Почему WhatsApp никогда не будет безопасным
Мир, кажется, шокирован новостью о том, что WhatsApp превратил любой телефон в шпионское ПО. Все на вашем телефоне, включая фотографии, электронные письма и тексты, было доступно злоумышленникам только потому, что у вас установлен WhatsApp .
Эта новость меня не удивила. В прошлом году WhatsApp пришлось признать, что у них была очень похожая проблема - один видеозвонок через WhatsApp был всем, что нужно хакеру для получения доступа ко всем данным вашего телефона.
Каждый раз, когда WhatsApp приходится исправлять критическую уязвимость в своем приложении, на ее месте появляется новая. Все их проблемы безопасности удобно подходят для наблюдения, и выглядят и работают как черные ходы.
В отличие от Telegram, WhatsApp не является открытым исходным кодом, поэтому у исследователя безопасности нет возможности легко проверить, есть ли в его коде бэкдоры. Мало того, что WhatsApp не публикует свой код, они делают прямо противоположное: WhatsApp намеренно запутывает двоичные файлы своих приложений, чтобы никто не смог их тщательно изучить.
От WhatsApp и ее материнской компании Facebook может даже потребоваться реализация бэкдоров - через секретные процессы, такие как заказы ФБР. Запустить приложение безопасной связи из США нелегко. Неделя, которую наша команда провела в США в 2016 году, принесла нам 3 попытки проникновения со стороны ФБР. Представьте себе, что 10 лет в этой среде могут навредить американской компании.
Я понимаю, что органы безопасности оправдывают попытки закулисных действий антитеррористическими усилиями. Проблема в том, что такие бэкдоры могут также использоваться преступниками и авторитарными правительствами. Неудивительно, что диктаторы любят WhatsApp. Отсутствие безопасности позволяет им шпионить за своими людьми, поэтому WhatsApp по-прежнему находится в свободном доступе в таких местах, как Россия или Иран, где Telegram запрещен властями.
На самом деле я начал работать над Telegram как прямой ответ на личное давление со стороны российских властей. Тогда, в 2012 году, WhatsApp все еще передавал сообщения в виде простого текста в пути. Это было безумно. Не только правительства или хакеры, но и мобильные провайдеры и администраторы Wi-Fi имели доступ ко всем текстам WhatsApp.
Позже WhatsApp добавил некоторое шифрование, которое быстро оказалось маркетинговым ходом: ключ для расшифровки сообщений был доступен по крайней мере нескольким правительствам, включая русских. Затем, когда Telegram начал набирать популярность, основатели WhatsApp продали свою компанию Facebook и заявили, что «конфиденциальность была в их ДНК». Если это правда, это должен быть дремлющий или рецессивный ген.
3 года назад WhatsApp объявил, что внедрил сквозное шифрование, чтобы «никакая третья сторона не могла получить доступ к сообщениям». Это совпало с агрессивным стремлением всех пользователей создавать резервные копии своих чатов в облаке. Делая это, WhatsApp не говорил своим пользователям, что при резервном копировании сообщения больше не защищены сквозным шифрованием и могут быть доступны хакерам и правоохранительным органам. Блестящий маркетинг, и в результате некоторые наивные люди отбывают свое время в тюрьме.
Те, кто достаточно устойчив, чтобы не поддаваться постоянным всплывающим окнам, говорящим им о необходимости создавать резервные копии своих чатов, все еще могут быть прослежены рядом уловок - от доступа к резервным копиям своих контактов до невидимых изменений ключа шифрования
Метаданные, сгенерированные пользователями WhatsApp - журналы, описывающие, кто, с кем и когда общался, - в больших объемах передаются во все виды агентств материнской компанией WhatsApp . Кроме того, у вас есть смесь критических уязвимостей, сменяющих друг друга.
WhatsApp имеет непротиворечивую историю - от нулевого шифрования на начальном этапе до череды проблем безопасности, странно подходящих для целей наблюдения. Оглядываясь назад, не было ни одного дня в 10-летнем путешествии WhatsApp, когда эта служба была безопасной. Вот почему я не думаю, что простое обновление мобильного приложения WhatsApp сделает его безопасным для всех. Чтобы WhatsApp стал сервисом, ориентированным на конфиденциальность, он должен рискнуть потерять целые рынки и столкнуться с властями в своей стране. Кажется, они к этому не готовы .
В прошлом году основатели WhatsApp покинули компанию из-за опасений по поводу конфиденциальности пользователей. Они определенно связаны либо приказами о клятве, либо соглашениями о неразглашении, поэтому не могут публично обсуждать бэкдоры, не рискуя потерять свои состояния и свободу. Однако они смогли признать, что «они продали конфиденциальность своих пользователей».
Я понимаю нежелание основателей WhatsApp предоставлять больше информации - не просто подвергать риску ваш комфорт. Несколько лет назад мне пришлось покинуть свою страну после отказа соблюдать санкционированные государством нарушения конфиденциальности пользователей ВКонтакте. Это было не приятно. Но сделаю ли я что-то подобное снова? Охотно. Каждый из нас рано или поздно умрет, но мы как вид останемся на некоторое время. Вот почему я думаю, что накопление денег, славы или власти не имеет значения. Служение человечеству - единственное, что действительно имеет значение в долгосрочной перспективе.
И все же, несмотря на наши намерения, я чувствую, что мы разочаровали человечество во всей этой истории шпионских программ WhatsApp. Многие люди не могут перестать использовать WhatsApp, потому что их друзья и семья все еще на нем. Это означает, что мы в Telegram сделали плохую работу, чтобы убедить людей переключиться. Хотя за последние пять лет мы привлекли сотни миллионов пользователей, этого было недостаточно. Большинство интернет-пользователей по-прежнему находятся в заложниках империи Facebook / WhatsApp / Instagram. Многие из тех, кто использует Telegram, также находятся в WhatsApp, что означает, что их телефоны по-прежнему уязвимы. Даже те, кто полностью отказался от WhatsApp, вероятно, используют Facebook или Instagram, и оба считают, что можно хранить свои пароли в открытом виде (я до сих пор не могу поверить, что техническая компания может сделать что-то подобное и сойти с рук Это).
За почти 6 лет своего существования у Telegram не было ни одной серьезной утечки данных или недостатка безопасности, который WhatsApp демонстрирует каждые несколько месяцев. За те же 6 лет мы раскрыли третьим сторонам ровно ноль байтов данных, в то время как Facebook / WhatsApp делился практически всем со всеми, кто утверждал, что они работали на правительство .
Мало кто за пределами фан-сообщества Telegram понимает, что большинство новых функций обмена сообщениями сначала появляются в Telegram, а затем копируются в WhatsApp до мельчайших деталей. Совсем недавно мы стали свидетелями попытки Facebook заимствовать всю философию Telegram, когда Цукерберг неожиданно заявил о важности конфиденциальности и скорости, практически дословно цитируя описание приложения Telegram в своей речи F8.
Но нытье о лицемерии и отсутствии креативности FB не поможет. Мы должны признать, что Facebook выполняет эффективную стратегию. Посмотрите, что они сделали с Snapchat.
Мы в Telegram должны признать нашу ответственность в формировании будущего. Это либо мы, либо монополист Facebook. Это либо свобода и приватность, либо жадность и лицемерие. Наша команда конкурирует с Facebook в течение последних 13 лет. Мы уже победили их однажды, на рынке социальных сетей Восточной Европы. Мы снова победим их на мировом рынке обмена сообщениями. Мы должны.
Это не будет легко. Маркетинговый отдел Facebook огромен. Мы в Telegram, однако, занимаемся нулевым маркетингом. Мы не хотим платить журналистам и исследователям, чтобы они рассказывали миру о Telegram. Для этого мы рассчитываем на вас - миллионы наших пользователей. Если вам достаточно нравится Telegram, вы расскажете об этом своим друзьям. И если каждый пользователь Telegram убедит 3 своих друзей удалить WhatsApp и навсегда перейти в Telegram, Telegram уже будет более популярным, чем WhatsApp.
Эпоха жадности и лицемерия закончится. Эра свободы и приватности начнется. Это намного ближе, чем кажется.