Почему пользоваться WhatsApp — опасно?
Несколько месяцев назад я написал о бэкдоре в WhatsApp, с помощью которого хакеры могли заполучить всю информацию с любом телефона, на котором был установлен этот мессенджер. Facebook, материнская компания WhatsApp, тогда утверждала, что у неё нет никаких доказательств того, что уязвимость реально кто-то использовал.
На прошлой же неделе стало ясно, что бэкдор использовали, чтобы заполучить личные переписки и фотографии Джеффа Безоса — самого богатого человека на планете, который, к сожалению, доверился WhatsApp. Поскольку атака, судя по всему, была организована правительством другой страны, вполне вероятно, что огромное количество других лидеров в бизнесе и политики стали жертвами уязвимости в WhatsApp.
Я предсказал это в ноябрьском посте. Теперь даже ООН рекомендует своим сотрудникам удалить WhatsApp с устройств, а людям, близким к Дональду Трампу, вообще посоветовали сменить телефоны.
Учитывая серьезность ситуации, можно было бы ожидать, что Facebook или WhatsApp извинится и пообещает не оставлять больше бэкдоров в своих приложениях. Вместо этого они заявили, что во взломе виновата Apple, а не WhatsApp. Вице-президент Facebook заявил, что злоумышленники хакнули iOS, а вовсе не WhatsApp.
Если вы следите за моим блогом, должны знать, что я — не фанат Apple. У устройств на iOS есть масса проблема, связанных с конфиденциальностью. Но виновата была не Apple — по этим двум причинам:
1) Уязвимость, связанная с повреждённым видеофайлом, появлялась не только на iOS, но и на Android, а также Windows Phone. То есть, на всех устройств, на которых стоял WhatsApp.
2) Этой уязвимости не было в других мессенджерах на iOS. Если бы Джефф Безос доверился Telegram вместо WhatsApp, его бы сейчас не шантажировали взломщики.
Получается, проблема не в iOS, а в WhatsApp.
WhatsApp использует слова «сквозное шифрование» как магическое заклинание, которое автоматически обеспечит безопасность всем пользователям. Эта технология — не серебряная пуля, которая сама по себе может гарантировать вам абсолютную конфиденциальность.
Telegram начал использовать сквозное шифрование за долгие годы до того, как WhatsApp последовал нашему примеру. Однако мы помнили не только о сильных сторонах, но и о недостатках этой технологии. Некоторые особенности, присущие мессенджерам, могут сделать сквозное шифрование бесполезным. Ниже приведены три примера того, что может пойти не так.
Во-первых, резервные копии. Пользователи не хотят терять свои чаты, меня устройства, поэтому они создают бэкапы чатов в таких сервисах, как iCloud, часто даже не осознавая, что их резервные копии не шифруются. Тот факт, что Apple была вынуждена отказаться от планов внедрить шифрование для iCloud из-за ФБР, говорит в этом случае сам за себя. Это одна из причин, почему Telegram никогда не использует сторонние облачные сервисы для хранения резервных копий, а секретные чаты никуда не копирует.
Во-вторых, бэкдоры. Правоохранительным органам не очень нравится, что переписку зашифровывают. Поэтому они заставляют разработчиков по-тихому внедрять уязвимости в свои приложения. Я знаю это, потому что нам поступали такие предложения — но мы отказались сотрудничать. Как результат, Telegram запрещен в некоторых странах, где у WhatsApp нет проблем с властями. Наиболее подозрительно такая ситуация выглядит в России и Иране.
Бэкдоры обычно маскируют как «случайные» пробоины. Только за последний год в WhatsApp было обнаружено 12 таких уязвимостей. Семь из них были критически опасными— как тот, который получил Джефф Безос. Кто-то может убежать вас, что WhatsApp по-прежнему «безопасен», несмотря на то, что за последние 12 месяцев было открыто 7 бэкдоров. У Telegram, мессенджера, которым пользуются сотни миллионы людей (в том числе главный государств и крупных компаний) таких проблем не было последние 6 лет.
В-третьих, не стоит забывать о том, что шифрование не всегда удаётся реализовать идеально. Как можно быть уверенным, что WhatsApp действительно использует то шифрование, о котором постоянно говорит? Исходный код приложения скрыт, поэтому проанализировать его нельзя. Telegram же является мессенджером с открытым исходным кодом, наше шифрование полностью документируется с 2013 года. Telegram поддерживает проверяемые сборки как для iOS, так и для Android — это значит, что любой пользователь может убедиться, что исходный код на GitHub точно такой же, как у приложения на телефоне. Ни один другой мессенджер не предоставляет такой возможности для обеих мобильных ОС. Стоить задуматься, почему.
Не дайте себя одурачить цирковым фокусникам от мира IT, которые исполняют свои трюки, прикрываясь сквозным шифрованием. Они хотят, чтобы это было единственным фактором, на который вы обращаете внимание, задумываясь о конфиденциальности мессенджера. Реальность намного сложнее.
Кто-то может сказать, что я, как основательно мессенджера-конкурента, могут быть предвзятым в критике WhatsApp. Естественно. Естественно, я считаю, что секретные чаты в Telegram гораздо безопаснее, чем в других мессенджерах. Иначе зачем бы я разрабатывал Telegram и пользовался им лично?
Так или иначе, всё, сказанное в этом посте, основаны на фактах, а не на личном мнении. Так же, как и код Telegram, эти факты поддаются проверке: их подтверждают источники, разбросанные по тексту. Когда речь заходит о безопасности, не стоит никому верить на слово.
Телеблог — главный блог о Telegram.