Содержание
С тех пор как платформа обмена сообщениями WhatsApp была приобретена Facebook в 2014 году, ее рост не остановить. В настоящее время приложение может похвастаться более миллиарда пользователей каждый месяц, которые отправляют более 30 миллиардов сообщений в день.
За последние годы WhatsApp усилил свою безопасность, добавив двухэтапную проверку и автоматическое сквозное шифрование. Несмотря на это, есть еще некоторые угрозы безопасности, о которых вам нужно знать.
Веб-вредоносное ПО
Имея более миллиарда пользователей, почти наверняка злоумышленники попытаются использовать популярное приложение для обмена сообщениями. WhatsApp объявил о запуске веб-интерфейса
и настольное приложение в январе 2015 года. Неудивительно, что хакеры быстро набросились на поддельные веб-сайты и приложения WhatsApp, которые крали данные и распространяли вредоносное ПО.
Некоторые злоумышленники создавали загрузку вредоносного программного обеспечения, которая маскировалась бы под приложения WhatsApp Desktop. После установки они могут устанавливать и распространять вредоносные программы или иным образом скомпрометировать ваш компьютер. Другие обратились к созданию веб-сайтов, притворяясь, что предлагают доступ к WhatsApp Web. Они запрашивают ваш номер телефона, чтобы «подключить вас к услуге», но на самом деле используют его для того, чтобы засыпать ваш WhatsApp спам-сообщениями.
Хотя WhatsApp предлагает клиент для Windows и Mac, самый безопасный вариант — перейти прямо к источнику по адресу http://web.whatsapp.com.
Незашифрованные резервные копии
Сообщения, которые вы отправляете через WhatsApp, полностью зашифрованы. Это означает, что только ваше устройство может их декодировать. Это предотвращает перехват ваших сообщений во время передачи, но ничего не говорит об их безопасности на вашем устройстве. Как на iOS, так и на Android можно создавать резервную копию ваших сообщений на iCloud или Google Drive.
, Резервные копии, создаваемые WhatsApp, содержат дешифрованные сообщения на вашем устройстве.
Сама резервная копия не зашифрована. Если кому-то нужен доступ к вашим сообщениям, ему потребуется только последняя копия вашей ежедневной резервной копии. Он также уязвим, поскольку у вас нет возможности изменить расположение резервной копии, а это означает, что вы используете облачную службу для защиты ваших данных. В частности, iCloud имеет плохую репутацию в плане безопасности, особенно после того, как его роль в крупнейшей утечке знаменитостей в истории
,
Одно из предполагаемых преимуществ шифрования, в лучшую или худшую сторону, состоит в том, чтобы помешать правительству и правоохранительным органам получить доступ к вашим данным. Поскольку незашифрованная резервная копия доступна у одного из двух поставщиков облачных хранилищ в США, все, что для этого потребуется, — это ордер, и у них будет беспрепятственный доступ к вашим сообщениям. Во многих случаях это делает сквозное шифрование обмена сообщениями избыточным.
Facebook Data Sharing
Когда Facebook решил, что хочет приложить WhatsApp к «Семейству Facebook», ЕС одобрил сделку после того, как Facebook дал понять, что две компании и их данные будут храниться отдельно. Конечно, будучи ответственной компанией, Facebook подчинился. По крайней мере, около двух лет. Затем 25 августа 2016 года WhatsApp изменил свою Политику конфиденциальности, чтобы разрешить передачу данных из WhatsApp в Facebook. Согласно их часто задаваемым вопросам:
«Мы планируем передать некоторую информацию Facebook и семейству компаний Facebook… некоторую информацию о вашей учетной записи Facebook и семейству компаний Facebook, например номер телефона, который вы подтвердили при регистрации в WhatsApp, а также последний раз, когда вы использовали наш сервис.»
При использовании слов ласки, они также утверждают, что никакая ваша информация не будет публично видимый на Фейсбуке. Вместо этого он будет скрыт в глубоком и недоступном для вас профиле Facebook. Можно отключить этот обмен данными в настройках. Однако, к огорчению почти всех сторонников конфиденциальности, обмен данными был включен по умолчанию, что требовало от каждого из более чем миллиарда пользователей WhatsApp вручную заходить в настройки, чтобы отключить его, если им было неудобно.
После внесения изменений чиновники из Германии, США и Великобритании выразили обеспокоенность. В настоящее время Европейская комиссия даже проводит расследование действий Facebook и WhatsApp. С ноября 2016 года Facebook приостановил сбор данных от британских пользователей после того, как Управление комиссара по информации написало в Facebook с изложением проблем и попросил Facebook разъяснить пользователям, как будут использоваться их данные.
Уязвимости шифрования
В январе 2017 года The Guardian опубликовала статью, в которой утверждается, что реализация протокола шифрования в WhatsApp может быть использована. Хотя ваши сообщения полностью зашифрованы, поэтому их невозможно прочитать во время передачи, они дешифруются локально на вашем телефоне. Чтобы убедиться, что устройство, получающее сообщение, является предполагаемым получателем, у каждого пользователя есть открытый ключ безопасности. Эту клавишу можно изменить при переустановке приложения или переходе на новый телефон.
В отчете Guardian утверждается, что, поскольку WhatsApp может изменять ключи безопасности для автономных пользователей, они могут перехватывать и дешифровать сообщения. Затем WhatsApp может заставить вас отправить ваши сообщения с новым ключом безопасности и разрешить им доступ к сообщениям. Они утверждали, что это была проблема или преднамеренная особенность реализации WhatsApp протокола Open Whisper Systems.
Тем не менее, Open Whisper Systems ответили в длинном сообщении в блоге, где опровергли заявления о «бэкдоре шифрования». Вместо этого они отметили, что человек в середине атаки
«Это характерно для криптографии с открытым ключом, а не только для WhatsApp». Они также оспаривают чрезмерное упрощение вопроса, сделанного The Guardian. Они не учитывают тот факт, что на вашем устройстве есть два ключа шифрования, один открытый и один закрытый. Это делается для того, чтобы злоумышленник не смог скомпрометировать сервер и «[лжет] об открытом ключе пользователя, а вместо этого [рекламирует] ключ, для которого злоумышленник знает соответствующий ключ».
Консенсус технического сообщества заключается в том, что The Guardian очень мало проверяли детали, прежде чем публиковать историю. Тем не менее, он подчеркнул, что даже системы, которые рассматриваются как безопасные, такие как сквозное шифрование, не являются полностью безупречными.
Еще кое-что…
WhatsApp недавно обновил функцию Status, превратив ее из строки простого текста в исчезающие обновления фото и видео. Это привело его в соответствие с Instagram Stories и Snapchat. Несмотря на кажущуюся неприязнь их материнской компании к упрощению контроля конфиденциальности, WhatsApp позволяет легко контролировать, с кем вы делитесь своим статусом.
Если вы зайдете в настройки, вы получите три уровня конфиденциальности для обновлений вашего статуса;
- Мои контакты
- Мои контакты кроме …
- Только поделиться с …
Несмотря на эту простоту, не сразу понятно, смогут ли ваши заблокированные контакты видеть ваш статус. WhatsApp, кажется, сделал разумную вещь, и заблокированные контакты не могут просматривать ваш статус. Как и в Instagram Instagram, любые видео и фотографии, добавленные в ваш статус, исчезнут через 24 часа.
Время изменить?
Если этих причин было достаточно, чтобы сделать ваш вопрос верностью приложения для обмена сообщениями, то есть и другие безопасные альтернативы. Протокол сквозного шифрования WhatsApp был разработан Open Whisper Systems, который создал собственное приложение для безопасного обмена сообщениями Signal. Затем есть популярная Telegram, которая сочетает в себе возможности обмена сообщениями WhatsApp и эфемерную природу Snapchat.
Если вы решили использовать WhatsApp, ознакомьтесь с этими советами для эффективного общения в настольной версии WhatsApp.
:
Первоначально написано Данн Олбрайт 25 февраля 2015
