Утверждает, что все зашифрованные мессенджеры уязвимы, и в особенности, Whatsapp. Материал наделал много шума, однако так ли все печально на самом деле? Компания-эксперт в области интернет-безопасности Open Whisper Systems утверждает, что ничего нового в The Guardian написано не было и на Вотсап “наехали” напрасно.
Прошлой весной Whatsapp выпустил крупнейшее обновление в своей истории — добавилась функция принудительного конечного шифрования, которая по сути означает, что никто, включая Whatsapp, не может прочитать вашу переписку. Вчерашнее расследование The Guardian представляет мнение эксперта, который заявляет, что Whatsapp умышленно оставил “черный ход” (backdoor) в своем коде для возможного перехвата сообщений спецслужбами и другими заинтересованными лицами. Сами же разработчики Whatsapp утверждают, что это совсем не так, и что потенциально небезопасное поведение их приложения — ни что иное как облегчение жизни своим многочисленным пользователям.
Безопасность переписки Whatsapp была разработана с помощью компании Open Whisper Systems, той самой, которая разработала самый безопасный мессенджер в мире — Signal, и в своем блоге компания подробно описывает как все работает. В Вотсап внедрен Signаl-протокол (а еще он внедрен в недавний Google Allo), который выдает каждому пользователю два ключа безопасности: публичный ключ, по которому его могут идентифицировать другие пользователи и личный приватный ключ, который будет закреплен на устройстве. Поскольку люди частенько меняют свои телефоны и перестанавливают приложения, связка ключей безопасности будет меняться соответственно этому. Пользователи могут убедиться в приватности своего общения внутри Whatsapp, проверяя код безопасности на каждом устройстве, участвующем в разговоре — если коды совпадают, это будет означать что перехват сообщений между собеседниками отсутствует (такой тип атаки называется man-in-the-middle, MITM).
Материал the Guardian основан на расследовании Тобиаса Белтера (Tobias Belter) . Он утверждает, что сервер Whatsapp можно взломать по запросам третьих лиц. То есть Вотсап может сгенерировать новый ключ безопасности и выдать его этим самым третьим лицам пока пользователи не заметят, что что-то произошло. В мессенджере Signal app любая подмена ключа безопасности результирует в невозможность отправки сообщения и в предупреждение безопасности, причем все это происходит до того, как пользователь соберется переправить сообщение заново и самостоятельно. В Whatsapp же пользователь получает уведомление о смене ключа, при этом сообщение будет автоматически перекодировано под новый ключ и отправлено адресату. То есть вы только потом сможете выяснить, действительно ли совпадает новый ключ с вашим адресатом. При том, что такую настройку о предупреждении в вашем Whatsapp еще необходимо включить вручную:
Подобное поведение Whatsapp в компании Open Whisper Systems объясняют идеологической простотой использования мессенджера. А еще, сервера Whatsapp не знают, кто включил настройку о предупреждении, а кто нет — поэтому попытка взлома может быть быстро обнаружена. Во всяком случае, “адвокаты” Whatsapp настаивают на том, что такую политику безопасности можно называть как угодно, но это не уязвимость и не backdoor. Это “особенность”.
Многие западные эксперты по безопасности соглашаются с выводами Open Whisper Systems:
It’s ridiculous that this is presented as a backdoor. If you don’t verify keys, authenticity of keys is not guaranteed. Well known fact.
Frederic Jacobs (@FredericJacobs)
Мессенджером WhatsApp пользуются уже больше миллиарда человек. При таком огромном охвате не удивительно, что людей интересует безопасность программы. Насколько легко злоумышленники могут добраться до личной переписки? Как защититься от таких любопытных? В статье мы расскажем об этом.
Как защитить Ватсап?
Мессенджер, будучи запущен на смартфоне, работает на нём постоянно, в фоновом режиме. При этом в нём нет никаких способов запаролить вход. Это значит, что если ваш смартфон в разблокированном состоянии попал в чужие руки, то все ваши отныне доступны похитителю. Создатели WhatsApp полагаются на то, что пользователи умеют блокировать свои гаджеты средствами Андроид или iOS. Поэтому ответ на вопрос «Как защитить мой Ватсап от просмотра» такой: первое, что нужно сделать, это установить надёжную блокировку экрана.
Двухшаговая проверка
Многие слышали об этой возможности, и полагают, что она как раз придумана для повышения приватности и защиты переписки от любопытных глаз. Это не совсем так.
Двухшаговая проверка предназначена для того, чтобы верифицировать новый аппарат. Вы можете включить эту функцию в настройках вашего Ватсапа, при этом вам предложат придумать секретный PIN-код из шести цифр. Больше никаких изменений не будет. Приложение будет по-прежнему работать в фоновом режиме и появляться на экране без всяких паролей. С двухшаговой проверкой вы столкнётесь, когда решите поменять гаджет.
Например, вы купили новый смартфон и перенесли на него WhatsApp. При первом же запуске и попытке входа в аккаунт (со старым телефонным номером) мессенджер попросит ввести PIN-код. Логика здесь простая: если кто-то получил доступ к вашему смартфону и всё оттуда скачал, то запустить WhatsApp на своём устройстве он не сможет, потому что не знает кода.
Таким образом, если вы пользуетесь одним и тем же смартфоном, эта функция не очень вам поможет защитить вашу информацию, но зато сильно выручит, если у вас его украдут.
Отображение сообщений из WhatsApp в браузере
Мессенджер имеет онлайн-версию. Это сайт, расположенный по адресу web.whatsapp.com . Этот Ватсап можно запустить в любом браузере, как на мобильных гаджетах, так и на стационарном компьютере. Работать перед большим экраном, на большой клавиатуре действительно удобнее, чем тыкать пальцем в маленький экранчик гаджета.
Когда вы зайдёте на сайт веб-версии, перед вами на экране монитора окажется QR-код. Вы должны просканировать его из вашей мобильной версии WhatsApp, которая работает в смартфоне. После успешного распознавания кода компьютер покажет собственно сам мессенджер. И эти две версии (стационарная и мобильная) будут синхронизированы между собой – все сообщения, которые вы отправляете или принимаете, будут одновременно отображаться и на гаджете, и на мониторе.
В этом как раз и состоит опасность. Если вы утратите бдительность и ваш разблокированный смартфон окажется в чужих руках, то злоумышленник сможет тут же запустить на своём ноутбуке (или даже в смартфоне!) веб-версию мессенджера и отсканировать вашим телефоном QR-код на экране. Для этого требуется меньше минуты. Но теперь вся ваша переписка будет синхронизирована с веб-версией Ватсапа, запущенного на устройстве хакера.
Правда, в самом Ватсапе предусмотрена функция для контроля таких соединений. В Настройках есть раздел WhatsApp Web/Desktop, где можно видеть все . Вам нужно будет только тапнуть на пункт «Выйти на всех компьютерах», и все сессии будут принудительно завершены. Не стоит об этом забывать.
Защита через настройки
Как уже говорилось, в настройках Ватсапа нет практически никаких функций для защиты переписки от любопытных. Но кое-что всё-таки предпринять можно. Например, вы можете настроить, кто видит ваш статус в сети. Часть пользователей не сможет понять, в онлайне вы сейчас или нет. Ещё можно скрыть время последнего захода в сеть. Самая полезная возможность – отключить сообщения о прочтении чужих сообщений. Ваши абоненты не будут знать, увидели вы их послания или нет.
Это не так уж много, но в ряде случаев может оказаться очень полезным.
Блокировка потерянного смартфона
Об этом знают все, но нелишне ещё раз напомнить: в случае потери смартфона следует как можно скорее сообщить об этом мобильному оператору, чтобы они заблокировали SIM-карту. Совершать телефонные звонки похититель уже не сможет. А вот пользоваться Ватсапом сможет! Потому что мессенджер работает через Wi-Fi сети, а не через телефонного оператора.
Поэтому повторим снова: не оставляйте телефон без присмотра! Не отдавайте его малознакомым людям. Придумайте сложную блокировку экрана. Не подключайтесь к общедоступным сетям Wi-Fi, если не уверены в их надёжности. Всё это простейшие правила Интернет-гигиены, если их соблюдать, то вероятность утечки вашей переписки в WhatsApp будет близка к нулю.
Несмотря на популярность мессенджера и заверения разработчиков, что безопасность WhatsApp и конфиденциальность «заложены» в ДНК утилиты, и что ни один аккаунт не прослушивается, к программе все же предъявляют претензии. Многие проблемы приложения применимы и к другим месенджерам, однако в вопросах безопасности сервис уступает конкурентам, по мнению специалистов. Так ли это?
Начало работы сервиса: о надежности не могло быть и речи
Истории о взломе Ватсап стали появляться чуть ли не каждую неделю с момента появления мессенджера. В начале истории приложения использовался канал XMPP. Сообщения передавались по слабо защищённому пути. Зашифрованные данные приложения взламывались простым скриптом. На ПК загружали вирусы через веб-версию, вскрывали всю историю чатов в корыстных целях и т.д.
В 2012 году разработчики решили проблему с безопасностью в WhatsApp – переписка стала максимально скрыта от посторонних и прослушка стала проблематичнее.
По утверждениям сотрудников компании, при разработке каждой новой версии вопрос безопасности выносится на первый план. Таким образом, её уровень заметно повышается. Какая же ситуация сейчас?
Сквозное шифрование и новое соглашение о конфиденциальности
Оконечное или сквозное шифрование – нововведение в политике безопасности и конфиденциальности в WhatsApp. Суть его заключается в том, что при каждой отправке любое по объёму и содержанию сообщение кодируется отдельным ключом, который есть только у отправителя и получателя. Данная схема исключает одновременную работу WhatsApp на двух и более устройствах, как, например, на ПК и смартфоне или на двух телефонах.
Код безопасности включает 60 цифр, поэтому то, что показывается на экране телефона, – всего лишь часть цепочки. Такая стратегия обезопасит общение между двумя и более людьми.
Каков механизм работы сквозного (end-to-end) шифрования? Устройство А запрашивает у сервера мессенджера открытый ключ. Отправляется сообщение от А к В, предварительно закодированного этим ключом. Устройство пользователя В расшифровывает сообщение после получения.
Это новшество работает только в новой версии мессенджера. Таким образом, более старые его варианты должны быть обновлены, чтобы данные были максимально защищены и чтобы быть уверенным, что информацию не прослушивают. При обновлении программа сама попросит принять новое соглашение о конфиденциальности.
В процессе установки обновлений нужно принять соглашение, однако сделать это нужно еще правильно.
В конце лета 2016 года Whatsapp обновили условия и политику конфиденциальности.
Аккаунты стали связывать с учетными записями людей в Facebook. Это означает, что сообщения теперь могут анализироваться в коммерческих целях, например, для улучшения конверсии таргетированной рекламы в Facebook. Можно ли этого избежать? К счастью, да.
Чтобы прослушивание было невозможным, при принятии соглашения необходимо нажать на сам текст с условиями конфиденциальности со стрелочкой справа. Далее пролистать до конца и убрать галочку. Таким образом, вы даёте знать, что не разрешаете использовать информацию из аккаунта для улучшения взаимодействия с рекламой и продуктами Facebook.
Как подтвердить код безопасности?
Это необязательная процедура, так как шифрование включается автоматически при обновлении приложения. Тем не менее, давайте рассмотрим, как можно проверить этот код безопасности.
Зайти в чат и нажать на контакт, тем самым открыв меню с несколькими пунктами. Выбрать раздел «Шифрование».
Перед вами появится QR-код и длинный набор цифр в три ряда. Вам предложат подтвердить код безопасности. Сделать это можно, нажав на «Сканировать код» или вручную. Наведите камеру телефона на код, который появился на экране телефона вашего собеседника. При этом неважно, Android это или iOS. Появившаяся зелёная галочка будет свидетельствовать об успешном сканировании. В ином случае можно просто визуально сравнить коды.
Что, если код не совпал? Возможно, по ошибке был просканирован код другого собеседника. Получатель сообщений может также пользоваться старой версией программы и, чтобы сообщения зашифровывались, ему необходимо обновить Вацап.
Что можно сделать дополнительно, чтобы аккаунт не мог прослушиваться? Учесть возможности, предлагаемые сервисом: ограничить доступ к своему профилю (статусу, времени последнего посещения приложения, фотографиям и т.д.). Пользователи мессенджера могут также отключить оповещения о том, что сообщение прочитали.
С новой версией утилиты разработчики значительно повысили уровень безопасности данных в аккаунтах пользователей. Конечно, здесь не обойтись без подводных камней, в частности, это связь WhatsApp и Facebook. Тем не менее, со сквозным шифрованием прослушать разговоры теперь крайне тяжело третьим лицам.
Open Whisper Systems разработчик мессенджера Signal и одноименного протокола безопасной связи, который используется в том числе и в WhatsApp. В своем блоге наличие уязвимости в WhatsApp и объяснила недавнее , особенностью реализации протокола Signal, а именно механизма проверки подлинности участников переписки.
WhatsApp как и все системы на основе протокола Signal использует асимметричное шифрование (открытый и закрытый ключ) для защиты переписки. Данное шифрование работает следующим образом:
- На Вашем устройстве генерируются открытый и закрытый ключ. С помощью открытого ключа возможно зашифровать сообщение, но расшифровать сообщение может только обладатель закрытого ключа.
- Ваш открытый ключ через сервер WhatApp распространяется всем вашим контактам, аналогично вы получаете открытые ключи всех ваших контактов. Закрытый ключ остается только на вашем устройстве.
- Таким образом человек с которым Вы переписываетесь, зашифровывает сообщение предназначенное Вам вашим открытым ключом, расшифровать его можете только Вы, потому что закрытый ключ есть только на вашем устройстве.
Атака человек посередине (man-in-the-midle)
- При использовании End-To-End шифрования важно убедиться, что ваши контакты обладают верными открытыми ключами (полученными именно от Вас), в противном случае никто не мешает злоумышленнику представиться вами, снабдить вашего собеседника своим открытым ключом, получать сообщения предназначенные для Вас и пересылать их вам пользуясь Вашим открытым ключом. Такая атака называется человек посередине (man-in-the-midle).
- Чтобы исключить возможность проведения такой атаки против вас, необходимо удостовериться, что контакт с которым вы переписываетесь использует именно ваш открытый ключ для шифрования сообщений, а вы в свою очередь используете открытый ключ вашего собеседника.
Как сверить ключи безопасности WhatsApp
Для выполнения такой проверки в WhatApp предусмотрен механизм сверки ключей на основе QR кода.При личной встрече с вашим собеседником, откройте его профиль в WhatsApp и выберите раздел Шифрование , для сверки открытых ключей отсканируйте QR код вашего собеседника, а он тем временем отсканирует Ваш. К сожалению, такую сверку придется выполнять с каждым контактом.
| Фото: secretvpn.net |
Как получать уведомления безопасности WhatsApp
Чтобы получать уведомления безопасности, в частности о том, что секретный код вашего собеседника изменился.- Откройте WhatsApp и нажмите на Настройки .
- Нажмите на Аккаунт и выберите Безопасность .
- Здесь вы можете включить уведомления безопасности, выбрав Показывать уведомления безопасности .
Это повод прекратить общение и еще раз сверить ключи при личной встрече, возможно кто-то из Вас сменил телефон или Вас пытаются прослушать.
— один из самых популярных мессенджеров в мире, он и его пользователи постоянно подвержены множественным атакам и угрозам. Даже несмотря на то, что разработчики ввели шифрование, нужно придерживаться некоторых правил и советов, чтобы не стать жертвами мошенников и других жуликов.
1. Используйте веб-версию более эффективно
Веб-версия WhatsApp позволяет удобнее читать и отправлять сообщения вашим коллегам, друзьям и родственникам. Все что вам для этого потребуется — прочитать QR-код с помощью вашего телефона. После этого все сообщения станут доступны на компьютере через браузер.
Когда вы покидаете компьютер, не забывайте разорвать соединение, чтобы никто не смог прочесть ваши личные сообщения на компьютере после того, как вы уйдете. Это особенно важно, если вы подключались на чужом компьютере.
Разорвать соединения можно прямо с телефона в разделе WhatsApp Web.
2. Используйте двухфакторную авторизацию
Этот дополнительный элемент — пин-код, который надо будет вводить после активации устройства и программы WhatsApp на нем.
3. Запретите доступ посторонних к вашей аватарке
Чтобы посторонние люди не могли видеть вашу аватарку, установите соответствующую опцию в настройках программы.
Достаточно разрешить контактам видеть ваше фото, а чужаки не смогут это сделать.
4. Скройте фото и видео в галерее
Одной из самых назойливых функций WhatsApp является то, что если вам кто-то прислал фото или видео, они тут же попадают к вам в галерею.
Чтобы этого избежать и случайно не выдать секретов друзей, которые могут прислать вам что-то личное, то с помощью простого файлового менеджера создайте в папке медиафайлов WhatsApp файл с именем .nomedia и перезагрузите свое устройство. После этого фото не будут попадать в Галерею.
5. Запретите доступ к WhatsApp с помощью стороннего приложения
Если в вашей переписке есть очень важные вещи, которые ни в коем разе не должны попасть в чужие руки и которые надо скрыть, то можно заблокировать доступ к приложению с помощью сторонней программы.
В этом случае для доступа к приложению потребуется введение пин-кода. Реализовать такую возможность можно с помощью приложения AppLock .
6. Деактивируйте аккаунт, если потеряли телефон или его украли
Если вдруг вы случайно потеряли телефон или его украли, то незамедлительно напишите в службу поддержки и попросите деактивировать свою учетную запись.
Для этого напишите в поддержку WhatsApp сообщение, указав в теме письма Lost/Stolen: Please deactivate my account и номер своего телефона.
7. Остерегайтесь мошеннических сообщений
WhatsApp настолько популярен, что достаточно часто приходят сообщения от незнакомцев, которые что-то пытаются выманить у своих жертв. Не стоит отвечать на сообщения от незнакомых людей — они могут представляться теми, кем на самом деле не являются. От этого можете пострадать не только вы, но и другие люди.
