Почему пользоваться WhatsApp опасно

Основатель мессенджера Павел рассказал о том, почему использование WhatsApp может быть опасным для пользователей.

Ниже перевод поста Павла Дурова:

Несколько месяцев назад я написал о бэкдоре WhatsApp, который позволял хакерам получать доступ ко всем данным на любом телефоне с установленным WhatsApp [1]. Facebook, материнская компания, в то время утверждала, что у них нет доказательств того, что злоумышленник когда-либо использовал уязвимость [2].

На прошлой неделе стало ясно, что этот бэкдор использовался для получения личных сообщений и фотографий Джеффа Безоса — самого богатого человека на планете — который, к сожалению, полагался на WhatsApp [3]. Поскольку атака, по-видимому, исходила от иностранного правительства, вполне вероятно, что многие другие главы компаний и правительств стали жертвами [4].

В своем ноябрьском посте я предсказывал, что это произойдет [5]. Сейчас рекомендует своим должностным лицам удалить WhatsApp со своих устройств [6], а близким Дональда Трампа советуют сменить телефоны [7].

Учитывая серьезность ситуации, можно было ожидать, что Facebook / WhatsApp извинится и пообещает в будущем не внедрять бэкдоры в свои приложения. Вместо этого они заявили, что виноват не WhatsApp, а Apple. Вице-президент Facebook заявил, что была взломана iOS, а не WhatsApp, [8].

Если вы следите за моим блогом, вы знаете, что я не фанат Apple [9]. Устройства iOS имеют множество проблем, связанных с конфиденциальностью. Но это была не одна из них — по двум причинам:

1) Уязвимость «поврежденного » в WhatsApp присутствовала не только на iOS, но и на устройствах и даже Windows Phone. То есть на всех мобильных устройствах с установленным WhatsApp.

2) Эта уязвимость отсутствовала в других мессенджерах на iOS. Если бы Джефф Безос полагался на Telegram, а не на WhatsApp, его бы не шантажировали люди, скомпрометировавшие его связь [10].

Следовательно, проблема связана не с iOS, а с WhatsApp.

При своём продвижении WhatsApp использует слова «сквозное шифрование» как магическое заклинание, которое само по себе должно автоматически обеспечивать всех коммуникаций [11]. Однако эта технология не является серебряной пулей, которая сама по себе может гарантировать вам абсолютную конфиденциальность.

Читайте также:  Суверенный веб Дурова: как устроена тестовая версия блокчейн-платформы Telegram

Telegram ввёл сквозное шифрование для массовых коммуникаций за годы до того, как WhatsApp последовал его примеру, и мы помнили не только о сильных сторонах, но и об ограничениях этой технологии. Другие аспекты приложения обмена сообщениями могут сделать сквозное шифрование бесполезным. Ниже приведены три примера того, что может пойти не так.

Во-первых, есть резервные копии. Пользователи не хотят терять свои чаты при смене устройств, поэтому они создают резервные копии чатов в таких сервисах, как iCloud — часто, даже не осознавая, что их резервные копии не шифруются. Известно, что Apple была вынуждена отказаться от планов шифрования для iCloud, из за ФБР [12].

Это одна из причин, по которой Telegram никогда не использовал сторонние резервные копии в облаке, а секретные чаты никогда не хранятся в бэкапах.

Во-вторых, есть бэкдоры. Правоохранительные органы не слишком довольны шифрованием, заставляя разработчиков приложений тайно внедрять уязвимости в свои приложения. Я знаю это, потому что некоторые из них связывались с нами и отказались сотрудничать. В результате Telegram запрещен в некоторых странах, где у WhatsApp нет проблем с властями, наиболее подозрительно это выглядит в России и Иране [13][13.1].

Бэкдоры обычно маскируются как «случайные» недостатки в безопасности. Только за последний год в WhatsApp было обнаружено 12 таких недостатков. Семь из них были критические, как тот, который был у Джеффа Безоса [14].

Кто-то может сказать вам, что WhatsApp по-прежнему «очень безопасен», несмотря на то, что за последние 12 месяцев было открыто 7 бэкдоров, но статистика говорит об обратном. Telegram, который использует сотни миллионов людей, включая глав государств и крупных компаний, не сталкивалось с подобными проблемами в течение последних 6 лет.

В-третьих, есть недостатки в реализации шифрования. Как кто-нибудь может быть уверен, что шифрование, которое, по утверждению WhatsApp, используется, действительно применяется в их приложениях? Их исходный код закрыт, а бинарные файлы приложений замаскированы, что затрудняет их анализ. У клиентов Telegram всегда был  с открытый исходный код, а шифрование полностью документировано с 2013 года. Telegram поддерживает проверяемые сборки как для iOS, так и для Android — это означает, что любой может убедиться, что исходный код на GitHub соответствует загружаемому приложению Telegram [15].

Читайте также:  Российская операционная система станет заменой Windows

Ни одно другой мессенджер не делает этого для обеих мобильных операционных систем, и стоит задуматься, почему.

Не дайте себя одурачить техническому воплощению цирковых магов, которые хотели бы сосредоточить ваше внимание на одном аспекте, выполняя свои трюки в других местах. Они хотят, чтобы вы думали о сквозном шифровании как о единственной вещи, на которую вы должны обратить внимание в отношении конфиденциальности. Однако реальность намного сложнее.

Некоторые могут сказать, что, как основатель конкурирующего приложения, я могу быть предвзятым, критикуя WhatsApp. Конечно, я считаю, что секретные чаты Telegram значительно более безопасны, чем любые конкурирующие средства связи — зачем же мне еще разрабатывать и использовать Telegram?

Источники

[1] Techspot: Hackers can use a WhatsApp flaw in the way it handles video to take control of your phoneNovember 19, 2019

[2] ZDNet: Attackers using WhatsApp MP4 video files vulnerability can remotely execute codeNovember 18, 2019

[3] Popular Mechanics: How Jeff Bezos Got Hacked on WhatsApp—and How It Could Happen to You January 26, 2020

[4] Forbes: If Jeff Bezos’ iPhone Can Be Hacked Over WhatsApp, So Can YoursJanuary 22, 2020

[5] Pavel Durov: A New Backdoor Was Quietly Found In WhatsAppNovember 20, 2019 

[6] Reuters: U.N. says officials barred from using WhatsApp since June 2019 over securityJanuary 23, 2020

[7] CNN: UN expert recommends Kushner change his phone after suspected Saudi hackJanuary 23, 2020

[8] Gizmodo: Facebook Gives Unintelligible Response to Jeff Bezos Hack, Deciding to Blame iOSJanuary 26, 2020 

[9] Pavel Durov: iCloud Is Now Officially a Surveillance ToolJanuary 21, 2020

[10] Jeff Bezos: No thank you, Mr. PeckerFebruary 7, 2020

[11] BBC Radio 4: We’re as sure as you can be that the technology of end-to-end encryption cannot be hacked into: Facebook’s Nick CleggJanuary 24, 2020 

[12] Reuters: Apple dropped plan for encrypting backups after FBI complainedJanuary 21, 2020

[13] (a) The Verge: Russia orders immediate block of Telegram messaging appApril 13, 2018

(b) New York Times: Russian Court Bans Telegram App After 18 Minute HearingApril 13, 2018

[14] Business Insider: WhatsApp disclosed 12 security flaws last year, including 7 classified as ‘critical,’ after Jeff Bezos phone was reportedly hackedJanuary 28, 2020

[15] Telegram: Verifiable Builds, New Theme Editor, Send When Online and So Much MoreDecember 31, 2019

По материалам: tginfo.me

Здесь самые популярные товары из Китая по волшебным ценам!

Похожие статьи:

Оставить ответ

Ваш адрес email не будет опубликован. Обязательные поля помечены *