Безопасность приложений для обмена сообщениями: какие приложения лучше всего подходят для сохранения конфиденциальности?


Приложения для обмена сообщениями – это простое средство поддерживать связь с друзьями, семьей и коллегами. Однако при их использовании важно помнить о конфиденциальности и безопасности в интернете.

Основная проблема безопасности приложений для обмена сообщениями – это конфиденциальность. Она отражает, насколько личные сообщения доступны третьим сторонам, какие компании разрабатывают приложения и даже собирают ли государственные органы данные о гражданах. При оценке безопасности приложений для обмена сообщениями необходимо учитывать следующие ключевые моменты:

Сквозное шифрование

Используется ли в приложении сквозное шифрование? При сквозном шифровании личных сообщений ключи для и расшифровки есть только у отправителя и у получателя сообщений.

Открытый исходный код

Используется ли открытый исходный код? Открытый исходный код означает, что приложение открыто для внешнего контроля и аудита экспертами, что может оказаться полезно для привлечения внимания к слабым местам или уязвимостям в коде.

Исчезающие сообщения

Самоуничтожающиеся или исчезающие сообщения исчезают по истечении установленного периода времени, в зависимости от выбранных настроек.

Использование данных

Многие приложения для безопасного обмена сообщениями используют сквозное шифрование, однако они могут собирать данные о пользователях, называемые метаданными. Метаданные включают информацию о том, с кем вы разговариваете, как долго, на каком устройстве, ваш IP-адрес и номер телефона.

Signal

Что такое Signal?

Signal – это межплатформенная служба обмена зашифрованными сообщениями, предназначенная для голосовых вызовов со сквозным шифрованием и зашифрованных текстовых сообщений. Оно считается одним из самых безопасных приложений для обмена сообщениями на рынке.

Приложение Signal является бесплатным и доступно в операционных системах Android и iOS. Также существует настольная версия приложения для Windows, Mac и Linux. Для использования приложения достаточно только номера телефона.

Пользовательский интерфейс Signal аналогичен другим популярным приложениям для обмена сообщениями, таким как WhatsApp и Facebook Messenger. Возможности включают обмен личными сообщениями, групповые переписки, отправку стикеров, фотографий, передачу файлов, голосовые и видеозвонки.

Signal существует с 2013 года, но его популярность стремительно возросла в 2022 и 2022 годах.

Насколько безопасен Signal?

  • Signal не принадлежит ни одной из крупных технологических компаний, это проект с открытым исходным кодом, существующий за счет грантов и пожертвований. Это означает, в нем что нет рекламы, партнерских ссылок и скрытого отслеживания.
  • Диалоги в приложении Signal зашифрованы сквозным шифрованием. Это означает, что они не доступны никому (даже владельцам Signal), кроме самих участников.
  • Другие приложения для обмена сообщениями предлагают использовать сквозное шифрование опционально, однако в Signal оно используется по умолчанию.
  • В Signal используются самоуничтожающиеся исчезающие сообщения, которые автоматически удаляются по истечении заданного времени.
  • Signal старается не собирать избыточных данных о пользователях. Все сообщения, изображения и файлы приложения Signal хранится локально на телефоне.
  • Другие приложения, включая WhatsApp и Wire, используют протокол обмена сообщениями Signal для наиболее безопасных режимов.

Как сравнивали мессенджеры?

Теперь вкратце расскажем о методике проведенного анализа защищенности. На рисунке ниже отображена схема формирования оценки по каждому мессенджеру.


Для проведения анализа мы выбрали три основные категории:

  1. Открытость сообществу
  2. Архитектура
  3. Основная функциональность

В категории «Открытость сообществу»
оценивались:

  • наличие отчетов внешних аудиторов (в том числе наличие bug bounty-программ)
  • доступность исходного кода мессенджера для исследователей (клиентская и серверная часть, протокол шифрования)
  • наличие доступной и подробной документации для пользователей мессенджера

В этой категории не проводятся технические проверки, а полученный результат основан на оценке специалистов-участников проекта. Максимальная возможная оценка для мессенджера в этой категории — 12 баллов.
В категориях «Архитектура» и «Основная функциональность» оценка складывалась на основе результатов технических (инструментальных) проверок, которые проводились по стандарту OWASP Mobile Security Testing Guide.

В категории «Архитектура»

после проведения инструментальных проверок мы получили оценку:

  • защищенности данных мессенджера (например, конфигурационные файлы, необходимые для работы мессенджера)
  • защищенности каналов связи (например, реализация передачи данных на сервер мессенджера)
  • защищенности резервных копий (например, файлы приложения, создаваемые как мессенджером, так и операционной системой смартфона)
  • защищенности данных профиля пользователя (например, логин пользователя, местоположение)

При наличии недостатков в какой-либо из проверок максимальный балл категории снижался, а максимальная возможная оценка — 200 баллов.
В категории «Основная функциональность»

оценивалась корректность работы следующих функций мессенджеров:

  • обмен сообщениями (включая файлы различных форматов)
  • совершение видео- и аудиовызовов

Максимальная оценка в этой категории — 120 баллов.
Таким образом, максимальная итоговая оценка мессенджера может составить 332 балла и складывается в следующем отношении:


Если вам интересно узнать больше — полную информацию о методологии проведенного анализа защищенности можно найти здесь.

Сразу оговоримся, что в границы нашего исследования не вошли:

  • анализ исходного кода: он доступен не для всех мессенджеров.
  • исследование серверной части мессенджеров: оно может включать инвазивное воздействие и требует письменного согласия на проведение данных работ.
  • криптографический анализ используемых алгоритмов шифрования и reverse engineering мессенджеров: эти работы займут намного больше времени, чем было отведено на проект, поэтому не будем отбирать хлеб специалистов-криптографов.

Telegram

Что такое Telegram?

Telegram, основанный российским предпринимателем Павлом Дуровым, представляет собой кроссплатформенный сервис обмена сообщениями, впервые запущенный на iOS и Android в 2013 году. Основные функции Telegram такие же, как и у большинства других приложений для обмена сообщениями: можно отправлять сообщения другим пользователям Telegram, создавать групповые чаты, выполнять звонки, а также отправлять файлы и стикеры.

Насколько безопасен Telegram?

  • Telegram также использует сквозное шифрование. Шифрование Telegram не позволяет никому – ни одной компании, правительству, злоумышленникам или кому-либо еще, кроме участников двустороннего диалога, увидеть отправленные сообщения.
  • Однако Telegram использует это шифрование только для звонков и для функции «секретные чаты», а не для обычных чатов. Шифруются только данные, передаваемые от клиента к серверу. WhatsApp, который некоторые считают менее безопасным, с 2016 года использует сквозное шифрование сообщений, звонков и видеозвонков.
  • Причина в том, что Telegram, по большей части, использует облачные хранилища. По сути, все сообщения и фотографии хранятся на защищенном сервере. Это означает, что к ним можно получить доступ с любого подключенного устройства, что делает Telegram менее зависимым от платформы, чем другие приложения, например, WhatsApp.

О каких мессенджерах пойдет речь?

Сразу оговоримся, что отбор мессенджеров для нашего обзора производился на основе анализа существующих открытых исследований защищенности мессенджеров, их популярности в России и их позиционирования на рынке.
По итогам оценки и изучения мнений экспертов отрасли наша команда выбрала три мессенджера, ориентированные на защиту данных пользователей:

  1. Signal
    — некоммерческий проект Open Whisper Systems
  2. Telegram
    — некоммерческий проект Telegram FZ-LLC
  3. Wickr Me
    — коммерческий проект Wickr Inc с бесплатной версией

Для исследования мессенджеров использовали последние версии, доступные на момент исследования в App Store и Google Play.


Мессенджеры устанавливались на смартфоны с iOS версии 13.3.1 и Android версии 7.1.2, при этом на смартфонах заранее были получены права суперпользователя (jailbreak для iOS и root-доступ для Android).

Wire

Что такое Wire?

Wire, запущенное в 2014 году, позиционируется как приложение для безопасного обмена сообщениями. Компания Wire находится в Швейцарии – одной из самых благоприятных стран мира для разработки безопасных онлайн-сервисов и приложений для обмена сообщениями. Wire можно использовать в операционных системах Android, iOS, macOS, Windows и популярных браузерах.

Насколько безопасен Wire?

  • Wire также использует сквозное шифрование. Шифрование Wire работает прозрачно в фоновом режиме и не требует активации, поскольку постоянно включено.
  • Wire не продает аналитику и информации об использовании данных третьим лицам.
  • Как и Signal, Wire имеет открытый исходный код, доступный пользователям для изучения, проверки и улучшения (в данном случае через GitHub).
  • Внешние эксперты провели публичный аудит Wire. С опубликованными результатами аудита можно ознакомиться в интернете, если у вас нет времени или знаний для просмотра исходного кода.
  • Для регистрации в Wire необходим только адрес электронной почты, а не номер телефона.
  • Приложение полностью соответствует требованиям GDPR.

WhatsApp

Что такое WhatsApp?

WhatsApp имеет 1,5 миллиарда пользователей во всем мире и, вероятно, не нуждается в представлении. WhatsApp был одним из первых приложений для обмена сообщениями со сквозным шифрованием для безопасного общения. Мессенджером WhatsApp владеет Facebook – ассоциация, конфиденциальность учетных данных которой под сомнением.

Насколько безопасен WhatsApp?

  • В WhatsApp используется шифрование; пользователи получают явное предупреждение, если к конкретному чату не применяется сквозное шифрование.
  • WhatsApp не хранит сообщения на серверах, поэтому, если киберпреступники взломают платформу, они не смогут расшифровать сообщения.
  • Кроме того, в WhatsApp отсутствует ключ для просмотра зашифрованных сообщений. По умолчанию сообщения хранятся в WhatsApp таким образом, что с помощью iOS или Android можно создать их резервные копии в облаке.
  • В WhatsApp реализована двухэтапная проверка, повышающая безопасность учетной записи. Она осуществляется посредством установки PIN-кода, необходимого для проверки номера телефона на любом устройстве.
  • WhatsApp принадлежит Facebook, что иногда воспринимается как недостаток системы конфиденциальности. WhatsApp получает и передает информацию другим компаниям Facebook. Это означает, что данные передаются рекламодателям, которые используют их для таргетированной рекламы.

Основная функциональность

Эту категорию можно расширять до бесконечности, но у нашей команды не было цели исследовать все реализованные фичи, и мы остановились на изучении основной функциональности мессенджеров и их безопасности:

  • обмен сообщениями
  • совершение аудио- и видеозвонков

Примечание: не рассматривалось использование в корпоративной среде.
Лидерами данной категории стали Wickr Me

и
Telegram
, набрав максимальное количество баллов.

Версия мессенджера Signal

под платформу Android содержит недостаток обработки исключений, который приводит к остановке приложения (то есть мессенджер сразу закрывается), поэтому Signal набрал меньше баллов в этой категории.

Threema

Что такое Threema?

Threema – это приложение для обмена сообщениями со сквозным шифрованием. В отличие от других приложений, для создания учетной записи Threema не требуется указывать адрес электронной почты или номер телефона, что обеспечивает пользователям очень высокий уровень анонимности. Возможности Threema включают обмен текстовыми и голосовыми сообщениями, голосовые и видеозвонки, групповые чаты и списки рассылки. Приложение Threema не является бесплатным. Компания-разработчик приложения Threema базируется в Швейцарии.

Насколько безопасен Threema?

  • Ключевым принципом Threema является ограничение метаданных. Во избежание злоупотребления данными, серверы Threema безвозвратно удаляют сообщения после доставки получателям.
  • Данные, которыми другие приложения обычно управляют на сервере, в Threema управляются локально на устройстве пользователя. Это означает, что любой разговор защищен от прослушивания.
  • В результате переход к расшифрованным соединениям не выполняется, поэтому никто, кроме предполагаемого адресата, не может прочитать сообщение.
  • Threema имеет открытый исходный код, поэтому пользователи самостоятельно могут проверить степень шифрования.
  • Однако приложение не поддерживает двухфакторную аутентификацию.

Wickr Me

Что такое Wickr Me?

Компания Wickr была основана в 2012 году группой экспертов по безопасности и защите конфиденциальности. Это одно из немногих приложений для безопасного обмена сообщениями, которое можно использовать действительно анонимно. У компании Wickr есть различные приложения, предназначенные для разных групп пользователей: Wickr Me, Wickr Pro, Wickr RAM и Wickr Enterprise. Wickr Me ориентирован на индивидуальных пользователей.

При регистрации в Wickr Me не требуется указывать адрес электронной почты или номер телефона. Это гарантирует, что приложение не имеет доступа к данным пользователей и не выполняет их сбор. Wickr можно также использовать в качестве инструмента для совместной работы, а не только приложения для обмена сообщениями, поскольку Wickr позволяет предоставлять доступ к экрану, местоположению и онлайн-статусами.

Насколько безопасен Wickr Me?

  • Приложение использует сквозное шифрование для всех сообщений и файлов, включая изображения и видео. Это гарантирует, что при передаче данных с одного устройства на другое посторонние лица не смогут получить к ним доступ.
  • Все сообщения Wickr шифруются локально на устройстве с использованием отдельного ключа для каждого сообщения. Это означает, что ключи для расшифровки сообщений есть только у пользователей Wickr. Помимо шифрования пользовательских данных и разговоров, в Wickr выполняется удаление метаданных из содержимого, передаваемого по сети.
  • Шифрование включено по умолчанию, а отчеты о прозрачности доступны всем пользователям Wickr.
  • Приложение поддерживает двухфакторную аутентификацию.
  • Wickr не фиксирует IP-адреса и другие метаданные.
  • Wickr – это приложение с открытым исходным кодом, а также поддерживает исчезающие сообщения.
  • В Wickr реализована функция, позволяющая пользователям обнаруживать снимки экрана: если кто-то сделает снимок экрана с отправленным сообщением, отправитель этого сообщения получит уведомление.

И что получилось?

Пришло время поделиться результатами исследования: как видно на диаграмме ниже, наибольшее количество баллов набрал Wickr Me
— 304 из 332 возможных:


В таблице отражено, как складывалась оценка каждого мессенджера:


Давайте рассмотрим лидеров в каждой категории и найденные недостатки, после чего немного детальнее рассмотрим каждый из них.

Viber

Что такое Viber?

Viber – это межплатформенное приложение для голосовой связи по IP и обмена мгновенными сообщениями, разработанное японской международной корпорацией Ratuken. Приложение можно загрузить бесплатно. Оно позволяет совершать бесплатные звонки, отправлять текстовые сообщения, изображения и видео другим пользователям Viber. Viber можно использовать для создания групповых чатов с участием до 250 человек и групповых звонков с участием до 20 человек одновременно.

Насколько безопасен Viber?

  • Если пользователи выбирают надлежащий метод передачи данных, Viber обеспечивает шифрование голосовых и видеочатов на мобильных устройствах и в основных операционных системах.
  • Раньше осуществлялась защита только личных коммуникаций, а теперь сквозным шифрованием также защищены групповые чаты.
  • Каждый чат Viber имеет цветовую маркировку в зависимости от уровня шифрования:
      Зеленый– чат зашифрован, следовательно, соответствующий контакт является доверенным.
  • Серый – чат зашифрован, но соответствующий контакт не отмечен как доверенный.
  • Красный – проблема при аутентификации контакта.

Skype – безопасный чат и удобные видеозвонки с друзьями

Skype часто используют для общения с коллегами и партнерами по бизнесу

Популярная на весь мир программа, которая используется по большей части для совершения видеозвонков. Технология шифрования end-to-end делает максимально безопасными и защищенными все беседы, можно создавать секретные чаты. Как правило, Скайп используют для работы, хотя многие предпочитают эту программу и для личного общения.

Skype часто выпускает обновления и необходимо устанавливать их, чтобы повышать уровень своей безопасности при коммуникации с пользователями.

Мессенджер существует уже много лет и до сих пор остается популярными. Не так давно он адаптирован для мобильных гаджетов. Функционал мобильной версии включает следующее:

  • отправка голосовых сообщений;
  • отправка аудиосообщений;
  • совершение видеозвонков;
  • совершение голосовых звонков;
  • отправка текстовых сообщений;
  • отправка документов, изображений, фотографий, медийных объектов.

Программа доступна в бесплатном режиме для скачивания на любое устройство.

Dust

Что такое Dust?

Приложение Dust, ранее известное как Cyber Dust предназначено для обмена личными сообщениями. Для обеспечения безопасности коммуникаций в приложении используется сквозное шифрование. На сайте приложения говорится: «Вы можете стирать свои сообщения с телефонов других людей. Они не хранятся на телефонах и серверах постоянно. Сообщения надежно зашифрованы и недоступны никому, даже нам».

Насколько безопасен Dust?

  • Приложение позволяет отправлять личные сообщения людям из списка контактов. Такие сообщения называются Dusts. Можно настроить сообщения, исчезающие в течение 24 часов или сразу после прочтения.
  • Можно также отправлять сообщения группе людей, которые каждый получатель читает в частном порядке. Такие сообщения называются Blasts.
  • Приложение Dust настроено так, что имена пользователей не отображаются в сообщениях. Кроме того, оно информирует, если из приложения сделан снимок экрана.
  • Приложение Dust не только является безопасным мессенджером, оно также имеет функцию контроля конфиденциальности и инструмент для сохранения конфиденциальности при поиске в сети.

Вывод

Мы провели сравнительный анализ защищенности трех мессенджеров, позиционирующих себя как безопасные, и выяснили, что все мессенджеры имеют ряд общих недостатков, а у Signal и Telegram также выявлены недостатки реализации хранения чувствительной информации в локальном хранилище.
Несмотря на то, что эксплуатация вышеуказанных недостатков возможна только при наличии физического доступа к смартфону, по оценке нашей команды, все эти недостатки снижают уровень защищенности данных пользователя.

По итогам всех проверок лидером нашего исследования стал мессенджер Wickr Me, который набрал 304 балла и у которого выявлено меньше всего недостатков.

Вывод прост: абсолютно безопасных мессенджеров нет, но мы надеемся, что благодаря этому исследованию вы сможете сохранить конфиденциальность и повысить безопасность своего общения, зная обо всех подводных камнях выбранного вами сервиса.

iMessage

Что такое iMessage?

iMessage – это служба обмена мгновенными сообщениями, разработанная Apple и запущенная в 2011 году. iMessage работает исключительно на платформах Apple: iOS, macOS, iPadOS и watchOS.

Насколько безопасен iMessage?

  • iMessage обеспечивает сквозное шифрование данных, передаваемых между пользователями.
  • Потенциальная проблема безопасности – это возможность резервного копирования сообщений iMessages в iCloud. Сообщения, хранящиеся в облаке, зашифрованы ключами, контролируемыми Apple, поэтому, если ваш iCloud когда-либо был взломан, эти сообщения могли быть раскрыты.
  • Решение этой проблемы – для усиления безопасности не хранить личные сообщения на веб-платформах, таких как iCloud.
  • iMessage позволяет пользователям контролировать, сколько времени отображаются фото, видео и сообщения, прежде чем они исчезнут. Также можно указать, сколько раз получатель может просмотреть сообщение. Однако эта функция доступна только в iOS 10 и выше.

Line

Что такое Line?

Line – это бесплатное безопасное приложение для обмена сообщениями, созданное после цунами 2011 года в Японии. В результате стихийного бедствия многие обычные каналы связи вышли из строя. Приложение Line было разработано интернет-компанией Naver как средство связи для сотрудников.

Позже в том же году компания Naver представила приложение широкой публике в Японии, где оно стало невероятно популярным. Затем приложение завоевало популярность в Азии.

Насколько безопасен Line?

  • Line обеспечивает сквозное шифрование при условии, что пользователи соглашаются на использование этой функции. В приложении она называется «Letter Sealing».
  • Для регистрации в приложении можно использовать номер телефона или учетную запись Facebook.

Использование безопасного приложения для общения защищает от злоумышленников, пытающихся украсть ваши данные. Разные приложения имеют различные функции безопасности и общие функции, поэтому выбор конкретного приложения зависит от того, какие функции наиболее важны именно для вас.

Безопасность приложения для обмена сообщениями

Безопасность самих приложений очень важна, однако рекомендуется также следовать советам по обеспечению безопасности при обмене сообщениями:

Соблюдайте осторожность при использовании публичных сетей Wi-Fi

Публичные сети Wi-Fi часто являются бесплатными, однако они также являются источником проблем с безопасностью. Публичные сети, как правило, используются многими людьми, поэтому они часто становятся целью для злоумышленников. Злоумышленники могут легко перехватить отправляемые по Wi-Fi данные: фотографии, сообщения, пароли, имена пользователей и банковскую информацию. Использование VPN может помочь защититься от нарушений безопасности.

Избегайте отправки личной информации в приложениях для обмена сообщениями или в виде текстовых сообщений

>
Не сообщайте пароли, данные кредитных карт и другие личные данные в сообщениях. Остерегайтесь раскрытия личных данных незнакомцам, с которыми вы общаетесь посредством мгновенных сообщений. Злоумышленники могут использовать против вас даже такую на первый взгляд невинную информацию, как название вашего работодателя.

Будьте осторожны при переходе по ссылкам из сообщений

Чтобы не стать жертвой фишингового мошенничества, никогда не переходите по ссылкам в мгновенных сообщениях от людей, с которыми вы не знакомы и которым вы не доверяете и не встречались в реальной жизни.

Защитите телефон с помощью программы безопасности

Наряду с защитой устройства паролем или PIN-кодом, рекомендуется также использовать программу безопасности. Например, Kaspersky Internet Security для Android блокирует подозрительные приложения, веб-сайты и файлы, а также не дает шпионским программам отслеживать звонки, текстовые сообщения и местоположение.

Статьи по теме:

  • Как хакеры нарушают вашу приватность в сети
  • Как защитить взломанный смартфон
  • Как обнаружить шпионские программы
  • VPN для смартфонов: что нужно знать

Facebook Messenger – полная синхронизация с Facebook, общение с друзьями по всему миру

С помощью Facebook Messenger можно общаться с друзьями по всему миру

Программа доступна отдельно от социальной сети Facebook, поэтому вы можете ее установить даже при отсутствии личного профиля в проекте Марка Цукерберга. Достаточно использовать анонимную почту, а шифрование сообщение происходит посредством функции Secret Conversations.

Facebook Messenger объединяет людей своей социальной сети и позволяет отправлять сообщения на другой конец планеты. Независимо от вашего места положения, вы сможете быстро и комфортно общаться с семьей, любимыми и друзьями.

По количеству загрузок догоняет WhatsApp, но пока что уступает ему. Работает в любом регионе мира. Адресная книга формируется на основании телефонного номера и идентификации друзей в соцсети Фейсбук.

Предусмотрена полная синхронизация данных с социальной сетью. Если вы отправляете сообщение через браузерную версию, то в мобильном приложении оно будет отображено. В обратном порядке аналогичная ситуация.

Рейтинг
( 2 оценки, среднее 5 из 5 )
Понравилась статья? Поделиться с друзьями:
Для любых предложений по сайту: [email protected]