Чому WhatsApp Ніколи Не Буде Безпечним
Переклад статті, що вийшла на Telegram-каналі Павла Дурова
Світ, здається, шокований новиною про те, що WhatsApp перетворював будь який телефон на шпигунський пристрій. Хакери могли отримати доступ до всіх ваших даних, включаючи фотографії, електронну пошту та СМС просто через те, що на вашому телефоні був встановлений WhatsApp [1].
Мене ця новина не здивувала. В минулому році WhatsApp вже доводилось визнати дуже подібну проблему — було достатньо лише одного відеодзвінка через WhatsApp, щоб хакер зміг отримати доступ до всіх даних на вашому телефоні [2].
Кожного разу, коли WhatsApp виправляє критичну вразливість, на її місці з'являється нова. Причому всі їх проблеми безпеки чудово підходять для стеження за людьми. Вони дуже подібні на бекдори — спеціально вбудовані лазівки, що дозволяють отримати доступ до даних.
На відміну від Telegram, код WhatsApp закритий, тому його неможливо легко перевірити на наявність бекдорів. Мало того, що WhatsApp не публікує свій код, вони роблять зворотне: WhatsApp навмисно обфускує код власних програм, щоб ніхто не зміг його ретельно вивчити.
Цілком вірогідно, що Facebook, якому належить WhatsApp, змушений вбудовувати бекдори в рамках сумнозвісних наказів ФБР про нерозголошення [3]. Розробляти сервіс для безпечного спілкування, знаходячись при цьому в США, не так просто. За 2 тижні, які наша команда провела в США в 2016 році, з нами тричі робили спроби домовитись про "спеціальний доступ" до даних ФБР [4][5]. Тепер уявіть собі, що в таких умовах може статись з американською компанією за 10 років.
Я розумію, що агенства безпеки виправдовують необхідність бекдорів антитерористичними міркуваннями. Проблема в тому, що одного разу вбудований бекдор може бути використаний ким завгодно, включно із злочинцями та авторитарними урядами. Не дивно, що диктаторам подобається WhatsApp. До тих пір, поки люди ним користуються за ними можна стежити. Тому WhatsApp продовжує бути доступним в таких країнах, як Росія чи Іран, де Telegram заборонений владою [6].
Власне кажучи, я почав працювати над Telegram у відповідь на особистий тиск зі сторони російської влади. Тоді, в 2012-у, WhatsApp все ще передавав повідомлення взагалі без будь якого шифрування. Це було божевіллям: не лише уряди та хакери, але навіть мобільні оператори та адміністратори Wi-Fi точок могли читати всі повідомлення користувачів WhatsApp [7][8].
Пізніше WhatsApp додав шифрування, але досить швидко з'ясувалося, що це всього лиш маркетинговий хід: ключі для доступу були як мінімум в декількох спецслужбах, включаючи російські [9]. Коли Telegram почав набирати популярність, засновники WhatsApp продали свою компанію Facebook і зненацька оголосили, що "Приватність закладена в них у ДНК" [10]. Якщо це правда, та мабуть, цей ген сплячий або рецесивний.
Три роки тому WhatsApp оголосив про впровадження end-to-end шифрування, завдяки чому "треті особи не зможуть отримати доступ до повідомлень". Одночасно з цим компанія почала масово закликати своїх користувачів зберігати резервні копії чатів в хмарі. При цьому WhatsApp не уточнив, що end-to-end шифрування не розповсюджується на резервні копії, тому всі повідомлення користувачів стають доступними хакерам та правоохоронцям. Чудовий маркетинговий хід, в результаті якого немало наївних людей потрапили за ґрати [11].
Тих, хто не став жертвою постійно спливаючих вікон, повідомляючих про необхідність резервного копіювання чатів, все одно можна відстежити за допомогою інших прийомів — від доступу до резервних копій співрозмовників до непомітної підміни ключів шифрування в чатах [12]. Великі об'єми метаданих, згенерованих користувачами WhatsApp — логи, що описують, хто, з ким і коли спілкувався, — передаються різноманітним агенствам материнською компанією WhatsApp [13]. Завершує картину ціла суміш критичних вразливостей, де одна перевершує іншу, які роблять всі дані на телефоні доступними третім особам.
Історія WhatsApp логічна — від повної відсутності шифрування, спершу, до низки вразливостей, які дивовижним чином підходять для стеження. Озираючись назад, можна відмітити, що за весь 10-річний шлях WhatsApp не було ані дня, коли сервіс був безпечним. Тому оновлення додатку WhatsApp навряд чи для зробить когось його таким. Щоб стати по справжньому конфіденційним сервісом, WhatsApp потрібно бути готовим втратити важливі для них ринки та вступити в конфлікт з владою в рідній країні. Судячи зі всього, вони до цього не готові [14].
В минулому році засновники WhatsApp покинули компанію через побоювання за особисті дані користувачів [15]. Вони напевно зв'язані договорами про нерозголошення чи наказами ФБР, тому не можуть публічно говорити про бекдори без ризику втратити гроші та свободу. Щоправда, вони все ж змогли визнати, що "продали приватність своїх користувачів" [16].
Я можу зрозуміти небажання засновників WhatsApp розкривати подробиці. Ризикувати своїм комфортом вельми непросто. Декілька років тому мені довелось покинути свою країну після відмови порушувати конфіденційність користувачів ВКонтакті на вимогу влади [17]. Це було неприємно. Але чи зробив би я щось таке знову? Без сумнівів. Кожен з нас коли-небудь помре, але як вид ми проіснуємо ще довгий час. Тому мені здається, що прагнення до багатства, слави чи влади — безглузде. Служити людству — це єдине, що має значення в довготерміновій перспективі.
І все ж, не зважаючи на наші наміри, я відчуваю, що в усій цій історії про стеження через WhatsApp ми підвели людей. Багато хто не може видалити WhatsApp, тому що їх друзі та сім'я ще там. Це означає, що Telegram не зміг змусити більше людей змінити месенджер. І хоч за останні п'ять років ми вже залучили сотні мільйонів користувачів, цього все ще недостатньо. Більшість інтернет-користувачів все ще в заручниках в імперії Facebook/WhatsApp/Instagram. Багато з тих, хто використовує Telegram, також є і в WhatsApp, а отже дані з їх пристроїв все ще в небезпеці. Навіть ті, хто повністю відмовився від WhatsApp, скоріш за все, використовують Facebook чи Instagram, а ці сервіси вважають нормальним збереженні паролів у відкритому вигляді [18][19] (все ще не можу повірити, що технологічна компанія могла зробити таке і спокійно жити далі).
За майже 6 років існування в Telegram не було витоків даних чи дір в безпеці рівних тим, які виявляють у WhatsApp кожні декілька місяців. За 6 років, ми не видали жодного байту інформації третім особам, поки Facebook і WhatsApp зливали потоки особистих даних кожному, хто говорив, що працює на владу [13].
За межами фанатської спільноти Telegram не так багато людей усвідомлюють, що більшість нових функцій для обміну повідомленнями спершу з'являються в Telegram, і лише після цього — аж до найдрібніших деталей — копіюються WhatsApp. Недавно Facebook пішов далі і спробував запозичити цілу філософію Telegram. На конференції F8 Цукерберг раптово заявив про важливість конфіденційності та швидкості, практично дослівно цитуючи опис додатку Telegram.
Але немає змісту жалітись на лицемірство чи відсутність креативності Facebook. Слід визнати, що їх стратегія працює. Погляньте, наприклад, що вони зробили зі Snapchat [20].
Ми в Telegram повинні визнати нашу відповідальність за створення майбутнього. Майбутнє — це або ми, або монополія Facebook. Або наша свобода та конфіденційність, або жадібність та лицемірство. Наша команда конкурує з Facebook вже 13 років. Одного разу ми вже перемогли їх на ринку соціальних мереж Східної Європи [21]. І ми знову переможемо їх, цього разу вже на світовому ринку обміну повідомленнями. Ми повинні це зробити.
Отримати перемогу буде непросто. Маркетинговий відділ Facebook величезний, в той час як Telegram не займається маркетингом взагалі. Ми не хочемо платити журналістам та дослідникам, щоб вони розповідали про Telegram. Ми розраховуємо на вас — на мільйони наших користувачів. Якщо вам подобається Telegram, розкажіть про це своїм друзям. І якщо кожний користувач Telegram переконає трьох своїх друзів видалити WhatsApp та назавжди перейти в Telegram, то Telegram вже стане популярнішим, ніж WhatsApp.
Епоха жадібності та лицемірства завершиться; настане ера свободи та приватності. Цей день набагато ближче, ніж здається.
Джерела
[1] Business Insider WhatsApp was hacked and attackers installed spyware on people’s phones – 15 травня 2019
[2] Security Today WhatsApp Bug Allowed Hackers to Hijack Accounts – 12 жовтня 2018
[3] Wikipedia Gag order – United States
[4] Neowin FBI asked Durov and developer for Telegram backdoor – 19 вересня 2017
[5] The Baffler The Crypto-Keepers – 17 вересня 2017
[6] New York Times What Is Telegram, and Why Are Iran and Russia Trying to Ban It? – 2 травня 2019
[7] YourDailyMac Whatsapp leaks usernames, telephone numbers and messages – 19 травня 2011
[8] The H Security Sniffer tool displays other people's WhatsApp messages – 13 травня 2012
[9] FilePerms WhatsApp is broken, really broken – 12 вересня 2012
[10] International Business Times Respect for Privacy Is Coded Into WhatsApp's DNA: Founder Jan Koum – 18 березня 2014
[11] Slate https://slate.com/technology/2018/06/paul-manafort-how-did-fbi-access-whatsapp-messages.html – 5 червня 2018
[12] AppleInsider WhatsApp backdoor defeats end-to-end encryption, potentially allows Facebook to read messages – 13 січня 2017
[13] Forbes Forget About Backdoors, This Is The Data WhatsApp Actually Hands To Cops – 22 січня 2017
[14] New York Times Facebook Said to Create Censorship Tool to Get Back Into China – 22 листопада 2016
[15] The Verge WhatsApp co-founder Jan Koum is leaving Facebook after clashing over data privacy – 30 квітня 2018
[16] CNET WhatsApp co-founder: 'I sold my users' privacy' with Facebook acquisition – 25 вересня 2018
[17] New York Times Once celebrated in Russia, programmer Pavel Durov chooses exile – 2 грудня 2014
[18] TechCrunch Facebook admits it stored ‘hundreds of millions’ of account passwords in plaintext – 21 березня 2019
[19] Engadget Facebook stored millions of Instagram passwords in plain text – 18 квітня 2019
[20] Vanity Fair Snapchat is doing so badly, the feds are getting involved – 14 листопада 2018
[21] HuffPost Vkontakte, Facebook Competitor In Russia, Dominates – 26 жовтня 2012