Почему WhatsApp никогда не будет безопасным

Почему WhatsApp никогда не будет безопасным

Павел Дуров

Мир, кажется, шокирован новостью о том, что WhatsApp превратил любой телефон в шпионское ПО. Всё на вашем телефоне, включая фотографии, электронные письма и тексты, было доступно злоумышленникам только потому, что у вас установлен WhatsApp [1].

Эта новость меня не удивила. В прошлом году WhatsApp пришлось признать, что у них была очень похожая проблема - один видеозвонок через WhatsApp позволял хакеру получить доступ ко всем данным вашего телефона [2].

Каждый раз, когда WhatsApp приходится исправлять критическую уязвимость в своем приложении, на ее месте появляется новая. И все эти уязвимости больше похожи на бэкдоры - намеренно встроенные лазейки в код, позволяющие получить доступ к данным проведя определённые действия.

В отличие от Telegram, WhatsApp не является приложением с открытым исходным кодом, поэтому у специалистов по безопасности нет возможности проверить, есть ли в их коде бэкдоры. Мало того, что WhatsApp не публикует свой код, они делают прямо противоположное: WhatsApp намеренно запутывает двоичные файлы своих приложений, чтобы никто не смог их тщательно изучить.

WhatsApp и его материнскую компанию Facebook, возможно, заставили реализовать эти бэкдоры по приказам ФБР о не разглашении [3]. Поверьте, нелегко запустить безопасное приложение или социальную сеть из США. Всего за неделю, проведенную нашей командой в США в 2016 году, мы получили 3 запроса на получение доступа к данным от ФБР [4] [5]. Представьте, что за 10 лет в этой среде могут принести компании в США.

Я понимаю, что силовые структуры оправдывают установку бэкдоров антитеррористическими усилиями. Проблема в том, что такие бэкдоры могут также использоваться преступниками и авторитарными правительствами. Неудивительно, что диктаторы, похоже, любят WhatsApp. Отсутствие безопасности позволяет им шпионить за своими людьми, поэтому WhatsApp продолжает быть свободно доступным в таких странах, как Россия или Иран, где Telegram запрещен властями [6].

Собственно говоря, я начал работать над Telegram после личного давления со стороны российских властей. Тогда, в 2012 году, WhatsApp все еще продолжал передавать сообщения в виде обычного текста без какого-либо шифрования. Это безумие. Не только правительства или хакеры, но и мобильные провайдеры и простые администраторы wifi могли иметь доступ ко всем текстам переписки WhatsApp [7][8]

Позже WhatsApp добавил псевдо-шифрование, которое оказалось простым маркетинговым трюком, так как ключ для расшифровки сообщений был доступен, по крайней мере, нескольким правительствам, включая Россию [9]. Затем, когда Telegram начал набирать популярность, основатели WhatsApp продали свою компанию Facebook и заявили, что “конфиденциальность заложена у них на уровне ДНК” [10]. Если это правда, то это, должно быть, спящий или рецессивный ген. 

3 года назад WhatsApp объявил, что они внедрили сквозное шифрование (end-to-end), поэтому "никакая третья сторона не может получить доступ к сообщениям“. Это совпало с агрессивным призывом для всех своих пользователей (постоянно всплывающее окно в приложении), чтобы создать резервную копию своих чатов и переписки в облаке. Делая это, WhatsApp не сказал своим пользователям, что при резервном копировании сообщения больше не защищены сквозным шифрованием и могут быть доступны хакерам и правоохранительным органам. Блестящий маркетинг, и в результате некоторые наивные люди отбывают срок в тюрьме [11].

Те, кто достаточно устойчив, чтобы не поддаваться постоянным всплывающим окнам, говорящим им о необходимости создавать резервные копии своих чатов, все еще могут быть прослежены рядом других уловок - начиная от доступа к резервным копиям своих контактов до невидимых изменений ключа шифрования [12]. Метаданные пользователей WhatsApp - журналы, хранящие данные, кто, с кем и когда общался, - также в больших объемах передаются во все виды агентств материнской компанией Facebook[13]. Помимо этого, существуют еще различные критические уязвимости, внезапно сменяющие друг друга.

WhatsApp имеет очень непротиворечивую историю - начиная от отсутствия шифрования на начальном этапе запуска до череды проблем безопасности, связанных с целью мониторинга. Оглядываясь назад, не было ни одного дня в 10-летней истории WhatsApp, когда этот сервис был бы безопасным. Поэтому, никакое очередное обновление приложения WhatsApp не сделает его безопасным для всех. Чтобы WhtsApp стал сервисом, ориентированным на конфиденциальность, он должен рискнуть потерять целые рынки и столкнуться с властями в своей стране. Наверное, они к этому не готовы [14].

В прошлом году основатели WhatsApp покинули компанию из-за опасений по поводу конфиденциальности данных своих пользователей [15]. Эти события определенно связаны с приказами ФБР о не разглашении, поэтому они не могут публично обсуждать свои бэкдоры, так как рискуют потерять свои состояния и свободу. Но они смогли признать, что «продали конфиденциальность своих пользователей» [16].

Я понимаю нежелание основателей WhatsApp предоставлять подробную информацию - ведь не просто подвергать риску свой комфорт. Несколько лет назад мне пришлось покинуть свою страну после отказа соблюдать санкционированные государством нарушения конфиденциальности пользователей ВКонтакте [17]. Это было не приятно. Но сделал бы я что-то подобное снова? Конечно, да. Каждый из нас рано или поздно умрет, но мы как вид, останемся на этой планете ещё некоторое время. Вот почему я думаю, что накопление денег, славы или власти не имеет значения. Служение во благо нашему виду - единственное, что действительно имеет значение в долгосрочной перспективе.

И все же, несмотря на наши намерения, я чувствую, что мы разочаровали человечество во всей этой истории шпионажа WhatsApp. Многие люди не могут перестать использовать WhatsApp, потому что их друзья и семья все еще сидят на нем. Это означает, что мы в Telegram проделали плохую работу, чтобы убедить людей переключиться вовремя. Хотя за последние пять лет мы привлекли сотни миллионов пользователей, но этого недостаточно. Большинство интернет-пользователей по-прежнему находятся в заложниках империи Facebook / WhatsApp / Instagram. Многие из тех, кто использует Telegram, также параллельно используют WhatsApp, а это означает, что их данные по-прежнему уязвимы. Даже те, кто полностью отказался от WhatsApp, вероятно, используют Facebook или Instagram, а они позволяют хранить ваши пароли в открытом виде [18] [19] (я до сих пор не могу поверить, что IT компания может сделать что-то подобное и им сойдёт это с рук).

Почти за 6 лет своего существования Telegram не имел серьезных утечек данных или недостатков безопасности, которые WhatsApp демонстрирует каждые несколько месяцев. За те же 6 лет мы раскрыли ровно ноль байт данных третьим лицам, в то время как Facebook/WhatsApp делился почти всем и со всеми, кто утверждал, что они работали на правительство [13].

Мало кто за пределами фан-сообщества Telegram понимает, что большинство новых функций обмена сообщениями сначала появляются в Telegram, а затем копируются в WhatsApp до мельчайших деталей. Совсем недавно мы стали свидетелями попытки Facebook заимствовать всю философию Telegram, когда Цукерберг неожиданно заявил о важности конфиденциальности и скорости, практически дословно цитируя описание приложения Telegram в своей речи на конференции F8.

Бессмысленно говорить о лицемерии и отсутствии креативности в Facebook. Мы понимаем, что этот монополист просто выполняет свою эффективную стратегию. Посмотрите, что они сделали со Snapchat [20].

Мы в Telegram должны признать нашу ответственность в формировании будущего. Это либо мы, либо монополист Facebook. Это либо свобода и приватность, либо жадность и лицемерие. Наша команда конкурирует с Facebook в течение последних 13 лет. Однажды, мы уже победили их на рынке социальных сетей Восточной Европы [21]. Мы снова победим их на мировом рынке обмена сообщениями. Мы просто обязаны это сделать.

Да, это будет не легко. Маркетинговый отдел Facebook огромен. У нас же в Telegram, абсолютно нулевой маркетинг. Мы не хотим платить журналистам и исследователям, чтобы они рассказывали миру о Telegram. Для этого мы рассчитываем на вас - миллионы наших пользователей. Если вам нравится Telegram, то расскажете об этом своим друзьям. И если каждый пользователь убедит 3 своих друзей удалить WhatsApp и навсегда перейти в Telegram, то Вы сделаете неоценимый вклад в новую эру.

Эпоха жадности и лицемерия закончится. Настанет эра свободы и приватности. Этот момент намного ближе, чем кажется.

Ссылки

[1] Business Insider WhatsApp was hacked and attackers installed spyware on people’s phonesMay 15, 2019

[2] Security Today WhatsApp Bug Allowed Hackers to Hijack AccountsOctober 12, 2018

[3] Wikipedia Gag order – United States

[4] Neowin FBI asked Durov and developer for Telegram backdoor – September 19, 0271

[5] The Baffler The Crypto-Keepers – September 17, 2017

[6] New York Times What Is Telegram, and Why Are Iran and Russia Trying to Ban It? – May 2, 2019

[7] YourDailyMac Whatsapp leaks usernames, telephone numbers and messages – May 19, 2011

[8] The H Security Sniffer tool displays other people's WhatsApp messages – May 13, 2012

[9] FilePerms WhatsApp is broken, really broken – September 12, 2012

[10] International Business Times Respect for Privacy Is Coded Into WhatsApp's DNA: Founder Jan Koum – March 18, 2014

[11] Slate https://slate.com/technology/2018/06/paul-manafort-how-did-fbi-access-whatsapp-messages.html – June 5, 2018

[12] AppleInsider WhatsApp backdoor defeats end-to-end encryption, potentially allows Facebook to read messages – January 13, 2017

[13] Forbes Forget About Backdoors, This Is The Data WhatsApp Actually Hands To Cops – January 22, 2017

[14] New York Times Facebook Said to Create Censorship Tool to Get Back Into China – November 22, 2016

[15] The Verge WhatsApp co-founder Jan Koum is leaving Facebook after clashing over data privacy – April 30, 2018

[16] CNET WhatsApp co-founder: 'I sold my users' privacy' with Facebook acquisition – September 25, 2018

[17] New York Times Once celebrated in Russia, programmer Pavel Durov chooses exile – December 2, 2014

[18] TechCrunch Facebook admits it stored ‘hundreds of millions’ of account passwords in plaintext – March 21, 2019

[19] Engadget Facebook stored millions of Instagram passwords in plain text – 18 April, 2019

[20] Vanity Fair Snapchat is doing so badly, the feds are getting involved – November 14, 2018

[21] HuffPost Vkontakte, Facebook Competitor In Russia, Dominates – October 26, 2012



Original post - https://telegra.ph/Why-WhatsApp-Will-Never-Be-Secure-05-15