Сторонние подрядчики WhatsApp. Кто на самом деле читает ваши сообщения

WhatsApp-сообщения: читать разрешено

Вопрос надежности коммуникации через мессенджер WhatsApp вызывает множество вопросов. Сервис WhatsApp, принадлежащий социальной сети Facebook, с начала года несколько раз становился фигурантом скандалов, так или иначе связанных с приватностью пользовательских данных. А последнее разоблачение вызвало активное обсуждение и в профессиональном сообществе специалистов по безопасности, и среди пользователей этого мессенджера.

Издание ProPublica опубликовало материал, в котором описало работу независимых подрядчиков, анализирующих сообщения пользователей WhatsApp. В статье рассказывается, что более тысячи сотрудников партнерских структур анализируют сообщения пользователей WhatsApp, на которые были получены жалобы. Для этого используется специальное ПО, разработанное Facebook, равно как и системы на базе искусственного интеллекта. В основном, речь идет о различных случаях мошенничества, спаме, картинках з недопустимым контентом (например, детское порно), угрозы, в том числе сообщения о возможных терактах.

Задача независимых модераторов – проанализировать контент и дать ему оценку или отреагировать на эти сообщения, например, заблокировать пользователя на платформе. Работая с проблемными сообщениями, модераторы также владеют информацией о пользователе, в частности, они знают его имя, номер телефона, данные других аккаунтов (в Facebook или Instagram), равно как и другие сведения, позволяющие идентифицировать человека.

Эта публикация ProPublica вновь подняла вопрос о ненадежности мессенджера WhatsApp, и это несмотря на заверения Марка Цукерберга в обратном. Основатель Facebook не раз называл WhatsApp одним из самых надежных средств для общения, акцентируя внимание на том, что существование сквозного шифрования, используемого в WhatsApp, делает все сообщения невидимыми для сторонних людей. Публикация ProPublica опровергает этот факт и в очередной раз заставляет сомневаться в идее Цукерберга о создании защищенной среды для общения с помощью его сервисов, о которой он много говорил в последние годы.

Банальная функция или недокументированная лазейка

Сенсация, описанная в материале ProPublica, блекнет после более внимательного анализа ситуации. Авторы не скрывают, что независимые подрядчики анализируют лишь те сообщения, на которые жалуются сами получатели. Сквозное шифрование, которым так гордится Марк Цукерберг, действительно защищает контент WhatsApp от вторжений из вне, в том числе и от прочтения сообщений сотрудниками компании.

Однако у каждого сообщения есть адресат – его получатель. Он читает содержимое месседжа и он же может пожаловаться на него. Именно в этом случае сообщение попадает в руки подрядчиков для анализа, а отправителя об этом предупреждают. Очевидно, что перед изучением сообщение дешифруют и уже потом разбирают и принимают решение о дальнейших действиях – достаточно ли просто предупредить отправителя о недопустимости подобного контента или же нужно заблокировать его номер телефона навсегда, без возможности восстановиться.

Карл Вуг (Carl Woog), директор WhatsApp по коммуникациям, подтвердил в комментариях ProPublica существование компаний-подрядчиков, анализирующих сообщения, на которые были получены жалобы. Правда, в WhatsApp их не называют "модераторами": "На самом деле мы обычно не используем этот термин для WhatsApp". В официальном комментарии представители WhatsApp подчеркнули: "Решения, которые мы принимаем в отношении нашего приложения, ориентированы на конфиденциальность наших пользователей, поддержание высокой степени надежности и предотвращение злоупотреблений".

Алекс Стамос (Alex Stamos), ранее занимающий должность директора по безопасности Facebook, заявил, что статья ProPublica "просто ужасна", подчеркнул, что авторы материала придумали его скандальность и связали между собой несколько несвязуемых вещей, в частности, защиту пользовательских данных и проверку сообщений. Кроме того, Стамос добавил, что в работе таких сервисов существует весьма сложный компромисс между защитой конфиденциальности пользователей и попыткой оградить этих же пользователей от оскорбительного поведения других. Стамос упомянул, что его работа в Facebook во многом состояла в попытках достичь этого сложного равновесия.

"Что может происходить в мессенджерах? Издевательства и домогательства; отправка нежелательных сообщений; торговля запрещенными веществами; сексуальное насилие над детьми и взрослыми; распространение дезинформации. Вы не сможете решить все проблемы, защищая конфиденциальность, но вы можете попробовать сделать это!", — добавляет Стамос, комментируя материал ProPublica.

Глобальные проблемы WhatsApp

История с публикацией ProPublica – это не первый скандал, связанный с приватностью и надежностью WhatsApp. Предыдущее громкое обсуждение WhatsApp в январе этого года привело к всплеску популярности альтернативных защищенных мессенджеров Telegram и Signal.

В конце 2020 года проект WhatsApp сообщил о введении новых правил работы с пользовательскими данными. Эти правила должны были вступить в силу 8 февраля 2021 года. В компании заявили, что пользователи должны дать явное согласие на принятие этих правил, иначе они будут лишены возможности пользоваться мессенджером.

Суть изменений, о которых упоминалось в новых правилах WhatsApp, состояла в более тесной интеграции мессенджера с социальной сетью Facebook, которой он принадлежит. В новых правилах шла речь о том, что у пользователей будет существовать фактически единый профайл разных сервисов Facebook и компания будет использовать данные одного профайла в других сервисах. Это необходимо Facebook для разных целей, в первую очередь, для улучшения показа рекламы. К примеру, если в WhatsApp человек обсуждает покупку дивана, но в результате такой интеграции в Facebook на него может таргетироваться реклама магазинов, продающих диваны.

Вторая причина – более глобальна. Претензий американских регуляторов относительно монопольного положения компании Facebook на рынке социальных сетей никуда не делись. И среди способов исправить ситуацию все еще звучат предложения разделить компанию Facebook на отдельные независимые структуры. Тем более, что такое разделение более чем логично – фактически соцсеть состоит из трех крупных проектов – собственно Facebook, мессенджер WhatsApp и фотосервис Instagram (плюс более мелкие проекты). Объединение профайлов, о котором шла речь в новой редакции пользовательского соглашения, происходило с одновременным объединением этих данных на уровне архитектуры. Соответственно, при попытке заставить Facebook разделиться на три отдельные структуры у руководства фирмы будет вполне логичный аргумент о том, что это плохо отразиться на конечных пользователях ее сервисов.

История с новыми правилами WhatsApp вызвала интерес к альтернативным мессенджерам – тогда некоторые страны мира отказались от WhatsApp, а пользователи стали массово регистрироваться в Telegram и Signal, особенно после того, как последний порекомендовал Илон Маск.

В результате этой истории WhatsApp отстрочил введение новых правил и после января этот вопрос об объединении данных аккаунтов не поднимался. За этот год у WhatsApp были другие проблемы с приватностью, в частности, власти Германии запретили собирать мессенджеру данные пользователей этой страны. А уже в начале сентября ирландский регулятор оштрафовал WhatsApp на $267 млн из-за нарушения конфиденциальности пользовательских данных.

Долгое время сервис критиковали за частичное использование сквозного шифрования – архивы сообщений, хранимые на серверах компании, не были защищены. И только несколько дней назад WhatsApp устранила этот серьезный недостаток.

Существует ли по-настоящему защищенный мессенджер

Все эти новости заставили еще раз поднять вопрос о том – существует ли защищенный мессенджер, который бы обеспечивал полноценное сквозное шифрование, защищал от перехвата переписок и от взлома и гарантировал полную конфиденциальность пользовательских данных.

Этот вопрос давно интересует многих людей, равно как и изучается экспертами и независимыми организациями. Так некоммерческая организация Electronic Frontier Foundation, занимающаяся защитой цифровых прав и приватности, еще несколько лет назад представила собственный рейтинг защищенных мессенджеров.

Однако недавно перед сводной таблицей, в которой оценены критерии надежности разных программ для общения, появилось предупреждение о том, что сегодня этот рейтинг нельзя рассматривать как универсальное руководство по выбору защищенного мессенджера – ввиду сложности организации защищенной среды в принципе. Даже самый защищенный мессенджер можно легко взломать, если не побеспокоиться о защите смартфона или воспользоваться фишинговой ссылкой с последующим заражением гаджета опасным ПО.

Если несколько лет назад интернет-рынок пережил настоящий бум защищенных мессенджеров, то сегодня все больше кейсов говорят о том, что полной защиты в коммуникациях не существует.

Компаниям, владеющим мессенджерами, приходится балансировать между конфиденциальностью и безопасностью своих зашифрованных платформ. Они должны работать в правовом поле и не нарушать закон. Поэтому часто сам факт шифрования вызывает проблемы с властями. Время от времени правоохранительные органы разных стран требуют отказаться от шифрования – например, в июне 2020 года несколько американских сенаторов представили законопроект "О законном доступе к зашифрованным данным", в нем упоминается требование к платформам предоставлять доступ к зашифрованному контенту по запросу правоохранителей. Несколько месяцев назад власти Индии ввели новые правила работы с пользовательскими данными, согласно которым мессенджеры должны передавать данные об отправителе сообщений по запросу властей. Выполнение этого требования означало бы отказ от сквозного шифрования. В WhatsApp подали в суд на правительство Индии и пытаются оспорить эти правила.

Необходимость работать в правовом поле, а также попытка сохранить WhatsApp, равно как и любую другую платформу для коммуникации, безопасной средой для общения, предполагает некоторые уступки относительно конфиденциальности пользовательских данных – именно это объяснил глава компании в интервью, опубликованном после статьи ProPublica. Компания не может не реагировать на жалобы пользователей или запросы властей, иначе ее продукт превратиться инструмент, использующийся в незаконной деятельности.

Поэтому ответ на вопрос относительно защищенных мессенджеров невозможен без понимания, зачем и кому нужна такая платформа. Если для того, чтобы общаться и быть уверенными от того, что переписку прочитает третья сторона, то для этого достаточно выбрать мессенджер с функциями сквозного шифрования. Конкретные названия можно найти в рейтинге EFF или по этой ссылке. Другие ситуации, которые находятся в противоречии с уголовным кодексом, предполагают использование других инструментов, их можно найти в закрытых интернет-средах Dark Web.