Павел Дуров заявил, что всем нужно срочно удалить WhatsApp со смартфонов и других устройств.
Действительно, к безопасности и конфиденциальности этого мессенджера давно скопилось много вопросов. Соберём всю важную информацию по этой теме, чтобы вы знали, какие опасности могут поджидать в самом популярном мессенджере.
Разбираемся, что не так с WhatsApp.
Павел Дуров заявил: WhatsApp – это троян
Дуров написал:
WhatsApp не только не защищает ваши сообщения WhatsApp – это приложение постоянно используется в качестве трояна для слежки за фото и сообщениями, которые не относятся к WhatsApp. Зачем им [разработчикам] это делать? Facebook был частью программ слежки задолго до того, как купил WhatsApp.
Разработчик Telegram подчеркнул: все баги, которые находят в WhatsApp, идеально подходят для слежки за пользователями. А если вспомнить утиный тест (если оно выглядит как утка, плавает как утка и крякает как утка, то это, вероятно, и есть утка), то от приложения действительно хочется избавиться.
По словам Дурова, “Facebook и WhatsApp делились практически всем с теми, кто утверждал, что работает на правительство”. Ой.
Израильтяне добились впечатляющих успехов во взломе WhatsApp
В мае 2019 года эксперты по кибербезопасности нашли в системе голосовых звонков WhatsApp дыру, которую использовали для слежки за активистами. Работало это и на Android, и на iOS.
Вредонос разработала израильская компания NSO Group. Он позволял установить на смартфон с WhatsApp шпионские приложения.
Чтобы взломать смартфон, хакеры просто звонили жертве по WhatsApp. Приложение автоматически принимало звонок – без ведома владельца! Затем на смартфон загружали шпионское ПО для кражи данных. Записи о звонках удалялись, чтобы никто ничего не заподозрил.
В WhatsApp проблему признали. Разработчики сравнили код вредоноса с другими разработками NSO Group и пришли к выводу, что почерк действительно один и тот же. Затем они за четыре дня разработали патч безопасности и попросили всех пользователей (1,5 млрд человек, на минуточку!) установить его.
На чем зарабатывает израильская NSO Group?
Главный продукт компании – Pegasus. Это софт, который способен включать камеру и микрофон смартфона, просматривать e-mail и сообщения, собирать данные о геолокации.
Основные заказчики Pegasus – спецслужбы Среднего Востока, США, Западной Европы и других регионов. Формально софт используют с подачи правительства, чтобы противостоять терроризму и предотвращать преступления.
Когда о проблеме с WhatsApp стало известно всем, в NSO Group развели руками. Дескать, мы проверяем всех клиентов и расследуем случаи злоупотребления. Не мы охотимся за правозащитниками, а значит, мы ни в чем не виноваты и ничего не нарушили.
Сколько стоит Pegasus, неизвестно. Саму NSO Group оценивают в 1 млрд долларов.
Забавно другое: после выхода патча адвокат из Лондона заявил об атаке, похожей на использование софта NSO Group. Он защищал саудовского диссидента и мексиканских журналистов, которых ранее также атаковали с применением того же софта.
Но получить данные со смартфона адвоката не удалось. Значит, патч всё-таки работает.
Адвокат также помог жертвам атаки подать в суд на NSO Group. Он заявил, что разработчики должны разделить ответственность за взлом со своими клиентами.
Так как NSO Group экспортировала ПО за границу, предъявило претензии и Министерство обороны Израиля. Но юристы убеждены: в министерстве и раньше знали о возможностях Pegasus, так что это показательное выступление.
Как устроен WhatsApp, вообще неизвестно
WhatsApp – мессенджер с закрытым исходным кодом. В целом для коммерческих приложений это нормально. Но продукты с открытым исходным кодом внушают больше доверия.
В WhatsApp вы не можете посмотреть, чем новая версия отличается от предшественницы. Не можете проанализировать код и найти бэкдоры.
Специалисты ищут уязвимости в WhatsApp, исходя из поведения готового продукта. Это не дает увидеть полной картины.
Более того: разработчики WhatsApp обфусцируют код. Его специально запутывают, чтобы усложнить анализ.
Скорее всего, это сделано по требованию спецслужб. От WhatsApp и материнской компании Facebook могли потребовать оставить в ПО бэкдоры. И если компании отправили приказ ФБР о неразглашении (так называемый Gag order), Цукерберг даже общественности пожаловаться не может.
WhatsApp был изначально полон дыр в безопасности
Создатели WhatsApp Брайан Эктон (слева) и Ян Кум
Создатели WhatsApp заявляли, что “безопасность у него в ДНК”. Но всё оказалось с точностью наоборот.
Например, в 2011-2012 годах доступ к вашей переписке в WhatsApp могли получить даже мобильные провайдеры и администраторы Wi-Fi точек. Ключи шифрования одно время можно было подменить прямо в чате. Вряд ли тестировщики компании этого не замечали.
Когда внедрили стандартное шифрование, ключи сделали доступными некоторым правительствам. Но резервные копии данных, которые настойчиво предлагали сохранять в облаке, никто не шифровал.
Сквозное шифрование, которое интегрировали в апреле 2016 года и которое используется сегодня, тоже не спасает от кражи данных. Например, разработчики признали, что бекапы на Google Drive загружали без шифрования.
Да, метаданные разговоров мессенджер тоже передавал властям. Из них можно понять, когда и с кем вы общались.
А ещё в 2013 году исследователи установили, что WhatsApp копировал все мобильные номера телефонов из адресной книги на свои сервера. Формально чтобы показать, кто из них уже установил WhatsApp. Реально… с этими данными можно было сделать что угодно.
На сервера WhatsApp попали и номера пользователей, которые не устанавливали приложение. К тому же при отправке использовалась ненадежная схема. Расшифровать данные даже на домашнем ноутбуке можно за три минуты.
Возможность взлома WhatsApp доказали на высшем уровне
Расследование в отношении Пола Манафорта, руководителя предвыборной кампании Дональда Трампа и советника беглого украинского президента Януковича, подтверждает, что мессенджер полон сюрпризов. Сообщения Манафорта в WhatsApp достали из iCloud.
Вероятно, Apple предоставила ФБР доступ к iCloud политика по решению суда.
А WhatsApp пришлось передать ключи шифрования, и это позволило агентам прочитать переписку Манафорта. В итоге его признали виновным по нескольким обвинениям и посадили на семь с половиной лет.
Основатели мессенджера перестали верить в WhatsApp
Facebook купил WhatsApp в феврале 2014 года за 22 млрд долларов. В сентябре 2017 года сооснователь WhatsApp Брайан Эктон покинул компанию В апреле 2018-го Ян Борисович Кум сделал то же самое – из-за сомнений в приватности данных пользователей.
В марте, после скандала с Cambridge Analytica, Эктон призвал удалить Facebook и другие продукты компании. Он также заявил: Facebook неохотно согласился на оконечное шифрование в WhatsApp.
Действительно: если компания признала, что годами хранила сотни миллионов паролей от Instagram в виде простого текста (!!!), то от неё всего можно ожидать. Данные были доступны 2 тыс. разработчиков. Мог ли кто-то слить эти данные? Риторический вопрос.
Эктон также выразил сожаление о том, что согласился на сделку с Facebook:
Я продал приватность своих пользователей за большую выгоду. Я сделал выбор и пошел на уступки. И мне приходится жить с этим каждый день.
Эктон добавил: что происходит с шифрованием в WhatsApp после продажи, неизвестно. Как-то не верится, что его резко улучшили.
Через WhatsApp прямо сейчас могут красть ваши данные
Новый громкий скандал с WhatsApp начался 3 октября. Уязвимость угрожает WhatsApp (версии до 2.19.244) на Android, начиная с 8 версии.
Работает это так:
- Хакер отправляет жертве GIF-файл: как документ или просто в чате, если злоумышленник в контакт-листе жертвы. Во втором случае GIF даже автоматически загрузится.
- Когда жертва захочет отправить кому-нибудь медиафайл, она нажмет на значок со скрепкой и откроет галерею для выбора файла.
- WhatsApp показывает в галерее превью медиафайлов. Это послужит триггером и запустит вредонос.
- Profit! Теперь хакер может запускать на смартфоне жертвы произвольный код.
В WhatsApp 2.19.244 проблему решили.
Но 14 ноября эксперты нашли ещё одну дыру (и в Facebook её признали). Баг есть в WhatsApp до 2.19.274 для Android и в iOS-версии до 2.19.100.
Разработчики раскрыли не слишком много подробностей. Лишь отметили, что уязвимость связана с тем, как WhatsApp анализирует метадату mp4-видеофайлов.
Если баг эксплуатировать, можно добиться выполнения на смартфоне произвольного кода или отказа обслуживания (когда гаджетом нельзя будет пользоваться).
Если вы ещё не обновились, самое время.
А что с самим Telegram
У мессенджера Дурова с безопасностью тоже всё не очень гладко. Вот здесь мы разбирались, в чем дело.
Если вкратце, то в Telegram тоже используется сквозное шифрование. В приватных чатах Telegram ключи действительно есть только у участников, в обычных (облачных) ключ теоретически может получить кто угодно.
Сквозное шифрование в Telegram не раз обходили. Да и другие уязвимости обнаруживали. Например, и в WhatsApp, и в Telegram можно было скрыть вредоносный код в изображении и отправить жертве, а затем получить полный доступ к её аккаунту.
И вообще: в сентябре эксперт Дирай Мишра обнаружил, что удаленные в Telegram файлы остаются на устройстве после того, как вы нажимаете в чате кнопку “Удалить для всех”. Так что если вы по ошибке перешлете свои нюдсы боссу, а потом сразу удалите их, босс всё равно сможет сколько угодно их рассматривать. Фото сохранятся у него в папке на смартфоне при получении. Да и хакеры смогут получить доступ к файлам на устройстве.
В Telegram признали проблему. За найденный баг Мишре выплатили 2500 евро в рамках программы bug bounty.
В WhatsApp есть такая же фича. И она работает как надо.
Что ж, программы пишут люди. А люди ошибаются. Чаще, чем нам хотелось бы.
Разница только в том, что WhatsApp сотрудничает с властями, а Telegram утверждает, что не сотрудничает.
Что теперь делать?
Если WhatsApp у вас – только для списков продуктов и школьных чатов, в целом можно не волноваться. Но конфиденциальную информацию и нюдсы через него передавать не стоит.
Telegram все же безопаснее WhatsApp. А Signal, пожалуй, безопаснее Telegram.
Есть ещё Wire, Threema и другие продукты. Но абсолютно безопасных мессенджеров не существует.
53 комментариев
Форум →Мне нравится WhatsApp.
Меньше чем по сути единственный для меня iMessage, и уж куда более чем ненавистный (лично мне) Telegram.
И да, мне не надо скрывать от правительства мою переписку…
@ToxaPlut, может, заодно и нам покажете? Просто почему бы и нет, раз там скрывать нечего.
@ToxaPlut, переписку в студию!
@ToxaPlut, А вы точно уверены что только правительство хочет читать ваши переписки…? Какие же вы наивные ?♂️
Мне не нравится WhatsApp.
Больше чем по сути единственный для меня iMessage, и уж куда более чем обожаемый (лично мной) Telegram.
И да, мне надо скрывать от правительства мою переписку…
@Сладкий сахарочек, твой обожаемый Telegram рассказывает правительству все твою переписку :) хочешь приватности выключи телефон и езжай в тайгу.
@red2121, нашим властям – вряд ли, а американцам до жопной дверцы, чем я занимаюсь.
@Leviathan, наивный юноша :)
Люди, которые пользуются ведром переживают о приватности в WhatsApp. Это как если бы смертельно больной раком переживал о выскочившей на губе простуде.
Гугл анализирует все что присходит на вашем телефоне и компьютере. Вся переписка, контакты, история поиска, фотографии, данные GPS и многое другое.
@?, друг, у тебя явно проблемы с самооценкой :)
Вероятно, у тебя микропенис :)
Но айфон с этим тебе не поможет – обратись к хирургам.
@Like2MoveIt, ты уже успешно прооперирован? Проблема с микро ушла?
Whatsapp пользуюсь редко, только с родителями и некоторыми друзья, которые с телегой не дружат.
И рабочий чат в whatsapp, но тут скорее связано с тем, что мои европейские коллеги не особо и знают про телеграм.
Удобней телеги пока не нашёл другого месенджера, куча полезных функций, к которым привык, и которых нет в ватсапе.
@riwwer, например каких?
@basss, да банальное, не всегда можно отредактировать уже отправленное сообщение, избранное через одно место работает, и даже то, что я не могу пользоваться whatsapp web/desktop, если телефон без связи. Два аккаунта на одном клиенте (имею и рабочую и личные симки), для ватсапа надо ставить обычную версию и бизнес. Медиафайлы не просмотреть без загрузки в альбом камеры, в телеге можно, понятное дело это тоже храниться в телефоне, но ватсап всё грузит в альбомы камеры, а телега в кэш приложения. И для телеги, мне достаточно дать человеку свой никнейм, чтобы начать переписку, а ватсапп только по номеру телефона.
@riwwer, отключи автозагрузку медиа в альбом
@smbros, у меня так и сделано, но это нужно отдельно для каждого контакта выбирать, сохранять или нет в альбом камеры. иногда об этом забываешь, и потом задалбываешься удалять все изображения и видео из альбома. Что мешает разрабам сделать такой общий пункт в настройках по отношению ко всем контактам?
@riwwer, перепроверил. Одна настройка на весь вотсап. По контактам нет. Вообщем я много лет не знаю о такой проблеме.
@riwwer, телега во всем прекрасен, но доверия дуров не вызывает к сожалению. Хотя вацапу по удобству телеги как раком до парижа
Мне нечего скрывать, так что без разницы, пусть читают мою переписку и смотрят мои фото)
@Gerald777, что же дураки, которым пофик, что через мессенжнер любой может вытащить все данные с устройства, существует)
@Commander, это обычные терпилы
Убили соседку, но не меня же …
Украли миллиард, но не мой же…
Корень проблемы с WhatsApp – это то, что он не нативный, а сделан на Электроне (это такой фреймворк, который позволяет пилить приложения для iOS и Андроид на веб-коде).
@nv, это вы про desktop-клиент сейчас. На мобилках-то нет. Там натив
@iphoneriddick, очень много кроссплатформенного софта для мобильных устройство сделано на веб-коде. Я не нашел 100% подтверждения, что Ватсапп сделан на Электроне, но где-то про это читал. Скайп, Слак и другие мобильные приложения сверстаны на обычном JS, CSS и HTML, обёрнутом в мобильное приложение. Так гораздо проще поддерживать свой софт.
@nv, вы немного путаете.
Мобайл – это в первую очередь React Native и сопутствующие технологии вроде Flutter.
А по-хорошему это Kotlin для Android и Swift для iOS
Но можно разрабатывать и на React Native.
А вот десктоп да – тут может быть Электрон. Но вопрос в том, что вы каждый раз Chrome запускаете в отдельном процессе, а поверх него еще и приложение.
@iphoneriddick, понятно, что Ява и Свифт – лучший выбор для приложений на мобилку. Но много кроссплатформеров готовы поддерживать софт на нескольких языках, а не использовать какие-нибудь Кордовы или ФонеГапы?
@nv, плюсую за ноду. Проще всего разрабатывать кросс-платформенные программы.
Правда как по мне, лучше всего и ядро выносить на отдельный фрейм
Можно долго «снобить», мол он плохой, и пора валить но по факту все это блеф. Никто не уходит с него никуда.
А кто-нибудь сейчас вспомнит, что Вотцап когда-то был платный? ?
Что-то вроде как доллар то ли в год, то ли разово…
@fimoz, ого, ничего себе, что ты вспомнил. Там, вроде, разово заплатить надо было.
@fimoz, да, там разовый платеж был. В то время скачал бесплатно, а через несколько дней снова платным стал) видимо акция у них была такая.
@desired, нет, там была подписка на год. Со скидкой при опте.
У меня до 2022 был оплачен :)
@Like2MoveIt, жесть, обидно Вам после такого наверное?) не знал кстати, что подписка была…
@desired, да не особо :) 30 рублей за год :)
Пожалуй безопаснее написать письмо приклеить марку и отправить. Сомневаюсь что кто-то там будет раскрывать конверт, переписывать твой текст в рамках закона “хранение переписки” и заклеивать обратно твой конвертик.
ещё Телеграф как вариант но и тут нужен особый шифр )
146% уверен что вся информация с вашего смартфона доступна кому надо.
Не пойму истерику – Вотсапп просто удобный чат и не более. Если кто-то пересылает в нем секретные данные или обсуждает теракты – то это не проблема Вотсапп а проблема с головой у этих писателей.
@iRomaroma, у террористов просто тоже рабочие чатики в вотсапе, а так они со своими друзьями в телеге и iMessage переписываются.
@Leviathan, а вы откуда знаете? У вас друзья такие? За вами уже выехали!
@iRomaroma, дайте доступ к вашим аккаунтам, а лучше ещё дома камеру поставьте и мне тоже доступы дайте. Вам же пофиг, вы не террорист – скрывать вам нечего
@Elon Musk, зачем Вам доступы к чему-то сложному, если Вы даже у простого текста смысл понять не можете?
@iRomaroma, я поясню для туго-доходящих. Каждый должен иметь своё личное пространство и защиту личной информации. Если человек этим пренебрегает – он дурень.
Человеку все равно – что у него крадут всю инфу – это проблема человека, а не программы. Почему? Потому что это реально проблема с головой. Почему то, что я написал выше, для вас проблема? Это же проблемой не является
@Elon Musk, Вы продолжайте – есть такое заболевание, называется “мания преследования” и анекдот про Неуловимого Джо. А те, кто успел закончить школу уже обычно знают что информация бывает разной категории и 99% Вашего пустого трепа о телках и успехах в бузинесе – никому не интересна. А вот то что действительно важно и имеет смысл оберегать – пишут обычно в других программах и другим способом. Но (какая неожиданность) точно также, те у кого есть мозг поступали и раньше, я не ждали пиар-разоблачений от Дурова или статейки на этом сайте.
@iRomaroma, уважаемый, я зарабатываю на жизнь тем, что разрабатываю примочки сбора данных о пользователях посредством сайтов. И защиты от них.
Давайте Вы не будете рассказывать мне об “мания преследования”? И о том, сколько я получаю и как живу. Рекламщики, в лучшем случае, заинтересованные люди – в худшем, знают о вас все – сколько вы сексом занимаетесь по времени и когда + до скольки дома бываете.
Я высказал недовольство к вашим словам, о том, что пофиг что и как про тебя собирают. Нужно стараться обезопасить себя как можно лучше. А не насрать на это.
@Elon Musk, А я всего лишь высказал недовольство, что Вы приписали мне те слова, которые придумали сами. И продолжаете упорствовать. Мне лично до фонаря как и на чем Вы зарабатываете, и я не понимаю зачем Вы тут это рассказываете, когда Вас об этом никто не просит. Вы хотите показаться экспертом? Ну расскажите что-нибудь про меня – хотя бы область в какой я зарабатываю? Я пытаюсь до Вас донести очень простую мысль – что бОльшая часть информации которой Вы обмениваетесь не содержит ничего полезного, поэтому надо пользоваться тем, чем удобнее, а не страдать паранойей и испытывать неудобства. А действительно важные вещи защищают иными способами и совсем с другим подходом, чем просто смена одного дырявого но удобного мессенджера на другой дырявый но менее удобный.
Keybase
Вотцап для меня как бы необходимое зло. Живу в Англии, где вотцап – мессенджер по умолчанию, он у всех и каждого, и туда мне пишут все – друзья/знакомые, заказчики, рабочие контакты и т.д.
В целом много минусов – привязка к телефону, отсуствие нормального клиента для айпада и т.д., но проблема мессенджеров именно в том, что сидишь не там где тебе нравится, а там где сидят остальные люди, поэтому сложно заявить мол “я перехожу на телеграм, все прощайте”.
В Штатах все имеют whatsapp. Мы по работе используем две версии WhatsApp – одну для себя любимого, а вторая WhatsApp business – для работы. Наши backup files уже достигли до 60 ГБ ЛОЛ … but it is true – WhatsApp is very very convenient messenger
@washington2011, а как два вотсапа установить?
@dok_h, поставив WhatsApp business, и привязать туда второй номер телефона.
Нет ни Телеги, ни Гравицапы с Недограммами) Как я ещё живу без бесполезных соц.сетей? А ведь люди сами подписываются и на них потом всякие Собчашлюшки зарабатывают миллионы баксов в год. Ну, тупыыыыееее (С)
@Advokatvlad, Влад, ну хоть тебя не ломанут. Успокоил.
70% комментаторов. Правда, что вы не понимаете какие могут быть причины слива информации о вас, кроме как «правительство читает»? Пошевелите извилинами.
Спасибо за статью. Комментарии тоже полезны
Нашли орфографическую ошибку в новости?
Выделите ее мышью и нажмите Ctrl+Enter.Как включить звуковой сигнал при включении и отключении iPhone
Как на iPhone установить 4-значный пароль вместо 6-значного
Можно ли заменить Lightning-гарнитуру iPhone 7 по гарантии?
iPhone не выходит из режима наушников, как решить?
Что делать, если с iPhone не удаляется видео
Как научить iPhone принимать звонки только от известных контактов
Как на iPhone включить офлайн переводчик на разные языки. Сторонние приложения не нужны
Можно ли перенести покупки с одного Apple ID на другой