О популярных мессенджерах

Честно скажу, тема мне кажется скучной, но при этом необходимой. Счет англоязычных статей на тему "в популярных мессенджерах ни грамма приватности" идет на сотни. Даже на русском можно найти несколько.

Недавно я рассказывал, что из себя представляют метаданные. Если кратко, они могут нести почти столько же информации, сколько и содержимое переписок. Абсолютное большинство коммерческих мессенджеров собирает доступную им информацию, чтобы продавать ее. А если они готовы продавать, то готовы и выдавать ее правительству.

Обратите внимание на то, в какой стране находятся сервера компаний – эти страны и имеют доступ к информации. Россия в этом плане в особом положении, наш закон обязывает держать информацию о российских пользователях внутри нашей страны. Я думаю, о вероломности политики нашего государства рассказывать не нужно, пока сервера находятся в России, ограничить доступ к ним невозможно. Благо даже законы позволяют.

Следующий важный момент. Ни один из топовых мессенджеров не начинался с мысли "а давайте сделаем для пользователей по-настоящему приватное средство связи". В то время о таких вещах никто не думал. Поэтому, когда разработчик пишет код, он думает "как сделать чтобы работало", а не об уязвимостях, потенциальных векторах атаки на приложение и тому подобном. И еще кое-что, большое количество пользователей делает приложения очень лакомым кусочком для хакеров. Уязвимость может быть использована сразу против нескольких сотен миллионов пользователей.

Не стоит забывать, главная цель коммерческих мессенджеров – деньги. Продать своих пользователей с потрохами, да подороже. Если бы продажа всех ваших переписок была бы действительно выгодна, никакого сквозного шифрования в популярных мессенджерах мы бы не увидели. Выгода здесь на первом месте, пока большинство пользователей не обеспокоены всерьез безопасностью метаданных, ситуация не изменится.

Теперь немного о конкретных популярных в этой стране мессенджерах.

Viber

Наверное, худший выбор, при этом, долгое время остававшийся самым популярным в этой стране. Невооруженным глазом видно, что безопасностью они занимаются постольку-поскольку. Повторяют за WhatsApp, да еще и из рук вон плохо. Когда ввели сквозное шифрование, долго молчали о том, как оно устроено, до этого они хоть как-то шифровали только текст, все остальное оставалось без шифрования. Сразу как Viber выкатил апдейт, нельзя было даже сравнить ключи шифрования, тем самым удостоверившись, что не было MITM атаки. Слов нет, одни эмоции.

Казалось бы, ну были уязвимости, и ладно, исправили же. Но нет, это только половина дела. Добрые люди, обнаружившие, что картинки, геоданные и подобное передаются в открытом виде, сразу сообщили разработчикам о проблеме. Те не ответили на сообщение и не исправляли проблему долгое время даже после публикации уязвимости. Кстати, чтобы понимать всю серьезность проигнорированной проблемы, добавлю, что переданные данные хранились на серверах в открытом доступе. Зная ссылку, доступ к вашим фотографиям мог получить кто угодно без аутентификации вообще. За такие грехи в аду точно пришлось приготовить отдельный котел погорячее.

WhatsApp

Эти парни посерьезнее. Крупнейший в мире мессенджер, как-никак. Тем не менее по запросу "why you should stop using whatsapp" можно найти сразу несколько статей на эту тему. Причем ошибки бывают довольно простыми, типа не зашифрованного бэкапа с его загрузкой в облако или отсутствием уведомления пользователя при изменении ключа собеседника.

Но даже без уязвимостей, о приватности можете забыть. После покупки мессенджера компанией Facebook все права на метаданные перешли им. Скорее всего, количество кода, пристально следящего за действиями пользователей, только увеличилось после завершения сделки.

Telegram

Обсуждался отдельно

VK

Момент ухода Дурова из компании стал поворотным в ее судьбе. И свернули они, похоже, не туда: с тех пор соцсеть преследуют проблемы. Не рассчитали возрастающую нагрузку, желая сэкономить деньги, в итоге периодические тормоза и падения сайта для части пользователей. Но главная ошибка (с моей, сугубо личной точки зрения) - открытие данных пользователей правительству, возможность блокировать группы и так далее. Ведь конфликт с отжатием бизнеса произошел именно на этой почве.

О приватности тут говорить как-то глупо, даже сквозного шифрования и того нет. Но, дабы показать всю степень продажности, я дам первую в этом блоге ссылку на даркнет (напоминаю – в России Tor под запретом). Опера ломают почты – так называется тема на форуме, где за деньги предлагается взлом различных почт и мессенджеров. В том числе Вконтакте. Но вот на что стоит обратить внимание: можно заплатить за то, чтобы просмотреть уже удаленные сообщения. А ты думал, в сказку попал? Слово не воробей, как говорится.

Skype

Программа с богатейшей историей. Если совсем коротко, когда-то это был действительно лучший мессенджер в мире (конечно, сугубо личное мнение), потом начал сдавать позиции, был продан Microsoft и окончательно сгнил. Теперь там встроенная реклама, юзабилити падает, появляются баги, закрылось API. В общем, сплошные фейлы. Отток пользователей происходит по всему миру.

Помня как новые версии Windows отправляли весь лог ваших нажатий на клавиши на сервера Microsoft, не трудно представить, в чьи руки попал первый массовый продукт интернет-телефонии. Эти тормоза только накануне ввели end to end шифрование. Могли бы и не начинать, наверное, все кому это было важно уже давно пользуются чем-то другим. Уязвимость, позволяющую удаленно разблокировать выключенный микрофон, чинили около полугода. Долгие годы они фиксили уязвимость с доступом к IP адресу пользователей, мне даже лень проверять, как там сейчас дела обстоят, починили все-таки или нет.

В общем, тут речь уже не о защите приватных данных, а о защите вообще. Skype уже мало кто использует, и я его сюда добавил только потому, что это, наверное, самый "опасный" мессенджер на сей день.

ICQ

Лол, нет, про это я рассказывать ничего не буду. Тех, кто этим все еще пользуется, не переубедить.

В заключение хочу напомнить, что код абсолютного большинства коммерческих мессенджеров закрыт. Security through obscurity – плохая тема. Уже много раз доказывала свою неэффективность и докажет еще не раз.