Сторонні підрядники WhatsApp. Хто насправді читає ваші повідомлення
Існування незалежних підрядників, які працюють з повідомленнями WhatsApp, змусило задуматися про дійсно захищений месенджер
WhatsApp-повідомлення: читати дозволено
Питання надійності комунікації через месенджер WhatsApp викликає безліч питань. Сервіс WhatsApp, що належить соціальній мережі Facebook, з початку року кілька разів ставав фігурантом скандалів, так чи інакше пов'язаних з приватністю призначених для користувача даних. А останнє викриття викликало жваве обговорення і в професійному співтоваристві фахівців з безпеки, і серед користувачів цього месенджера.
Видання ProPublica опублікувало матеріал, у якому описало роботу незалежних підрядників, які аналізують повідомлення користувачів WhatsApp. У статті розповідається, що понад тисяча співробітників партнерських структур аналізують повідомлення користувачів WhatsApp, на які були отримані скарги. Для цього використовується спеціальне програмне забезпечення, розроблене Facebook, так само як і системи на базі штучного інтелекту. В основному мова йде про різні випадки шахрайства, спам, картинках з неприпустимим контентом (наприклад, дитяче порно), загрози, в тому числі повідомлення про можливі теракти.
Завдання незалежних модераторів — проаналізувати контент і дати йому оцінку або відреагувати на ці повідомлення, наприклад, заблокувати користувача на платформі. Працюючи з проблемними повідомленнями, модератори також володіють інформацією про користувача, зокрема, вони знають його ім'я, номер телефону, дані інших акаунтів (в Facebook або Instagram), так само як і інші відомості, що дозволяють ідентифікувати особу.
Ця публікація ProPublica знову підняла питання про ненадійність месенджера WhatsApp, і це не дивлячись на запевнення Марка Цукерберга в зворотному. Засновник Facebook не раз називав WhatsApp одним з найбільш надійних засобів для спілкування, акцентуючи увагу на тому, що існування наскрізного шифрування, використовуваного в WhatsApp, робить всі повідомлення невидимими для сторонніх людей. Публікація ProPublica спростовує цей факт і в черговий раз змушує сумніватися в ідеї Цукерберга про створення захищеного середовища для спілкування за допомогою його сервісів, про яку він багато говорив в останні роки.
Банальна функція або недокументована лазівка
Сенсація, описана в матеріалі ProPublica, блякне після більш уважного аналізу ситуації. Автори не приховують, що незалежні підрядники аналізують лише ті повідомлення, на які скаржаться самі одержувачі. Наскрізне шифрування, яким так пишається Марк Цукерберг, дійсно захищає контент WhatsApp від вторгнень ззовні, в тому числі і від прочитання повідомлень співробітниками компанії.
Однак у кожного повідомлення є адресат — його одержувач. Він читає вміст меседжу і він же може поскаржитися на нього. Саме в цьому випадку повідомлення потрапляє в руки підрядників для аналізу, а відправника про це попереджають. Очевидно, що перед вивченням повідомлення дешифрують і вже потім розбирають і приймають рішення про подальші дії — достатньо просто попередити відправника про неприпустимість подібного контенту або ж потрібно заблокувати його номер телефону назавжди, без можливості відновитися.
Карл Вуг (Carl Woog), директор WhatsApp з комунікацій, підтвердив в коментарі ProPublica існування компаній-підрядників, які аналізують повідомлення, на які були отримані скарги. Правда, в WhatsApp їх не називають "модераторами": "Насправді ми зазвичай не використовуємо цей термін для WhatsApp". В офіційному коментарі представники WhatsApp підкреслили: "Рішення, які ми приймаємо щодо нашого застосування, орієнтовані на конфіденційність наших користувачів, підтримку високого ступеня надійності та запобігання зловживанням".
Алекс Стамос (Alex Stamos), який раніше займав посаду директора з безпеки Facebook, заявив, що стаття ProPublica "просто жахлива", підкреслив, що автори матеріалу придумали його скандальність і зв'язали між собою кілька речей, які неможливо зв'язати, зокрема, захист призначених для користувача даних і перевірку повідомлень. Крім того, Стамос додав, що в роботі таких сервісів існує досить складний компроміс між захистом конфіденційності користувачів і спробою захистити цих же користувачів від образливої поведінки інших. Стамос згадав, що його робота в Facebook багато в чому полягала в спробах досягти цієї складної рівноваги.
"Що може відбуватися в месенджерах? Знущання і домагання; відправка небажаних повідомлень; торгівля забороненими речовинами; сексуальне насильство над дітьми і дорослими; поширення дезінформації. Ви не зможете вирішити всі проблеми, захищаючи конфіденційність, але ви можете спробувати зробити це!" — додає Стамос, коментуючи матеріал ProPublica.
Глобальні проблеми WhatsApp
Історія з публікацією ProPublica — це не перший скандал, пов'язаний з приватністю і надійністю WhatsApp. Попереднє гучне обговорення WhatsApp в січні цього року призвело до сплеску популярності альтернативних захищених месенджерів Telegram і Signal.
В кінці 2020 року проєкт WhatsApp повідомив про введення нових правил роботи з даними користувачів. Ці правила повинні були набути чинності 8 лютого 2021 року. У компанії заявили, що користувачі повинні дати явну згоду на прийняття цих правил, інакше вони будуть позбавлені можливості користуватися месенджером.
Суть змін, про які згадувалося в нових правилах WhatsApp, полягала в більш тісній інтеграції месенджера з соціальною мережею Facebook, якій він належить. У нових правилах йшлося про те, що у користувачів буде існувати фактично єдиний профайл різних сервісів Facebook і компанія буде використовувати дані одного профайла в інших сервісах. Це необхідно Facebook для різних цілей, в першу чергу для поліпшення показу реклами. Наприклад, якщо в WhatsApp людина обговорює покупку дивана, але в результаті такої інтеграції в Facebook на нього може таргетуватися реклама магазинів, що продають дивани.
Друга причина — більш глобальна. Претензії американських регуляторів щодо монопольного становища компанії Facebook на ринку соціальних мереж нікуди не поділися. І серед способів виправити ситуацію все ще звучать пропозиції розділити компанію Facebook на окремі незалежні структури. Тим більше, що такий поділ більш ніж логічний — фактично соцмережа складається з трьох великих проєктів — власне Facebook, месенджер WhatsApp і фотосервіс Instagram (плюс дрібніші проєкти). Об'єднання профайлів, про яке йшла мова в новій редакції користувальницької угоди, відбувалося з одночасним об'єднанням цих даних на рівні архітектури. Відповідно, при спробі змусити Facebook розділитися на три окремі структури у керівництва фірми буде цілком логічний аргумент про те, що це погано відіб'ється на кінцевих користувачах її сервісів.
Історія з новими правилами WhatsApp викликала інтерес до альтернативних месенджерів — тоді деякі країни світу відмовилися від WhatsApp, а користувачі стали масово реєструватися в Telegram і Signal, особливо після того, як останній порекомендував Ілон Маск.
В результаті цієї історії WhatsApp відтермінував введення нових правил і після січня це питання про об'єднання даних акаунтів не піднімалося. За цей рік у WhatsApp були інші проблеми з приватних даних, зокрема, влада Німеччини заборонили збирати месенджеру дані користувачів цієї країни. А вже на початку вересня ірландський регулятор оштрафував WhatsApp на $267 млн через порушення конфіденційності даних користувача.
Довгий час сервіс критикували за часткове використання наскрізного шифрування — архіви повідомлень, що зберігаються на серверах компанії, не були захищені. І тільки кілька днів тому WhatsApp усунула цей серйозний недолік.
Чи існує по-справжньому захищений месенджер
Всі ці новини змусили ще раз підняти питання про те — чи існує захищений месенджер, який би забезпечував повноцінне наскрізне шифрування, захищав від перехоплення листувань і від злому і гарантував повну конфіденційність даних користувача.
Це питання давно цікавить багатьох людей, так само як і вивчається експертами і незалежними організаціями. Так, некомерційна організація Electronic Frontier Foundation, що займається захистом цифрових прав і приватності, ще кілька років тому представила власний рейтинг захищених месенджерів.
Однак недавно перед зведеною таблицею, в якій оцінені критерії надійності різних програм для спілкування, з'явилося попередження про те, що сьогодні цей рейтинг не можна розглядати як універсальне керівництво по вибору захищеного месенджера — зважаючи на складність організації захищеного середовища в принципі. Навіть самий захищений месенджер можна легко зламати, якщо не потурбуватися про захист смартфона або скористатися фішинговим посиланням з подальшим зараженням гаджета небезпечним ПО.
Якщо кілька років тому інтернет-ринок пережив справжній бум захищених месенджерів, то сьогодні все більше кейсів говорять про те, що повного захисту в комунікаціях не існує.
Компаніям, що володіють месенджерами, доводиться балансувати між конфіденційністю і безпекою своїх зашифрованих платформ. Вони повинні працювати в правовому полі і не порушувати закон. Тому часто сам факт шифрування викликає проблеми з владою. Час від часу правоохоронні органи різних країн вимагають відмовитися від шифрування — наприклад, в червні 2020 року декілька американських сенаторів представили законопроєкт "Про законний доступ до зашифрованих даних", в ньому згадується вимога до платформ надавати доступ до зашифрованого контенту за запитом правоохоронців. Кілька місяців тому влада Індії ввела нові правила роботи з даними користувачів, згідно з якими месенджери повинні передавати дані про відправника повідомлень за запитом влади. Виконання цієї вимоги означало б відмову від наскрізного шифрування. У WhatsApp подали в суд на уряд Індії та намагаються оскаржити ці правила.
Необхідність працювати в правовому полі, а також спроба зберегти WhatsApp, так само, як і будь-яку іншу платформу для комунікації, безпечним середовищем для спілкування, передбачає деякі поступки щодо конфіденційності даних користувача — саме це пояснив голова компанії в інтерв'ю, опублікованому після статті ProPublica. Компанія не може не реагувати на скарги користувачів або запити влади, інакше її продукт перетвориться на інструмент, який використовується в незаконній діяльності.
Тому відповідь на питання щодо захищених месенджерів неможлива без розуміння, навіщо і кому потрібна така платформа. Якщо для того, щоб спілкуватися і бути впевненими від того, що листування прочитає третя сторона, то для цього достатньо вибрати месенджер з функціями наскрізного шифрування. Конкретні назви можна знайти в рейтингу EFF або за цим посиланням. Інші ситуації, які знаходяться в протиріччі з Кримінальним кодексом, припускають використання інших інструментів, їх можна знайти в закритих інтернет-середовищах Dark Web.