Whatsapp
Почему бэкдор WhatsApp - плохие новости
Маркус Ра16 января 2017 г.
The Guardian недавно опубликовал в WhatsApp историю о бэкдоре, который позволяет отслеживать зашифрованные сообщения . Некоторые люди, которых я знаю, спрашивали меня, имеет ли что-нибудь подобное отношение к Telegram. Короткий ответ - нет , но давайте посмотрим поближе.
Прежде всего, позвольте мне объяснить, почему бэкдор WhatsApp является плохой новостью.
WhatsApp может отправлять ваши личные сообщения в Китай
С прошлого года WhatsApp обещает сквозное шифрование всех сообщений, отправляемых с помощью их приложения. Уже выяснилось, что WhatsApp нарушает это обещание, подталкивая пользователей к незашифрованным сторонним резервным копиям . [1] Electronic Frontier Foundation также подверг их критике за отключение уведомлений об изменении ключа по умолчанию.
Теперь важная новость заключается в том, что WhatsApp может удаленно инициировать смену ключа и повторно отправлять сообщения, используя новый ключ, даже если пользователи не запрашивали его. В результате WhatsApp может получать стенограммы всех разговоров, не отправляя уведомления участникам. Постфактум уведомление будет отправлено только , если вы пошли в Настройки - Счет - Безопасность и включено « уведомление безопасности » в прошлом.
Между тем, WhatsApp утверждает это в каждом чате:
«Сообщения, которые вы отправляете в этот чат, теперь защищены сквозным шифрованием, что означает, что WhatsApp и третьи стороны не могут их прочитать».
This claim is a lie.
WhatsApp имеет все средства, например, для ответа на запрос данных от репрессивного режима. Только недавно газета The New York Times сообщила, что Facebook, материнская компания WhatsApp, не возражает против сотрудничества с репрессивными режимами.
Как отреагировал WhatsApp?
Официальный ответ WhatsApp заключался в том, что бэкдор является «дизайнерским решением» и что WhatsApp «предлагает людям уведомления о безопасности, чтобы предупредить их о потенциальных рисках безопасности». Они не упомянули, что эти "уведомления о безопасности" отключены по умолчанию, и хорошо скрыты в настройках.
Между тем, Часто задаваемые вопросы WhatsApp фактически отбивает у вас желание:
"Только вы и человек, с которым вы общаетесь, можете прочитать то, что отправлено, и никто между ними, даже WhatsApp. [...] Все это происходит автоматически, не нужно включать настройки или настраивать специальные секретные чаты для защиты ваших сообщений».
Это утверждение также является ложью.
С настройками По умолчанию WhatsApp даже проверка ключей не защитит вас от атак «человек в середине». [2]
Основатель сигнала и адвокат WhatsApp Мокси Марлинспайк написал в своем блоге, что сервер WhatsApp не знает, включил ли пользователь ключевые уведомления об изменении. Если это так, то это создаст риск быть пойманным пользователями, которые проверяют ключи, если компания попытается извлечь данные путем атаки MitM.
Но это где еще одна основная проблема с WhatsApp выходит на сцену. Мы не можем знать, является ли заявление Мокси верным или нет, не глядя на код приложения. И код WhatsApp является собственностью и юридически защищен от обратной инженерии. [3]
Подводя итоги
Бэкдор новости, конечно, плохо, но это просто еще одна капля в ведро. Вопреки утверждениям компании, нет никакого способа для вас, чтобы быть уверенным, что ваши получатели являются единственными, кто может читать ваши сообщения на WhatsApp:
Другие пользователи решают, будут ли ваши данные идти в незашифрованные сторонние резервные копирования без вашего ведома.
Серверы WhatsApp решают, какие ключи использовать для шифрования сообщений, когда изменять эти ключи и когда отправлять сообщения повторно. Они могут отправить вам открытку, когда они сделали, но только если вы нашли специальные настройки, которые не должны были быть найдены .
Клиенты whatsapp с закрытым исходным кодом не позволяют проверить какие-либо утверждения о реализации сквозного шифрования.
Как Telegram сохраняет ваши данные в безопасности?
Напротив, подход Telegram полностью прозрачен. Именно пользователь решает, какое шифрование будет использоваться для любого конкретного сообщения.
Чтобы удовлетворить потребность людей в резервном копировании и синхронизации безопасным образом, облачные чаты Telegram предлагают шифрование сервера-клиента и безопасные резервные копирования. Центры обработки данных и соответствующие ключи шифрования распределены по разным юрисдикциям, чтобы защитить их от правительственных запросов.
Для наиболее конфиденциальных данных Secret Chats гарантируют сквозное шифрование. В отличие от WhatsApp, когда вы отправляете сообщение в секретный чат, вы можете быть на 100% уверены, что никто, включая сервер Telegram, не знает содержимого этого сообщения.
А как насчет ключевых изменений?
В мирное время ключевые изменения происходят, когда новое устройство хочет участвовать в сквозном зашифрованном разговоре. [4]
Секретные чаты в Telegram специфичны для устройств. В отличие от WhatsApp, они также сессии конкретных. При входе в новое устройство запуск секретного чата создает совершенно новый чат, заметно отделенный от старого в списке чата получателя. Это служит гораздо более заметным показателем того, что произошло ключевое изменение, и что более важно, это поведение по умолчанию. Нет необходимости включать дополнительные настройки.
В дополнение к этому телеграм не имеет никаких средств для тайного принудительного изменения ключа, повторного шифрования сообщений с использованием компрометированного ключа и повторной отправки сообщений. Это тоже поддаюся проверке. Не только спецификация протокола Telegram открыта. В отличие от WhatsApp, код приложения также открыт. Благодаря этому, исследователи имеют все инструменты для полной оценки реализации Telegram сквозного шифрования.
Заметки
[1] – WhatsApp настойчиво подталкивает пользователей к включенным защищенным сторонним сервисам Apple и Google. Даже если вы не создадите копию своих сообщений, это вполне вероятно. Вероятно, они давно не отказывались от назойливого уведомления «да». Интерфейс не дает возможности узнать, резервируются ли ваши сообщения. Вероятность того, что все сообщения хранятся на сервере Apple или Google в США, составляет 99%.
Рэндалл Сарафа поставил его в Google Дисконт WhatsApp:
«Около 75% пользователей WhatsApp работают на Android, а из наших пользователей Android, около 40% из них выбрали сегодня резервные копии на Google Диске. Это, вероятно, будет продолжать расти со временем, так как люди получают подсказки ».
[2] – Это потому, что даже если вы проверили и подтвердили свой ключ для определенного контакта , НЕ ничто мешает серверу молча изменить ключ после Того, как вы это сделали.
[3] – см. Условия предоставления услуг WhatsApp, «Приемлемое использование наших услуг» : «[...] включая то, что вы не должны напрямую или с помощью автоматических средств: (а) выполнять обратный инжиниринг , [...] декомпилировать или извлекать код из наших» »Сервисы. "
[4] – Ключи также регулярно перерабатываются и обновляются радикальной идеальной прямой секретностью , но это не имеет значения для рассматриваемой темы.