Мессенджеры: разбор приватности

2021-02-02 12795 комментарии
Аналитический отдел Falcongaze рассмотрел политики приватности четырёх популярных мессенджеров (Telegram, Signal, WhatsApp и Viber)

С человечеством развиваются и способы связи: гонцы, почта, телефоны, электронная почта, социальные сети, мессенджеры.

Уже сейчас социальные сети отходят на второй план по многим причинам: частичное отсутствие приватности, местами цензура и токсичные сообщества. Даже если пользователь старается избежать сообществ, где обитают токсичные люди и тролли, они могут настигнуть его в комментариях под любым из постов.

Поэтому всё большее количество людей переходят на мессенджеры: как правило, у них получше с приватностью пользователей и человек сам выбирает, с кем ему общаться.

Однако насколько они безопасны? Для ответа на этот вопрос аналитический отдел Falcongaze рассмотрел политики приватности четырёх популярных мессенджеров (Telegram, Signal, WhatsApp и Viber).

Telegram

Проект создателя Вконтакте Павла Дурова сейчас активно развивается и растёт. Однако недавно был небольшой «бум» новых пользователей: если раньше в среднем мессенджер за сутки устанавливали около 1.5 миллиона человек, то недавно это число выросло до 8.3 миллионов новых пользователей.

Что касается приватности мессенджера, то команда Telegram на своём сайте сообщает, что они запрашивают ровно тот минимум приватных данных, который необходим для функционирования проекта. Например, при использовании функции Telegram Passport вы можете указать адрес электронной почты для восстановления пароля. Она будет храниться на серверах мессенджера и будет использована только если вы запросите восстановление пароля через почту.

Также Telegram очень серьёзно относится к хранению переписок. Мессенджер хранит все публичные переписки в облаке в зашифрованном виде, используя протокол шифрования MTProto. Но и это ещё не всё: сами зашифрованные файлы хранятся на одних серверах, а ключи шифрования на других. Возможно, даже в другой стране. Таким образом, даже если кто-то получит физический доступ к серверу с вашими данными и захочет ими воспользоваться, это будет практически невозможно. А секретные чаты вообще хранятся исключительно на устройствах, которые в этих чатах участвуют, передаются в зашифрованном виде и не задерживаются на сервере.

В принципе за пределы внутренней сети мессенджера данные могут быть выданы только если пользователя подозревают в терроризме и на это есть ордер. В таком случае команда проекта выдаст правоохранительным органам номер телефона пользователя и его IP-адрес. Однако такого ещё ни разу не было.

Signal

Signal на данный момент считается самым приватным мессенджером. Им пользуются эксперты по безопасности мирового уровня, крупные предприниматели, скандально известный Эдвард Сноуден… и простые пользователи.

На своём сайте команда проекта заявляет, что для пользования сервисом необходим только номер телефона. Вся остальная информация добавляется опционально.

Более того, Signal хранит все переписки не на сервере, а на устройствах пользователей. Мессенджер использует облако только если адресат сообщения находится не в сети. В таком случае сообщение хранится в зашифрованном виде на сервере, а как только получатель заходит в сеть доставляется ему и удаляется с сервера.

Отдельное внимание заслуживает протокол шифрования. Он использует комбинацию приватных и публичных ключей шифрования, а также временных ключей, которые постоянно обновляются. Благодаря такой довольно сложной системе каждое отдельное сообщение шифруется отдельным ключом. Получить доступ к переписке можно только получив физический доступ к устройству.

Однако есть один потенциально опасный нюанс: коды верификации высылаются не самой командой проекта, а сторонней организацией. Конечно, она владеет лишь номером телефона и подчиняется политикам безопасности проекта, но в случае какого-нибудь инцидента эта сторонняя организация может эти данные потерять.

WhatsApp

Что касается политик безопасности WhatsApp, то следует отметить использование протокола шифрования Signal. Сквозное шифрование не позволит никому кроме участников переписки или звонка иметь доступ к информации. К тому же после доставки адресату сообщение автоматически удаляется с сервера.

Однако у мессенджера, как и у владеющей им компании Facebook, неоднократно наблюдались проблемы с безопасностью и приватностью данных. Например, переход на сквозное шифрование, по словам покинувшего компанию основателя мессенджера Брайана Эктона, прошёл очень неохотно.

Что касается данных, которые мессенджер собирает, то к ним относятся номер телефона пользователя, его сообщения (пока они ждут доставки адресату на сервере), данные о контактах и данные службы поддержки клиентов. Также приложение в автоматическом режиме собирает логи, данные по транзакциям, информацию об используемых девайсах и соединениях, а также куки и информацию об изменениях статуса (например, «в сети»).

Распространяться эта информация может как между пользователями мессенджера, так и третьим лицам. В некоторых случаях третьи лица обязаны соблюдать политики безопасности самого WhatsApp, а в некоторых использование ваших данных будет регулироваться внутренними политиками сторонней компании.

Viber

Что касается этого мессенджера, то он тоже использует протокол сквозного шифрования Signal. С сообщениями история та же: они хранятся на серверах компании только когда ждут доставки адресату, после чего удаляются и остаются только на устройствах собеседников. Однако сообщения в чат-ботах и дополнениях для чатов сквозным шифрованием не защищаются.

Групповые чаты в мессенджере защищены SSL-шифрованием.

Что касается собираемой информации, Viber требует доступ к данным аккаунта (имя, адрес электронной почты, номер телефона, платёжные данные), информации о социальных сетях (если пользователь получает доступ к аккаунту через них), информация о действиях (когда заходил в сеть, прочитал сообщение и т.д.). Также компания собирает данные о пользователях из сторонних источников, а ещё запрашивает некоторую информацию об используемых устройствах и их местоположении (уникальные идентификаторы, IP-адреса, операционная система, мобильный оператор и т.д.).

Распространяется собранная информация как внутри корпоративной группы компаний, так и за её пределы. Однако Viber обещают, что даже при передаче персональных данных пользователей (например, при слиянии компаний) организация приложит все усилия для сохранения конфиденциальности данных пользователей. А если какие-то пункты в политике конфиденциальности будут меняться, то в Viber будут требовать разослать уведомления об этом пользователям.

Вместо резюме

Конечно, у каждого мессенджера есть свои плюсы и минусы. И выбор на то или иное приложение, как правило, падает не из-за политик безопасности, а с учётом того, что удобнее и больше используется окружением конкретного пользователя. Однако всё-таки стоит помнить о приватности данных стараться выбирать как можно более безопасные способы общения.

К тому же политики конфиденциальности могут меняться: какие-то могли поменяться совсем недавно, какие-то меняются прямо сейчас, а какие-то поменяются в будущем. И от них будет зависеть безопасность ваших данных.

Но самое главное, что нужно запомнить — это то, что даже самые сильные протоколы шифрования не спасут ваши данные, если злоумышленник получит прямой доступ к устройству или возможность управлять им удалённо.

© .

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?