Почему WhatsApp никогда не будет безопасным
Мир, кажется, шокирован новостью о том, что WhatsApp превратил любой телефон в шпионское ПО. Злоумышленники могут получить доступ ко всему на вашем телефоне, включая фотографии, электронные письма и тексты, только потому, что у вас установлен WhatsApp [1] .
Эта новость меня не удивила. В прошлом году WhatsApp должен был признать, что у них была очень похожая проблема - все, что нужно для получения доступа ко всем данным вашего телефона [2] .
Каждый раз WhatsApp приходится исправлять критическую уязвимость в своем приложении. Все эти проблемы безопасности удобно подходят для наблюдения.
В отличие от Telegram, WhatsApp не является открытым исходным кодом, поэтому исследователи безопасности не могут легко проверить, есть ли у него бекдоры в коде. WhatsApp не только не публикует свой код, но и делает прямо противоположное: намеренно запутывает двоичные файлы своих приложений, чтобы никто не смог их тщательно изучить.
WhatsApp и его материнская компания Facebook может даже потребовать реализации бэкдоров - с помощью секретных процессов, таких как заказы ФБР по ордерам [3] . Это не просто запустить приложение безопасной связи из США. Одна неделя, проведенная нашей командой в США в 2016 году, дала нам три попытки проникновения ФБР [4] [5] . Представьте, что 10 лет в такой среде могут сделать с американской компанией.
Органы безопасности используют антитеррористические усилия, чтобы оправдать проникновения. Проблема в том, что такие бэкдоры могут также использоваться преступниками и авторитарными правительствами. Неудивительно, что диктаторы, похоже, любят WhatsApp: его отсутствие безопасности позволяет им шпионить за собственным народом, поэтому WhatsApp продолжает оставаться в свободном доступе в таких местах, как Россия или Иран, где Telegram запрещен властями[6] .
По сути, я начал работать над Telegram - как прямой ответ на личное давление со стороны российских властей. Тогда, в 2012 году, WhatsApp Все еще передавал сообщения в виде обычного текста. Это безумие. Не только правительство или хакеры, но и мобильные провайдеры и администраторы WiFi имели доступ ко всем текстам WhatsApp [7] [8] .
Позже WhatsApp добавил некоторое шифрование, которое быстро оказалось маркетинговым ходом: ключ для расшифровки сообщений был доступен по крайней мере нескольким правительствам, включая Российское [9]. Затем, когда Telegram начал набирать популярность, основатели WhatsApp продали свою компанию Facebook и заявили, что “конфиденциальность была в их ДНК” [10]. Если это правда, то это, должно быть, спящий или рецессивный ген.
3 года назад WhatsApp объявил, что они внедрили сквозное шифрование, чтобы “никакая третья сторона не могла получить доступ к сообщениям”. Это совпало с агрессивным толчком для всех своих пользователей для резервного копирования своих чатов в облаке. Делая этот толчок, WhatsApp не сказал своим пользователям, что при резервном копировании сообщения больше не защищены сквозным шифрованием и могут быть доступны хакерам и правоохранительным органам [11] . Блестящий маркетинг, и некоторые наивные люди в результате отбывает свое время в тюрьме [12] .
Пользователи WhatsApp достаточно устойчивы, чтобы не попадаться на постоянные всплывающие окна, говорящие им создавать резервные копии своих чатов, все еще могут быть прослежены рядом других трюков – от доступа к резервным копиям своих контактов до невидимых изменений ключа шифрования [13]. Метаданные, генерируемые пользователями WhatsApp-журналы, описывающие, кто с кем общается и когда – просачиваются во все виды агентств в больших объемах материнской компанией WhatsApp [14] .
WhatsApp имеет непротиворечивую историю - от нулевого шифрования на начальном этапе до проблем безопасности. В 10-летнем путешествии WhatsApp, когда эта услуга была безопасной. WhatsApp сделает его безопасным для всех. Чтобы WhatsApp стал сервисом, он должен был потерять целые рынки и столкнуться с властями в своей стране. Кажется, они к этому не готовы [15] .
В прошлом году основатели WhatsApp покинули компанию из-за опасений за конфиденциальность пользователей [16]. Они, безусловно, связаны либо с оредами, либо с NDA (прим. Non-disclosure agreement) — соглашение о неразглашении конфиденциальной информации.), поэтому не могут публично обсуждать бэкдоры, не рискуя своим состоянием и свободой. Они были в состоянии признать, однако, что "они продали конфиденциальность своих пользователей"[17] .
Я могу понять нежелание основателей WhatsApp предоставлять более подробную информацию-нелегко поставить свой комфорт под угрозу. Несколько лет назад мне пришлось покинуть свою страну после отказа соблюдать санкционированные правительством нарушения конфиденциальности пользователей ВКонтакте [18]. Это было неприятно. Но сделал бы я что-то подобное снова? С удовольствием. Каждый из нас в конце концов умрет, но мы как вид останемся на некоторое время. Вот почему я думаю, что накопление денег, славы или власти не имеет значения. Служить человечеству-это единственное, что действительно имеет значение в долгосрочной перспективе.
И все же, несмотря на наши намерения, я чувствую, что мы подвели человечество во всем этом шпионском деле WhatsApp. Многие люди не могут прекратить использовать WhatsApp, потому что их друзья и семья все еще на нем. Это означает,что мы в Telegram сделали плохую работу по убеждению людей переключиться. Хотя за последние пять лет мы привлекли сотни миллионов пользователей, этого было недостаточно. Большинство Facebook/WhatsApp/Instagram по-прежнему остаются заложниками империи интернет-пользователей. Многие из тех, кто использует Telegram также на WhatsApp, то есть их телефоны по-прежнему уязвимы. Даже Facebook или Instagram, оба из которых думают, что это нормально хранить свои пароли в открытом тексте [19] [20] (я все еще не могу поверить, что техническая компания может сделать что-то подобное и уйти с этим).
За почти 6 лет своего существования Telegram не имел серьезных утечек данных или недостатков безопасности, которые WhatsApp демонстрирует каждые несколько месяцев. За те же 6 лет мы раскрыли ровно нулевые байты данных третьим лицам, в то время как Facebook/WhatsApp делился почти всем со всеми, кто утверждал, что они работали на правительство [13] .
Немногие люди за пределами сообщества поклонников Telegram понимают, что большинство новых функций обмена сообщениями сначала появляются в Telegram, а затем копируются WhatsApp до мельчайших деталей. Совсем недавно мы являемся свидетелями попытки Facebook заимствовать всю философию Telegram, когда Цукерберг внезапно заявил о важности конфиденциальности и скорости, практически цитируя описание приложения Telegram слово в слово в своей речи F8.
Но нытье о лицемерии Facebook и отсутствии творчества не поможет. Мы должны признать, что Facebook выполняет эффективную стратегию. Посмотрите, что они сделали со Snapchat [21].
Мы в Telegram должны признать свою ответственность в формировании будущего. Либо мы, либо монополия Facebook. Это либо свобода и уединение, либо жадность и лицемерие. Наша команда конкурирует с Facebook на протяжении последних 13 лет. Мы уже обыграли их однажды, на восточноевропейском рынке социальных сетей [22].
Мы снова победим их на мировом рынке обмена сообщениями. Мы должны.
Это будет нелегко. Отдел маркетинга Facebook огромен. Мы в Telegram, однако, делаем нулевой маркетинг. Мы не хотим платить журналистам и исследователям, чтобы они рассказывали миру о Telegram. Для этого, мы полагаемся на вас – миллионы наших пользователей. Если Вам нравится Telegram достаточно, вы расскажете об этом своим друзьям. И если каждый пользователь Telegram убедит 3 своих друзей удалить WhatsApp и навсегда перейти в Telegram, Telegram уже будет более популярен, чем WhatsApp.
Век жадности и лицемерия закончится. Начнется эра свободы и частной жизни. Это гораздо ближе, чем кажется.
Ссылки
[1] Бизнес-инсайдер WhatsApp был взломан, и злоумышленники установили шпионское ПО на телефонах людей - 15 мая 2019 г.
[2] Сегодняшняя ошибка безопасности ФБР спросил Дурова и разработчика для бэкдора Telegram - 19 сентября 0271
[3] Wikipedia Gag order-США
[4] Neowin ФБР запросило у Дурова и разработчика Telegram бэкдор-19 сентября 0271
[5] Баффлер The Crypto-Хранители - 17 сентября 2017
[6] New York Times Что такое Telegram и почему Иран и Россия пытаются запретить это? - 2 мая 2018 г.
[7] YourDailyMac WhatsApp утечки имен пользователей, телефонных номеров и сообщений - 19 мая 2011
[8] Инструмент H Security Sniffer отображает сообщения WhatsApp других людей - 13 мая 2012 г.
[9] FilePerms WhatsApp сломан, действительно сломан - 12 сентября 2012 г.
[10] Международное деловое время : конфиденциальность в ДНК WhatsApp: основатель Ян Кум - 18 марта 2014 г.
[11] Независимое обновление WhatsApp создает резервные копии, которые не могут быть зашифрованы и доступны пользователям для чтения сообщений - 28 августа 2018 г.
[12] Slate Как ФБР получило доступ к зашифрованным сообщениям Пола Манафорта? – 5 июня 2018 г.
[13] Бэкдор AppleInsider WhatsApp побеждает сквозное шифрование, позволяет Facebook читать сообщения - 13 января 2017 г.
[14] Forbes Забудьте о бэкдорах, это данные WhatsApp на самом деле раздают полицейским - 22 января 2017 г.
[15] « Нью-Йорк таймс» рассказывает о создании инструмента цензуры для возвращения в Китай - 22 ноября 2016 г.
[16] Сооснователь The Verge WhatsApp Ян Кум покинул Facebook после столкновения по поводу конфиденциальности данных - 30 апреля 2018 г.
[17] Соучредитель CNET WhatsApp: «Я продал конфиденциальность своих пользователей» с приобретением Facebook - 25 сентября 2018 г.
[18] New York Times После празднования в России программист Павел Дуров выбирает ссылку - 2 декабря 2014 г.
[19] TechCrunch Facebook признает, что «сотни миллионов» паролей регистрируют записи в открытом виде - 21 марта 2019 г.
[20] Engadget Facebook хранит миллионы паролей Instagram в виде простого текста - 18 апреля 2019 г.
[21] Vanity Fair Snapchat делает очень плохо, федеральные интервенции - 14 ноября 2018
[22] HuffPost Вконтакте, конкурент Facebook в России, доминирует - 26 октября 2012 г.