По следам Оруэлла. Какой мессенджер легче всего взломать
В Еврокомиссии обсуждают новый законопроект о защите электронной информации ePrivacy. В случае принятия он позволит ограничить доступ телекоммуникационных и интернет-компаний к личным данным и сообщениям пользователей. В первую очередь это коснется популярных сервисов для обмена сообщениями вроде Gmail, Viber, Facebook Messenger, Skype, WhatsApp, iMessage и др.
Пользователи получат более подробные настройки онлайн-приватности и конфиденциальности, а сервисам придется запрашивать разрешение клиента для показа таргетированной рекламы на основе его личных данных. Между тем новый законопроект предусматривает возможность использования дополнительной информации, такой как местоположение пользователя и длительность разговоров. Правда, только в том случае, если они сами дадут согласие на использование таких данных.
Почему международные институты взялись за защиту персональных данных пользователей?
На сегодня количество людей, доверяющих свои данные интернет-компаниям, огромно. Сервис для обмена сообщениями WhatsApp, сейчас принадлежащий Facebook, взял знаковый рубеж в 1 млрд ежемесячных пользователей в феврале 2016 г. В Facebook Messenger миллиардный аккаунт зарегистрировали в июле 2016-го. Сервис Viber в декабре 2016-го обслуживал 800 млн активных пользователей.
На конференции F8 Facebook Developer Conference 2016 было объявлено, что совокупно в Facebook Messenger и WhatsApp ежедневно отправляют 60 млрд сообщений. С помощью традиционных SMS их передают в три раза меньше - около 20 млрд.
С момента появления мессенджеров в сети регулярно появляются сообщения об очередных взломах, уязвимости или проблемах в их безопасности. В погоне за очередными миллионами активных пользователей, стремясь нарастить вычислительные мощности и оперативно масштабироваться, разработчики этих программ отодвигают безопасность и конфиденциальность пользовательской информации на второй план.
Между тем доцент кафедры организационного поведения высшей школы бизнеса в Стэнфорде Михал Косинский утверждает: достаточно проанализировать 70 лайков на Facebook, чтобы понять характер человека лучше, чем его друг, 150 лайков - чтобы понимать лучше, чем родители, 300 - лучше, чем партнер. Если добавить еще немного, то "большой брат" из романа Джорджа Оруэлла "1984" будет предвидеть поведение человека точнее, чем он сам.
Скандалы, интриги, расследования
Один из самых громких скандалов, связанных с конфиденциальностью пользовательских данных, произошел в 2014 г. Тогда компания Facebook за внушительные $16 млрд купила популярный мессенджер WhatsApp. После этого WhatsApp впервые за несколько лет внес изменения в условия пользования и политику конфиденциальности: компания стала делиться номером телефона абонента с Facebook.
Такая передача личных данных объяснялась благими намерениями: WhatsApp обещал улучшить борьбу со спамом, оповещать пользователей о задержках авиарейсов, подозрительной активности банковского счета, кроме того, речь шла о более удобном поиске друзей в обеих сетях. Но главная задача подобных изменений - подбор рекламы, которая точно соответствует предпочтениям клиента. Тогда в сети появилось множество советов, как запретить WhatsApp делиться номером телефона с Facebook.
В том же 2014-м исследователи из Университета Нью-Хейвена в штате Коннектикут обнаружили уязвимость в WhatsApp: Ибрагим Баггили и Джейсон Мур сообщили, что популярный мессенжер передает данные о местоположении пользователей в незащищенном виде и такая информация может быть легко перехвачена третьей стороной.
Через некоторое время эти же специалисты по кибербезопасности нашли уязвимость и в приложении Viber. Оказалось, что популярнейший сервис обмена сообщениями передает и хранит пользовательские данные, включая изображения, видеозаписи, дудлы и данные о местоположении пользователя, в незашифрованном виде. Информация не удалялась после получения принимающей стороной, а продолжала храниться на серверах Viber.
Получить к ней доступ не составило никакой сложности - исследователям понадобился обычный компьютер с Windows в качестве точки доступа Wi-Fi. Переписка велась между двумя обычными Android-смартфонами с установленным Viber, а приложение на компьютере анализировало трафик, который шел между этими смартфонами.
Исследователи утверждали, что незашифрованные данные могут быть получены из серверов компании любым пользователем, который знает URL сообщения. На видео, которое засняли специалисты и выложили в общий доступ, было видно, что Viber не требует никакой идентификации при запросе доступа к информации на серверах. И перехватить ее можно было как в точках доступа Wi-Fi, так и в любых других промежуточных узлах сети.
Компанию Viber Media сразу уведомили о бреши в безопасности, однако та никак не отреагировала. Правда, через некоторые время было выпущено обновление мессенджера, в котором недочет устранили.
Этот скандал в истории Viber далеко не единственный. В июле 2013 г. внимание специалистов привлек экран блокировки Android-смартфона, на котором был запущен Viber. Оказалось, что смартфон можно легко разблокировать, используя всплывающие уведомления мессенджера. В апреле 2013-го официальную страницу Viber для поддержки пользователей и вовсе взломала Syrian Electronic Army. По словам официальных представителей компании, пользовательские данные не пострадали.
Проблемы с безопасностью личных данных есть и у других мессенджеров. В 2015-м в веб-версии WhatsApp была найдена ошибка, которая давала практически неограниченные возможности для взлома. Для успешной атаки требовалось знать номер телефона пользователя и составить специальным образом карту vCard (электронную визитку). К vCard прикладывался любой исполняемый файл. Пользователь, открывая карточку vCard, автоматически запускал на своем компьютере спрятанный в карте файл.
Летом 2016 г. компания Falcongaze - разработчика решений в области информационной безопасности и мониторинга бизнес-процессов - заявила, что в их корпоративном программном продукте SecureTower появилась функция контроля общения сотрудников в мессенджере Telegram. Анонсировался перехват всех чатов, изображений, файлов и голосовых сообщений в мессенджере Telegram с рабочих компьютеров сотрудников. Руководитель Telegram Павел Дуров быстро успокоил пользователей, отметив, что новый сервис не может автоматически перехватывать чужие сообщения. Для успешной "прослушки" у "жертвы" должна быть установлено специальная программа. Которая по своей сути является трояном от Falcongaze.
В Иране местная группировка хакеров взломала множество аккаунтов в мессенджере Telegram и сумела определить телефонные номера 15 млн пользователей. Поскольку в Иране запрещены Facebook и Twitter, Telegram здесь является одним из самых популярных социальных сервисов - его активно используют политики, журналисты, общественные активисты.
Предполагается, что за атакой стоит хакерская группировка Rocket Kitten, которую связывают с иранским Корпусом стражей исламской революции. Скорее всего, хакеры получили доступ к мессенджеру жертв через SMS-авторизацию: при попытке войти в аккаунт Telegram с другого устройства пользователю приходит SMS с кодом доступа для входа. Получив код доступа, хакеры могут войти в учётную запись с других устройств и следить за перепиской владельца. В данном случае сотовые операторы были в сговоре с хакерами и передавали им код в SMS. Таким образом, авторизация при помощи SMS делает Telegram (да и любой другой мессенджер) уязвимым в стране, где операторы мобильной связи находятся в собственности или под давлением правительства. От подобных атак можно защититься с помощью пароля, который меняется только через электронную почту.
Интересно, что после этих событий команда Telegram объявила, что номера телефонов 15 млн иранских пользователей, которые получили хакеры, не являются закрытой информацией. Имелось в виду, что злоумышленники просто проверили, зарегистрированы ли конкретные телефонные номера пользователей в мессенджере. Доступ к аккаунтам они получить не смогли. По сообщению Telegram, возможность подобного "перебора номеров" была закрыта еще в 2015 г.
Snapchat - популярное мобильное приложение обмена сообщениями с прикреплёнными фото и видео - тоже подверглось взлому. В начале 2014 г. сервис проигнорировал предупреждение о потенциальной уязвимости. Через некоторое время в интернет попали 4,6 млн телефонов и имен пользователей Snapchat из США. Хакеры сообщили, что цель данной акции - показать людям, что следует быть очень осторожным, когда доверяешь свою информацию различным компаниям и сервисам.
Уже в октябре 2014-го в сети оказались не телефонные номера и имена, а свыше ста тысяч личных фотографии и видео пользователей. В пресс-службе Snapchat тогда заявили, что их серверы никто не взламывал - все дело якобы в сторонних приложениях, позволяющих отправлять и получать сообщения".
Пожалуй, самым известной утечкой личных данных стал взлом Apple iCloud осенью 2014-го. Тогда в сети появились откровенные фотографии кинозвезд и знаменитостей - Рианны, Кирстен Данст, Дженнифер Лоуренс, Дженни МакКарти, Кейли Куоко и многих других. Причем Дженнифер Лоуренс и Мэри Уинстед подтвердили подлинность снимков, а Ариана Гранде и Виктория Джастис заявили, что фото фальшивые.
Неизвестные хакеры выложили часть полученных фотоматериалов в открытый доступ в Сети - полный архив "без цензуры" некоторое время пытались продать за криптовалюту Bitcoin.
Скорее всего, причиной утечки стала уязвимость в сервисе Apple iCloud, который синхронизирует фотографии с iPhone и iPad. Apple тогда отреагировала весьма и весьма расплывчатым заявлением: "Когда мы узнали о краже, то были возмущены и немедленно направили специалистов Apple, чтобы выяснить источник. После более 40 часов расследования мы обнаружили, что ряд учетных записей знаменитостей были скомпрометированы вследствие целенаправленной атаки на логины, пароли и секретные вопросы - практикой, слишком распространенной в сети. Ни один из случаев, которые мы расследовали, не обусловлен какой-либо брешью в любой из систем Apple, включая iCloud и Find my iPhone".
На самом деле есть нюанс: за несколько дней до массовой утечки специалисты по кибербезопасности установили, что у сервиса Apple Find my iPhone нет защиты от брутфорса (последовательного перебора паролей). В сети появился написанный на языке Python скрипт ibrute. С его помощью злоумышленники получили возможность подбирать пароль бесконечно, не опасаясь какой-либо блокировки или уведомления владельца учетной записи о попытках взлома.
Таким образом, многие популярные приложения для обмена сообщениями иногда обходятся пользователям очень дорого. Какой бы крупной и авторитетной компании бы вы не доверили свои данные, шанс на утечку информации остается всегда.
Какой же мессенжер самый защищенный
Сервис WhatsApp с 2014 г. частично использовал сквозное шифрование (end-to-end encryption). Суть этого шифрования сводится к тому, что пересылаемые напрямую (без участия сервера) данные остаются зашифрованными до тех пор, пока не достигнут устройства вашего собеседника, на котором они и могут быть расшифрованы. Таким образом, перехват сообщений и файлов на промежуточных участках невозможен.
Уже весной 2016-го технология сквозного шифрования была внедрена для всех пользователей WhatsApp по умолчанию. Основатель компании Ян Кум по этому поводу отметил следующее: "Теперь, если вы и ваши контакты пользуетесь последней версией приложения, каждый совершённый вами звонок и каждое сообщение, фотография, видео или голосовое сообщение, отправленное вами, - полностью зашифрованы. В том числе и в групповых чатах. Идея проста: когда вы посылаете сообщение, единственным, кто сможет его прочитать, будет человек или группа людей, которым вы его отправили. [Больше] никто его не увидит. Ни киберпреступники. Ни хакеры. Ни репрессивные режимы. Даже мы".
Через некоторое время сквозное шифрование появилось и в Viber. Также для всех видов звонков и сообщений, включая групповые чаты.
В октябре 2016 г. "секретные" чаты с сквозным шифрованием появились и в Facebook Messenger. Сервис обмена сообщениями Telegram также поддерживает сквозное шифрование. По аналогии с Facebook Messenger там эта функция работает для "секретных чатов", рассчитанных на двух собеседников.
Таким образом, в текущих версиях WhatsApp, iMessage и Facetime шифрование работает по умолчанию для всех контактов. А в Facebook Messenger и Telegram защищенный режим переписки нужно включать для каждого собеседника отдельно.
Осенью 2016-го международная правозащитная организация Amnesty International составила свой рейтинг защищенности сервисов обмена сообщениями от несанкционированного доступа к переписке пользователей. Всего в рейтинге участвовали 16 мессенджеров от 11 компаний. "Конкурсантов" оценивали по целому ряду параметров.
Рейтинг составили по 100 бальной системе, но наивысшую оценку не получил никто. Первое место разделили Facebook Messenger и WhatsApp (по 73 балла). Далее - iMessage, FaceTime и Telegram, набравшие по 67 баллов. Viber получил 47 баллов, Skype 40, Snapchat 26 и Blackberry 20. Рейтинг замкнули китайские мессенджеры QQ и WeChat, которые получили по 0 баллов.
Под колпаком спецслужб
Первого сентября 2015 г. в России вступил в силу спорный закон "О персональных данных". Он обязал местные и иностранные компании хранить и обрабатывать личную информацию россиян на территории страны. Следит за его исполнением Роскомнадзор, причем в случае нарушения онлайн-сервис компании будет внесен в реестр нарушителей и заблокирован.Интересно что Viber, Apple и Google перенесли свои серверы с персональными данными российских граждан в Россию. А о действиях Facebook на этот счет ничего не известно. Таким образом, доступ российских спецслужб и других органов к личным данным "неугодных" пользователей значительно упростился.
В Украине же в марте 2016 г. произошел любопытный "обмен любезностями" между руководителем Национального антикоррупционного бюро Украины Артемом Сытником и главой WhatsApp Яном Кумом. Сытник утверждал, что "снять информацию и с Viber, и с WhatsApp, используя возможности СБУ, реально". Учредитель WhatsApp Ян Кум отреагировал в Twitter так: "Специально для Артема Сытника: использование технологии сквозного шифрования подразумевает, что никто не может читать чужие личные сообщения".
В это же время в США был отозван иск, известный как "ФБР против Apple". События начались еще в конце 2015-го, когда произошел массовый расстрел в калифорнийском городке Сан-Бернандино. ФБР хотело получить данные со заблокированного смартфона iPhone 5 преступника, поскольку там могли содержаться важные контакты экстремистских сетей. При этом следователи не хотели сами осуществлять взлом, опасаясь автоматического уничтожения информации. Федеральное бюро расследований обратилось в компанию Apple за помощью, но получило отказ. Закономерный результат: ФБР подает в суд на Apple. Судья округа Лос-Анджелес обязала Apple оказать следователям "техническую поддержку в разумных пределах". В ответ на иск директор Apple Inc Тим Кук посчитал, что требование ФБР угрожает безопасности всех клиентов компании и будет иметь далеко идущие последствия, которые выходят за границы конкретного дела.
Через некоторое время Министерство юстиции США внезапно отозвало свой иск против Apple с просьбой отменить предписание, обязывающее корпорацию оказать властям помощь во взломе iPhone. Официальное объяснение очень интересное: специалистам ФБР удалось взломать телефон. Компания Apple ситуацию никак не прокомментировала. Однако вопрос остается: ФБР удалось взломать конкретный iPhone преступника, или у спецслужб теперь есть своя "универсальная отмычка" ко всем iPhone?