Павел Дуров заявил, что всем нужно срочно удалить Whats.
App со смартфонов и других устройств.
Действительно, к безопасности и конфиденциальности этого мессенджера давно скопилось много вопросов.
Соберём всю важную информацию по этой теме, чтобы вы знали, какие опасности могут поджидать в самом популярном мессенджере.
Разбираемся, что не так с Whats.
Павел Дуров заявил: Whats.
App – это троян.
Дуров написал: Whats.
App не только не защищает ваши сообщения Whats.
App – это приложение постоянно используется в качестве трояна для слежки за фото и сообщениями, которые не относятся к Whats.
Зачем им [разработчикам] это делать? Facebook был частью программ слежки задолго до того, как купил Whats.
Разработчик Telegram подчеркнул: все баги, которые находят в Whats.
App, идеально подходят для слежки за пользователями.
А если вспомнить утиный тест (если оно выглядит как утка, плавает как утка и крякает как утка, то это, вероятно, и есть утка), то от приложения действительно хочется избавиться.
По словам Дурова, “Facebook и Whats.
App делились практически всем с теми, кто утверждал, что работает на правительство”.
Израильтяне добились впечатляющих успехов во взломе Whats.
В мае 2019 года эксперты по кибербезопасности нашли в системе голосовых звонков Whats.
App дыру, которую использовали для слежки за активистами.
Работало это и на Android, и на iOS.
Вредонос разработала израильская компания NSO Group.
Он позволял установить на смартфон с Whats.
App шпионские приложения.
Чтобы взломать смартфон, хакеры просто звонили жертве по Whats.
Приложение автоматически принимало звонок – без ведома владельца! Затем на смартфон загружали шпионское ПО для кражи данных.
Записи о звонках удалялись, чтобы никто ничего не заподозрил.
В Whats.
App проблему признали.
Разработчики сравнили код вредоноса с другими разработками NSO Group и пришли к выводу, что почерк действительно один и тот же.
Затем они за четыре дня разработали патч безопасности и попросили всех пользователей (1,5 млрд человек, на минуточку!) установить его.
На чем зарабатывает израильская NSO Group?.
Главный продукт компании – Pegasus.
Это софт, который способен включать камеру и микрофон смартфона, просматривать e-mail и сообщения, собирать данные о геолокации.
Основные заказчики Pegasus – спецслужбы Среднего Востока, США, Западной Европы и других регионов.
Формально софт используют с подачи правительства, чтобы противостоять терроризму и предотвращать преступления.
Когда о проблеме с Whats.
App стало известно всем, в NSO Group развели руками.
Дескать, мы проверяем всех клиентов и расследуем случаи злоупотребления.
Не мы охотимся за правозащитниками, а значит, мы ни в чем не виноваты и ничего не нарушили.
Сколько стоит Pegasus, неизвестно.
Саму NSO Group оценивают в 1 млрд долларов.
Забавно другое: после выхода патча адвокат из Лондона заявил об атаке, похожей на использование софта NSO Group.
Он защищал саудовского диссидента и мексиканских журналистов, которых ранее также атаковали с применением того же софта.
Но получить данные со смартфона адвоката не удалось.
Значит, патч всё-таки работает.
Адвокат также помог жертвам атаки подать в суд на NSO Group.
Он заявил, что разработчики должны разделить ответственность за взлом со своими клиентами.
Так как NSO Group экспортировала ПО за границу, предъявило претензии и Министерство обороны Израиля.
Но юристы убеждены: в министерстве и раньше знали о возможностях Pegasus, так что это показательное выступление.
Как устроен Whats.
App, вообще неизвестно.
App – мессенджер с закрытым исходным кодом.
В целом для коммерческих приложений это нормально.
Но продукты с открытым исходным кодом внушают больше доверия.
В Whats.
App вы не можете посмотреть, чем новая версия отличается от предшественницы.
Не можете проанализировать код и найти бэкдоры.
Специалисты ищут уязвимости в Whats.
App, исходя из поведения готового продукта.
Это не дает увидеть полной картины.
Более того: разработчики Whats.
App обфрусцируют код.
Его специально запутывают, чтобы усложнить анализ.
Скорее всего, это сделано по требованию спецслужб.
От Whats.
App и материнской компании Facebook могли потребовать оставить в ПО бэкдоры.
И если компании отправили ФБР о неразглашении (так называемый Gag order), Цукерберг даже в Спортлото общественности пожаловаться не может.
App был изначально полон дыр в безопасности.
Создатели Whats.
App Брайан Эктон (слева) и Ян Кум.
Создатели Whats.
App заявляли, что “безопасность у него в ДНК”.
Но всё оказалось с точностью наоборот.
Например, в 2011-2012 годах доступ к вашей переписке в Whats.
App могли получить даже мобильные провайдеры и администраторы Wi-Fi точек.
Ключи шифрования одно время можно было подменить прямо в чате.
Вряд ли тестировщики компании этого не замечали.
Когда внедрили стандартное шифрование, ключи сделали доступными некоторым правительствам.
Но резервные копии данных, которые настойчиво предлагали сохранять в облаке, никто не шифровал.
Сквозное шифрование, которое интегрировали в апреле 2016 года и которое используется сегодня, тоже не спасает от кражи данных.
Да, метаданные разговоров мессенджер тоже передавал властям.
Из них можно понять, когда и с кем вы общались.
А ещё в 2013 году исследователи установили, что Whats.
App копировал все мобильные номера телефонов из адресной книги на свои сервера.
Формально чтобы показать, кто из них уже установил Whats.
Реально… с этими данными можно было сделать что угодно.
На сервера Whats.
App попали и номера пользователей, которые не устанавливали приложение.
К тому же при отправке использовалась ненадежная схема.
Расшифровать данные даже на домашнем ноутбуке можно за три минуты.
Возможность взлома Whats.
App доказали на высшем уровне.
Расследование в отношении Пола Манафорта, руководителя предвыборной кампании Дональда Трампа и советника беглого украинского президента Януковича, подтверждает, что мессенджер полон сюрпризов.
Сообщения Манафорта в Whats.
App достали из i.
Вероятно, Apple предоставила ФБР доступ к i.
Cloud политика по решению суда.
А Whats.
App пришлось передать ключи шифрования, и это позволило агентам прочитать переписку Манафорта.
В итоге его признали виновным по нескольким обвинениям и посадили на 7,5 года.
Основатели мессенджера перестали верить в Whats.
Facebook купил Whats.
App в феврале 2014 года за 22 млрд долларов.
В сентябре 2017 года сооснователь Whats.
App Брайан Эктон покинул компанию В апреле 2018-го Ян Борисович Кум сделал то же самое – из-за сомнений в приватности данных пользователей.
В марте, после скандала с Cambridge Analytica, Эктон призвал удалить Facebook и другие продукты компании.
Он также заявил: Facebook неохотно согласился на оконечное шифрование в Whats.
Данные были доступны 2 тыс.
Мог ли кто-то слить эти данные? Риторический вопрос.
Эктон также выразил сожаление о том, что согласился на сделку с Facebook:.
Я продал приватность своих пользователей за большую выгоду.
Я сделал выбор и пошел на уступки.
И мне приходится жить с этим каждый день.
Эктон добавил: что происходит с шифрованием в Whats.
App после продажи, неизвестно.
Как-то не верится, что его резко улучшили.
Через Whats.
App прямо сейчас могут красть ваши данные.
Новый громкий скандал с Whats.
App начался 3 октября.
Уязвимость угрожает Whats.
App (версии до 2.19.244) на Android, начиная с 8 версии.
Работает это так:.
Хакер отправляет жертве GIF-файл: как документ или просто в чате, если злоумышленник в контакт-листе жертвы.
Во втором случае GIF даже автоматически загрузится.
Когда жертва захочет отправить кому-нибудь медиафайл, она нажмет на значок со скрепкой и откроет галерею для выбора файла.
App показывает в галерее превью медиафайлов.
Это послужит триггером и запустит вредонос.
Profit! Теперь хакер может запускать на смартфоне жертвы произвольный код.
В Whats.
App 2.19.244 проблему решили.
Но 14 ноября эксперты нашли ещё одну дыру (и в Facebook её признали).
Баг есть в Whats.
App до 2.19.274 для Android и в iOS-версии до 2.19.100.
Разработчики раскрыли не слишком много подробностей.
Лишь отметили, что уязвимость связана с тем, как Whats.
App анализирует метадату mp4-видеофайлов.
Если баг эксплуатировать, можно добиться выполнения на смартфоне произвольного кода или отказа обслуживания (когда гаджетом нельзя будет пользоваться).
Если вы ещё не обновились, самое время.
А что с самим Telegram.
У мессенджера Дурова с безопасностью тоже всё не очень гладко.
Если вкратце, то в Telegram тоже используется сквозное шифрование.
В приватных чатах Telegram ключи действительно есть только у участников, в обычных (облачных) ключ теоретически может получить кто угодно.
Сквозное шифрование в Telegram не раз обходили.
Да и другие уязвимости обнаруживали.
Например, и в Whats.
App, и в Telegram можно было скрыть вредоносный код в изображении и отправить жертве, а затем получить полный доступ к её аккаунту.
И вообще: в сентябре эксперт Дирай Мишра обнаружил, что удаленные в Telegram файлы остаются на устройстве после того, как вы нажимаете в чате кнопку “Удалить для всех”.
Так что если вы по ошибке перешлете свои нюдсы боссу, а потом сразу удалите их, босс всё равно сможет сколько угодно их рассматривать.
Фото сохранятся у него в папке на смартфоне при получении.
Да и хакеры смогут получить доступ к файлам на устройстве.
В Telegram признали проблему.
За найденный баг Мишре выплатили 2500 евро в рамках программы bug bounty.
В Whats.
App есть такая же фича.
И она работает как надо.
Что ж, программы пишут люди.
А люди ошибаются.
Чаще, чем нам хотелось бы.
Разница только в том, что Whats.
App сотрудничает с властями, а Telegram утверждает, что не сотрудничает.
Что теперь делать?.
Если Whats.
App у вас – только для списков продуктов и школьных чатов, в целом можно не волноваться.
Но конфиденциальную информацию и нюдсы через него передавать не стоит.
Telegram все же безопаснее Whats.
А Signal, пожалуй, безопаснее Telegram.
Есть ещё Wire, Threema и другие продукты.
Но абсолютно безопасных мессенджеров не существует.