Ген безопасности. Обзор WhatsApp

На сегодняшний день WhatsApp, несмотря на огромное количество скандалов, является самым популярным мессенджером с 2 миллиардами пользователей по всему миру. На официальном сайте сервиса можно увидеть гордую фразу: «Конфиденциальность и безопасность — в нашей ДНК». Минималистичность и функциональность — может быть. А вот как у мессенджера обстоят дела с надежностью хранения пользовательских данных — разберемся в сегодняшней статье. 

Регистрация и авторизация

Анонимная регистрация в WhatsApp, как и во многих других мессенджерах, невозможна. Чтобы создать учетную запись, пользователю понадобится номер телефона. Этот факт, как и в недавнем обзоре Telegram, немного расстраивает, особенно учитывая то, что существуют сервисы обмена сообщениями, позволяющие зарегистрироваться с помощью логина (например, Wickr Me или Threema). 

Вход в учетную запись после регистрации или с нового мобильного устройства стандартный: для этого требуется ввести код из СМС-сообщения, отправленного на привязанный к аккаунту номер. Защитить аккаунт дополнительно возможно с помощью код-пароля и биометрии, а также двухфакторной аутентификации. Второй фактор выполнен в виде шестизначного кода. Это неплохо, однако выглядит не так безопасно, как пользовательский пароль в том же Telegram. Подобрать циферный пароль гораздо легче, чем парольную фразу из цифр, букв и других символов. Кроме того, возможно установить PIN-код или биометрию на вход в приложение. 

Мессенджер предлагает обычный набор методов регистрации и авторизации, но выглядят они немного слабее, чем у коллег по цеху. 

Наша оценка по данному критерию: 6 из 10. 

Шифрование и безопасность чатов

Чаты в WhatsApp, согласно стандартам безопасности приложений для обмена сообщениями, защищены сквозным шифрованием. Разработчики называют его «замком для переписок», ключи от которого есть только у пользователей, между которыми происходит общение, и хранятся они на устройстве, что важно. Возможно также просмотреть видимую часть ключа шифрования и сравнить его с ключом собеседника, просканировав QR-код. 

Секретных чатов в WhatsApp нет, однако есть функция исчезающих сообщений. С ней не все так интересно, как в Telegram: при активации этой опции в меню чата с кем-либо из списка контактов, сообщения будут удаляться автоматически спустя семь дней. Хотя сам мессенджер предупреждает, что нет никакой гарантии, что собеседник не сможет сохранить их другим способом, например, сделать скриншот. Затемнение экрана при попытке записи, как это реализовано в других сервисах, до WhatsApp еще не дошло, что печально. А еще, что интересно, если переслать исчезающее сообщение в другой чат, то в нем оно не исчезнет. Превосходно. 

К шифрованию чатов вопросов нет, а вот способы защитить свои переписки от несанкционированного доступа не вызывают доверия. Нет ни секретных чатов, ни запрета на скриншоты в чате с исчезающими сообщениями, не говоря уже о слишком долгом таймере их удаления и возможности переслать сообщение в другой чат. 

Оценка: 6 из 10.

Безопасность протокола и прозрачность исходного кода

Для обеспечения безопасности пользователей WhatsApp использует протокол Signal, ставший в индустрии стандартом шифрования чатов, голосовых и видеозвонков. Протокол построен на асимметричном алгоритме Curve25519, который работает быстрее классических алгоритмов и гарантирует стойкость к взломам при меньшей длине ключа шифрования. 

В мессенджере используется несколько типов основных ключей:

1. Ключ идентификации (Identity key pair). Он генерируется при установке 

приложения и, как правило, меняется только принудительно или при переустановке 

приложения.

2. Ключ подписи (Signed key pair). Генерируется при помощи ключа идентификации, периодически изменяется.

3. Набор одноразовых ключей (One-time pre keys). Это набор ключей, которые 

используются для различных нужд, и пополняются постоянно. 

Из основных ключей генерируются сессионные ключи:

1. Корневой ключ (Root key). Он используется для создания цепи ключей.

2. Цепь ключей (Keys Chain). Используется для создания Ключей сообщения.

3. Ключ сообщения (Message Key). 80-байтовое значение для шифрования 

сообщений, из них 32 байт используется для AES-256, 32 — для HMAC-SHA256 (подпись) и 16 — для IV. Ключ для шифрования сообщений.

При регистрации клиент отправляет на сервер публичные идентифицирующий,  подписывающий и одноразовые ключи. Сервер хранит эти ключи, но не имеет к ним доступа. Закрытые части ключей хранятся только на устройстве пользователя. Для шифрования используется блочный алгоритм шифрования AES-256.

Протокол Signal неоднократно проходил аудит безопасности и не нуждается в представлении, а вот исходный код WhatsApp остается тайной. Facebook, которому принадлежит самый популярный мессенджер, отказывается открыть исходники. Таким образом, сообщество энтузиастов не получило возможность искать и устранять возможные уязвимости. 

А уязвимости там есть, стоит хотя бы вспомнить скандал двухгодичной давности, связанный с установкой израильского шпионского ПО посредством аудиозвонка пользователю WhatsApp (https://www.ft.com/content/4da1117e-756c-11e9-be7d-6d846537acab). 

Наша оценка: 6 из 10. 

Хранение данных в облаке

WhatsApp хранит на своих серверах не так много данных: список групповых чатов и их участников, сообщения, которые были отправлены, но не были прочитаны (прочитанные сообщения стираются из облака). Переписки при этом на сервере не хранятся, а к непрочитанным сообщениям у мессенджера доступа нет. 

По сравнению с тем же Telegram, который хранит облачные чаты на сервере в полном объеме, выглядит неплохо. 

Мы оцениваем хранение данных на 8 из 10.

Резервные копии приложения и устройства

Мессенджер поддерживает функцию резервного копирования, при этом можно выделить два вида резервных копий:

1. Локальные бэкапы, хранящиеся на Android или iOS-устройстве. Защищены алгоритмом шифрования AES-256. 
2. Облачные резервные копии. Для iOS-устройств это WhatsApp iCloud Backup, для Android-смартфонов, соответственно, WhatsApp Google Drive. 

Что касается данных приложения в резервных копиях устройства, то владельцам гаджетов на Android повезло 一 в Android-бэкап никакая информация не попадает. А вот в iTunes-бэкапе хранятся сведения об учетной записи и контактах, информация о групповых чатах, приватные и групповые переписки, звонки, геолокация, фотографии и куки. 

Наша оценка по этому критерию: 5 из 10

Десктоп версия 

Версия мессенджера для ПК практически ничем не отличается от веб-версии, за исключением необходимости установки клиента на компьютер. Все дело в том, что это, по сути, зеркало приложения на смартфоне. То есть, без устройства, на котором выполнен вход в учетную запись WhatsApp, десктоп мессенджер работать не будет. 

Это вполне можно объяснить заботой о безопасности пользователей. Укрепляет эту позицию и то, что для передачи данных программа использует протокол WebSocket с защитой в виде Secure Socket Layer (SSL).

Авторизация в версии мессенджера для ПК происходит исключительно с помощью сканирования QR-кода. Таким образом, для доступа к данным мессенджера необходим смартфон. Это выглядит безопасно, пока устройство у вас на руках. 

Тем не менее, не обошлось без уязвимостей и в десктопной версии WhatsApp. Например, в феврале прошлого года, эксперт компании PerimeterX Гал Вайцман обнаружил критическую брешь, которая позволяла атакующему получить доступ к локальным файлам на компьютерах под macOS и Windows, в том числе из системных каталогов. Более того, уязвимость позволяла встраивать в отправляемые жертвам сообщения вредоносный код и фишинговые ссылки. Учитывая огромную аудиторию WhatsApp, количество потенциальных жертв могло быть огромным. 

Наша оценка по данному критерию: 6 из 10

Что в итоге?

Согласно нашим расчетам, WhatsApp получает оценку 61,7, и, на самом деле, с точки зрения механизмов безопасности самое популярное приложение почти ни в чем не уступает тому же Telegram. 

Да, мессенджер замешан во многих скандалах, а неоднозначные решения руководства заставляют пользователей выбирать другие программы для обмена сообщениями, как это было в начале этого года. Однако, мы думаем, что при установке двухфакторной аутентификации, кода на вход в приложение и аккуратном использовании десктопной версии мессенджера можно не волноваться за безопасность своих конфиденциальных данных.