Почему WhatsApp никогда не станет безопасным мессенджером

Павел Дуров

Похоже, что весь мир шокирован новостью о том, что WhatsApp превращает любой телефон в шпионское ПО. Все, что хранится на вашем телефоне: фотографии, электронные письма и тексты - были в открытом доступе для злоумышленников просто, потому что вы используете WhatsApp [1].

Эта новость не была для меня сюрпризом. В прошлом году WhatsApp признались, что одного видеозвонка через WhatsApp достаточно для того, чтобы хакер получил доступ к содержимому на телефоне [2].

Каждый раз, когда WhatsApp исправляет критическую уязвимость в своём приложении, на её месте появляется новая. Причём все их проблемы безопасности отлично подходят для слежки, выглядят и работают как бэкдоры (системы слежения).

В отличие от Telegram, у WhatsApp нету открытого исходного кода, поэтому его невозможно проверить на наличие систем слежки. И WhatsApp не только не публикует свой код, они делают обратное: WhatsApp намеренно обфусцирует код своих приложений, чтобы ни у кого не было возможности его тщательно изучить.

От WhatsApp и его материнской компании Facebook могут даже могут потребовать реализации бэкдоров - через секретные запросы, такие как приказы ФБР о неразглашении [3]. Это не легко запустить сервис для приватного общения в США. В 2016 году наша команда провела неделю в США и за это время мы получили 3 запроса для выхода на связь с ФБР [4][5]. Можете себе представить, как способно повлиять подобная среда на американскую компанию.

Я понимаю, что органы безопасности оправдываются антитеррористической деятельностью. Но проблема в том, что такие бэкдоры используют мошенники и авторитарные государства. Не удивительно, что WhatsApp нравится диктаторам. Его бреши в безопасности позволяют им шпионить за своими гражданами, поэтому WhatsApp продолжает быть доступен в таких странах, как Россия или Иран, где Telegram запрещён властями [6].

По факту, я начал работать над Telegram в ответ на личное давление со стороны русского правительства. Тогда, в 2012 году, WhatsApp всё ещё передавал сообщения в незашифрованном виде. Это было безумие. Не только правительства или хакеры, но даже мобильные провайдеры и администраторы Wi-Fi точек могли получить доступ к любой переписке в WhatsApp [7][8].

Позже WhatsApp добавили шифрование, но довольно быстро выяснилось, что это было всего лишь маркетинговым ходом: ключ для расшифровки сообщений сделали доступным как минимум нескольким правительствам, включая российское [9]. В тот момент, когда Telegram становился популярным, основатели WhatsApp продали свою компанию Facebook и объявили, что «Приватность заложена у них в ДНК» [10]. Если это правда, то, должно быть, этот ген спящий или рецессивный.

3 года назад WhatsApp объявили, что они внедрили сквозное шифрование (end-to-end), так что « третьи лица не смогут получить доступ к сообщениям ». Одновременно с этим началась агрессивное пропагандирование сохранения резервных копий чатов в облако. При этом WhatsApp не предупреждал пользователей, что резервные копии не защищены сквозным шифрованием и могут быть доступны хакерам и стражам правопорядка. Превосходный маркетинг, в результате которого некоторые наивные люди попали в тюрьму [11].

Тех, кто оказался устойчивым к постоянно всплывающим окнам, уведомляющих о необходимости резервного копирования чатов, всё равно можно отследить с помощью других приёмов — от доступа к резервным копиям собеседников до незаметной подмены ключей шифрования в чатах [12].

Огромное скопление метаданных, сгенерированных пользователями WhatsApp, - логи, которые описывают, кто с кем общался и когда, - передаются различным агентствам материнской компанией WhatsApp [13]. Кроме того, есть смесь критических уязвимостей, где одна превосходит другую.

WhatsApp имеет последовательную историю - от нулевого шифрования в самом начале до уязвимостей, которые странным образом подходят для слежки. Оглядываясь назад, можно понять, что за 10 лет существования не было ни единого дня, когда WhatsApp был безопасен. Поэтому я не думаю, что очередные обновления приложений сделают WhatsApp безопасным для всех. Чтобы WhatsApp стал сервисом, ориентированным на конфиденциальность, они должны рискнуть потерять целые рынки и столкновение с властями в родной стране. Кажется, они к этому не готовы [14].

В прошлом году основатели WhatsApp покинули компанию из-за сомнений по поводу конфиденциальности пользователей [15]. Они однозначно связаны или договорами о неразглашении, или нежеланием обсуждать бэкдоры публично без риска потерять деньги и свободу. Но всё же они смогли признать, что «продали приватность своих пользователей» [16].

Я могу понять нежелание основателей WhatsApp предоставить больше информации - это нелегко поставить под угрозу собственный комфорт. Несколько лет назад мне пришлось покинуть свою страну после отказа соблюдать санкционированные государством нарушения конфиденциальности пользователей ВКонтакте [17]. Было неприятно. Но сделаю ли я что-то подобное снова? Охотно. Каждый из нас умрет в конце концов, но мы как вид останемся на некоторое время. Это и есть причина, почему я думаю, что накопление денег, славы или власти не имеют значения. Служение человечеству - единственное, что действительно имеет значение в долгосрочной перспективе.

И тем не менее, несмотря на наши намерения, я чувствую, что мы подвели человечество со всей этой историей о шпионском ПО через WhatsApp. Многие не могут перестать использовать WhatsApp, потому что их друзья и семья всё ещё там. Это означает, что Telegram плохо справился с задачей того, чтобы заставить людей перейти оттуда. И хотя мы уже привлекли сотни миллионов пользователей за последние пять лет, этого недостаточно. Большинство интернет-пользователей всё ещё в заложниках у империи Facebook/WhatsApp/Instagram. Многие из тех, кто использует Telegram, также есть и в WhatsApp, что означает, что их данные их устройств всё ещё в опасности. Даже те, кто полностью отказался от WhatsApp, скорее всего, используют Facebook или Instagram, оба из которых считают, что нет ничего страшного в хранении паролей в виде простого текста [18][19] (я всё ещё не могу поверить, что технологическая компания могла сделать такое, и спокойно жить дальше).

За почти 6 лет своего существования Telegram не было ни одной серьезной утечки данных или проблем с безопасностью, которые WhatsApp демонстрирует каждые несколько месяцев. За 6 лет, мы не выдали ни одного байта информации третьим лицам, в то время, как Facebook / WhatsApp делились ими практически с каждым, кто утверждал, что он работает на правительство [13].

Мало кто за пределами фан-сообщества Telegram понимает, что большинство новых функций для общения сначала появляются в Telegram, а затем копируются в WhatsApp в мельчайших деталях. Совсем недавно мы стали свидетелями попытки Фейсбука заимствовать философию Telegram, когда Цукерберг внезапно заявил о важности конфиденциальности и скорости, практически цитируя описание приложения Telegram дословно в своей F8 рече.

Но нытье о лицемерии и отсутствии креатива в Facebook ничем не поможет. Мы должны признать, что Facebook выполняет эффективную стратегию. Посмотрите только, что они сделали с Snapchat [20].

Мы в Telegram должны признать нашу ответственность в формировании будущего. Это либо мы либо монополия Facebook. Это либо свобода и приватность, либо жадность и лицемерие. Наша команда конкурирует с Facebook в течение последних 13-ти лет. Мы уже победили их однажды на восточноевропейском рынке социальных сетей [21]. И мы победим их на мировом рынке. Мы обязаны.

Это будет не просто. Маркетинговый отдел Facebook огромен. У нас же в Telegram он вообще отсутсвует. Мы не хотим платить журналистам и исследователям за то, чтобы они рассказывали миру о Telegram. Мы рассчитываем на вас - миллионы наших пользователей. Если вам нравится Telegram, вы расскажете об этом своим друзьям. И если каждый пользователь Telegram убедит 3 своих друзей, чтобы они удалили WhatsApp и навсегда перешли на Telegram, Telegram уже будет популярнее, чем WhatsApp.

Эпоха жадности и лицемерия закончится. Эра свободы и приватности начнется. Это гораздо ближе, чем кажется.