуховування голосових викликів співробітниками Microsoft;
❌ Розшифровані повідомлення можуть передаватися третім сторонам, Skype є частиною розвідувальної програми PRISM;
❌ Організація із захисту даних Electronic Frontier Foundation (EFF) оцінила безпеку Skype в 1 бал із 7;
❌ Після повного знищення акаунта, дані користувача зберігаються 12 місяців.

Джерела:

⏩ Skype Support
⏩ Microsoft Privacy Policy
⏩ Revealed: Microsoft Contractors Are Listening to Some Skype Calls
⏩ Skype audio graded by workers in China with ‘no security measures’
⏩ Rietspoof malware spreads via Skype spam
⏩ Microsoft says Skype audio is now reviewed in ‘secure facilities’ after a worrying report
⏩ Microsoft handed the NSA access to encrypted messages
⏩ Why Doesn’t Skype Include Stronger Protections Against Eavesdropping?
⏩ Here’s why Skype’s end-to-end encryption won’t be enough for business users
⏩ Is Skype Safe and Secure? What are the Alternatives?
⏩ Is Microsoft reading your Skype instant messages?
⏩ Privacy 101: Skype Leaks Your Location

Недоліки WhatsApp

❌ Реєстрація тільки по номеру телефону;
❌ Вихідний код програми закритий;
❌ Діє сувора цензура. Користувача можуть забанити просто через скаргу інших користувачів, іноді без очевидної причини;
❌ Збирається дуже багато користувацьких метаданих, інформація про їх шифрування або хешування відсутня;
❌ WhatsApp підключений до PRISM.
❌ WhatsApp підключений до рекламної мережі компанії Meta та всіх його продуктів (Facebook, Instagram). Рекламна аналітика (ADINT) збирається в месенджері агресивно (доступ до текстових і голосових повідомлень користувача, іноді мікрофону, якщо не заборонено налаштуваннями приватності) і може передаватися третім особам;
❌ Усі дані користувача зберігаються на серверах WhatsApp, остаточно їх видалити неможливо навіть після знищення акаунта;
❌ Контакти користувача синхронізуються з месенджером через доступ до телефонної книжки;
❌ Відсутня вбудована функція блокування екрану (PIN App lock);
❌ Зафіксовані серйозні вразливості в роботі програми. WhatsApp на офіційному рівні заборонили для військовослужбовців і посадовців в різних країнах.

Зауваження: WhatsApp є піонером на ринку інтернет-телекомунікацій. Це один з перших месенджерів, який початково робив ставку саме на захист і безпеку користувацьких даних, а саме наскрізне E2EE-шифрування. Додаток розробив вихідець з України – програміст Ян Кум. WhatsApp стрімко розвивася й швидко став одним з найулюбленіших мобільних додатків у різних куточках світу. Він дав початок великій кількості альтернативних месенджерів, за що йому можна окремо подякувати. Але після придбання WhatsApp компанією Meta, акцент на кібербезпеку різко змінився акцентом на маркетинг, що породило масу інцидентів. Один з найгучніших скандалів пов’язаний зі шкідливою програмою Pegasus та розвідувальною системою PRISM. Хоча, незважаючи на це, WhatsApp досі зберігає шанувальників по всьому світу, має BugBounty, володіє зручним та простим інтерфейсом, у ньому чимало цікавих та корисних функцій, зокрема: двофакторна авторизація, наскрізне шифрування і автовидалення повідомлень, приховання статусу і даних профіля, сповіщення про зміну ключа безпеки, резервне копіювання з підтримкою E2EE та багато іншого.

Джерела:

⏩ WhatsApp Privacy Policy
⏩ WhatsApp Has Shared Your Data With Facebook for Years, Actually
⏩ WhatsApp Beaten By Apple’s New iMessage Privacy Update
⏩ WhatsApp ‘hack’ is serious rights violation, say alleged victims
⏩ WhatsApp Hack Attack Can Change Your Messages
⏩ WhatsApp, Signal & Co: Billions of Users Vulnerable to Privacy Attacks
⏩ WhatsApp backups are not encrypted
⏩ Facebook’s WhatsApp says it fixed a video call security bug that let hackers hijack accounts
⏩ WhatsApp voice calls used to inject Israeli spyware on phones
⏩ WhatsApp reveals 6 security issues that could have got its users “hacked”
⏩ Why WhatsApp will never be secure
⏩ What is Pegasus spyware and how does it hack phones?
⏩ WhatsApp: Israeli firm ‘deeply involved’ in hacking our users
⏩ A buffer overflow vulnerability in WhatsApp (CVE-2019-3568)
⏩ Pavel Durov: Hackers could have full access (!) to everything on the phones of WhatsApp users.
⏩ Jan Koum Wikipedia
⏩ Hackers can spy on you by sending videos on WhatsApp

Недоліки Viber

❌ Реєстрація по номеру телефону;
❌ Після реєстрації додаток сам автоматично сканує телефонну книгу і надсилає сповіщення усім, хто має ваш номер і зареєстрований в Viber (відключити цю агресивну функцію можна лише згодом);
❌ Абсолютно централізований месенджер, адміністрація завжди має доступ до всіх акаунтів і чатів, налаштувань. Технічна підтримка вирішує будь-які питання і проблеми акаунтів;
❌ Метадані збираються в значній кількості й зберігаються на серверах у незахешованому вигляді, передаються третім сторонам. Viber не приховує, що продає рекламу аби месенджер надалі залишався безкоштовним;
❌ Історія листування, дані каналів і груп зберігаються на серверах Viber;
❌ Наскрізне E2EE-шифрування використовується не всюди і не завжди;
❌ Вихідний код програми закритий, незалежний аудит бепзеки не проводився;
❌ Відсутня процедура верифікації контактів, немає двосторонньої автентифікації (наприклад, по ідентифікатору або відбитку ключа). Як висновок – спам і шахрайство у великих кількостях. Загалом, Viber лідирує за кількістю фейкових акаунтів;
❌ Діє цензура. Як й у WhatsApp, на акаунт чи повідомлення користувача можуть поскаржитися. Заблокувати можуть і без очевидних причин;
❌ Viber співпрацює з урядами країн і держустановами;
❌ Відсутня BugBounty-програма;
❌ Заплутана історія власників. Компанію заснували офіцери армїі та розвідки Ізраїлю. Один з них народився в Росії, потім проживав в Білорусі. Частина інфраструктури знаходилася там. Згодом компанію перереєстрували на Кіпрі. У 2015 році Viber продали японській компанії Rakuten за 900 млн. доларів;
❌ Організація із захисту даних Electronic Frontier Foundation (EFF) оцінила безпеку Viber у 2 бали із 7. Це навіть менше, ніж у WhatsApp;
❌ Зафіксовані епізодичні проблеми відправки повідомлень (повідомлення не надходили окремому одержувачу), а також проблеми із входом в акаунт;
❌ Приблизно за 6 місяців користування, Viber почав націлювати дуже індивідуальну рекламу на теми, які користувач обговорював у чатах або зберігав в персональних нотатках. Причому, у налаштуваннях приватності уся зайва аналітика була відключена. Це свідчить, що Вайбер по-суті застосовує ті ж принципи та прийоми збору метаданих (ADINT – Ads Intelligence), що й його конкуренти;
❌ При вилученні Viber на старому пристрої і встановленні на новому (зі збереженням акаунта та прив’язаного номера) – усі дані користувача втрачаються. Якщо користувач був Адміністратором в групах – він їх теж позбувається. Повернути їх можна лише звернувшись в Службу технічної підтримки, але не це гарантовано.

Зауваження: Варто наголосити, що Viber за останні роки зробив певний стрибок у покращенні своїх сервісів та послуг. З’явилися такі функції як: зникаючі повідомлення, секретні чати, чати з прихованням номера телефону, приховання індикації набору повідомлень і звітів про прочитання, приховання статусу онлайн, блокування екрану та інші. Протокол шифрування Viber заснований на реалізації подвійного храповика (Double Ratchet), який використовує месенджер Signal. Але сторонні трекери і реклама нікуди не поділися. Якщо Viber сприймати не як захищений месенджер, а інструмент публікації та маркетингу, то він може бути корисним.

Джерела:

⏩ Viber Privacy Policy
⏩ Request, Review and Delete Your Data on Viber
⏩ Signatures of Viber Security Traffic
⏩ Viber Encryption Overview
⏩ Ваші номери, будь-ласка
⏩ Viber Developers Docs
⏩ Viber Wikipedia
⏩ Igor Magazinnik
⏩ Talmon Marco
⏩ Facebook. Ярослав Ажнюк: “Кирило сказав дослівно: Вайбер це взагалі додаток створений для шпигунства”.
⏩ Вразливість Viber, що дозволяє прослуховувати чужу розмову

Недоліки Telegram

❌ Збирає користувацькі метадані;
❌ Може співпрацювати з урядами країн;
❌ Повідомлення зберігаються на хмарних серверах Telegram. Адміністрація за необхідності може отримати доступ до акаунтів і чатів користувачів;
❌ Зафіксовані реальні випадки несанкціонованого доступу і зламу акаунтів. У різний час експертами з кібербезпеки були знайдені критичні вразливості в роботі месенджера, зокрема баг з розкриттям IP-адреси під час дзвінків та баг з розкриттям геолокації через функцію “Люди поруч”. На сьогодні вони виправлені, але не можна виключати нових (0-Zero Day), про які мало хто знає;
❌ Наскрізне шифрування працює по замовчуванню лише у секретних чатах, до яких є претензії – механізм звірки ключів може бути ненадійним;
❌ Вихідний код шифрування Telegram (алгоритм “MTProto”) закритий;
❌ Дані користувача після повного знищення акаунту зберігаються на серверах Telegram 12 місяців.

Зауваження: Telegram – це аж ніяк не конфіденційний месенджер, а онлайн-сервіс, соціальна платформа з елементами анонімності, яка має чимало переваг і недоліків. Інцидентів несанкціонованого доступу до акаунтів та компрометації пристроїв користувачів через Telegram – більш, ніж достатньо. Статистика використання, а також метадані пристрою користувача – синхронізуються з серверами Дурова та зберігаються в базі даних тривалий період часу. Не рекомендується пересилати через Телеграм особисті, конфіденційні, службові дані. Для приватного, особистого листування існують більш захищені канали зв’язку.

👉 ЧИТАЙТЕ СПЕЦМАТЕРІАЛ: Безпека і анонімність в Telegram

Джерела:

⏩ Telegram Privacy Policy
⏩ Security Analysis of Telegram
⏩ Hong Kong protesters warn of Telegram feature that can disclose their identities
⏩ As Hong Kong protesters embrace Telegram, when will the messaging app fix one of its biggest security flaws?
⏩ Dear Hong Kong Activists, Please Stop Telling Everyone Telegram is Secure
⏩ Telegram Still Hasn’t Removed an AI Bot That’s Abusing Women
⏩ PSA: Telegram Chats Aren’t End-to-End Encrypted by Default
⏩ Fleeing WhatsApp for Better Privacy? Don’t Turn to Telegram
⏩ Insecure by Design: As Millions Flock to Telegram, 7 Reasons to Question the App’s Privacy Claims
⏩ Why You Should Stop Using Telegram Right Now
⏩ Cryptographers unearth vulnerabilities in Telegram’s encryption protocol
⏩ Telegram Review 2022: NOT as Private as You Think
⏩ Four cryptographic vulnerabilities in Telegram
⏩ Telegram Harm Reduction for Users in Russia and Ukraine
⏩ Telegram’s People Nearby Feature Can Be Exploited to Reveal User’s Exact Location, Bug Hunter Claims; Company Says ‘It’s Expected’
⏩ Telegram Leaks IP Addresses by Default When Initiating Calls
⏩ The “P” in Telegram stands for Privacy
⏩ Mozilla: Privacynotincluded. Telegram.
⏩ Спілкування під час війни: Telegram, Viber чи щось краще
⏩ Telegram Private Chat Leaks
⏩ Operational Telegram
⏩ Telegram shares users’ data in copyright violation lawsuit
⏩ Indian court orders Telegram to disclose details of channels violating copyright
⏩ Telegram cumpre decisões, e Moraes revoga ordem de bloqueio do app em todo o país
⏩ Apple soll Bundesregierung eine Telegram-Anschrift gegeben haben
⏩ Смертельно небезпечний Телеграм
⏩ П’ять причин видалитися з Telegram просто зараз
⏩ Небезпечний телеграм: підводні камені найпопулярнішого в Україні месенджера
⏩ Russia is spying on Telegram chats in occupied Ukrainian regions. Here’s how.
⏩ The Kremlin Has Entered The Chat
⏩ KELA Report: TELEGRAM. How a messenger turned into a cybercrime ecosystem by 2023
⏩ Чи є безпечним активне використання Телеграм в Україні?
⏩ Youtube. Ярема Дух. Ризики Telegram.
⏩ Youtube. Радіо НВ. Інтерв’ю з журналістом, переписку якого в Телеграмі читало фсб.
⏩ Facebook. Ярослав Ажнюк: “Кирило сказав дослівно: У ФСБ, і лише них, є ключі до Телеграму”.
⏩ Ярослав Ажнюк. Чому варто видалити Телеграм зі свого мобільного.
⏩ Yaroslav Azhnyuk: Why doesn’t Ukraine restrict use of the Russian Telegram app?
⏩ DOU.UA. Чи варто довіряти Telegram?
⏩ Моксі Марлінспайк згадує в своєму Twitter про “шифрування” Telegram.
⏩ Антон Розенберг про Дурова, Вконтакте і Телерам.
⏩ Telegram: Azhnyuk-Claims. Why Telegram is Safe for Users in Ukraine.
⏩ Medium. Yaroslav Azhnyuk. What’s off with Telegram’s response to the piece about their potential ties to the Kremlin.
⏩ Flaw in Telegram Gives Attackers Access to macOS Camera
⏩ Is Telegram Sharing User Data with Government Agencies?
⏩ Українська Правда. Анастасія Романюк. Ілюзія безпеки: Telegram
⏩ Liga.net. Як влаштована анонімна імперія Павла Дурова?