• USD 39.4
  • EUR 42.3
  • GBP 49.5
Спецпроєкти
Рус
Техно

Слідами Оруелла. Який месенджер найлегше зламати

Ні один додаток для обміну повідомленнями не можна назвати повністю захищеними від злому
Тимофій Кондратенко
Тимофій Кондратенко
Фото: melpravda.com
Фото: melpravda.com
Реклама на dsnews.ua

У Єврокомісії обговорюють новий законопроект про захист електронної інформації ePrivacy. У разі прийняття він дозволить обмежити доступ телекомунікаційних і інтернет-компаній до особистих даних і повідомлень користувачів. У першу чергу це торкнеться популярних сервісів для обміну повідомленнями на зразок Gmail, Viber, Facebook Messenger, Skype, WhatsApp, iMessage та ін.

Користувачі отримають більш детальні налаштування онлайн-приватності і конфіденційності сервісів доведеться запитувати дозвіл клієнта для показу таргетованої реклами на основі його особистих даних. Між тим новий законопроект передбачає можливість використання додаткової інформації, такої як місце розташування користувача і тривалість розмов. Правда, тільки в тому випадку, якщо вони самі дадуть згоду на використання таких даних.
Чому міжнародні інститути взялися за захист персональних даних користувачів?

На сьогодні кількість людей, що довіряють свої дані інтернет-компаніям, величезна. Сервіс для обміну повідомленнями WhatsApp, зараз належить Facebook, взяв знаковий рубіж в 1 млрд щомісячних користувачів у лютому 2016 р. У Facebook Messenger мільярдний зареєстрували акаунт у липні 2016-го. Сервіс Viber в грудні 2016-го обслуговував 800 млн активних користувачів.

На конференції F8 Facebook Developer Conference 2016 було оголошено, що сукупно у Facebook Messenger і WhatsApp щодня відправляють 60 млрд повідомлень. З допомогою традиційних SMS їх передають в три рази менше - близько 20 млрд.

З моменту появи месенджерів в мережі регулярно з'являються повідомлення про чергові зломах, вразливості або проблеми їхньої безпеки. У гонитві за черговими мільйонами активних користувачів, прагнучи наростити обчислювальні потужності і оперативно масштабуватися, розробники цих програм відсувають безпеку і конфіденційність інформації на другий план.

Між тим доцент кафедри організаційного поведінки вищої школи бізнесу в Стенфорді Міхал Косинський стверджує: достатньо проаналізувати 70 лайків на Facebook, щоб зрозуміти характер людини краще, ніж його друг, 150 лайків - щоб розуміти краще, ніж батьки, 300 - краще, ніж партнер. Якщо додати ще трохи, то "великий брат" з роману Джорджа Оруелла "1984" буде передбачати поведінку людини точніше, ніж він сам.

Скандали, інтриги, розслідування

Реклама на dsnews.ua

Один з найгучніших скандалів, пов'язаних з конфіденційністю даних, стався в 2014 р. Тоді компанія Facebook за значні $16 млрд купила популярний месенджер WhatsApp. Після цього WhatsApp вперше за кілька років вніс зміни до умов користування і політику конфіденційності: компанія стала ділитися номером телефону абонента з Facebook.

Така передача особистих даних пояснювалася благими намірами: WhatsApp обіцяв покращити боротьбу зі спамом, оповіщати користувачів про затримки авіарейсів, підозрілої активності банківського рахунку, крім того, мова йшла про більш зручному пошуку друзів в обох мережах. Але головне завдання подібних змін - підбір реклами, яка точно відповідає бажанням клієнта. Тоді в мережі з'явилося безліч порад, як заборонити WhatsApp ділитися номером телефону з Facebook.

У тому ж 2014-му дослідники з Університету Нью-Хейвена в штаті Коннектикут виявили уразливість в WhatsApp: Ібрагім Баггили і Джейсон Мур повідомили, що популярний мессенжери передає дані про місцезнаходження користувачів в незахищеному вигляді і така інформація може бути легко перехоплені третьою стороною.

Через деякий час ці ж фахівці з кібербезпеки знайшли вразливість і в додатку Viber. Виявилося, що популярний сервіс обміну повідомленнями передає і зберігає дані, включаючи зображення, відеозаписи, дадлі і дані про місцезнаходження користувача, в незашифрованому вигляді. Інформація не віддалялася після отримання приймаючою стороною, а продовжувала зберігатися на серверах Viber.

Отримати доступ до неї не становило ніякої складності - дослідникам знадобився звичайний комп'ютер з Windows в якості точки доступу Wi-Fi. Переписка велася між двома звичайними Android-смартфонами з встановленим Viber, а на комп'ютері програма аналізувала трафік, який йшов між цими смартфонами.

Дослідники стверджували, що незашифровані дані можуть бути отримані з серверів компанії будь-яким користувачем, який знає URL повідомлення. На відео, яке фахівці зняли і виклали в загальний доступ, було видно, що Viber не вимагає ніякої ідентифікації при запиті доступу до інформації на серверах. І перехопити її можна було як у точках доступу Wi-Fi, так і в будь-яких інших проміжних вузлах мережі.

Компанію Viber Media відразу повідомили про проломи в безпеці, але та ніяк не відреагувала. Правда, через деякий час було випущено оновлення месенджера, в якому недолік усунули.

Цей скандал в історії Viber далеко не єдиний. У липні 2013 р. увагу фахівців привернув екран блокування Android-смартфона, на якому був запущений Viber. Виявилося, що смартфон можна легко розблокувати, використовуючи спливаючі повідомлення месенджера. В квітні 2013-го офіційну сторінку Viber для підтримки користувачів і зовсім зламала Syrian Electronic Army. За словами офіційних представників компанії, користувальницькі дані не постраждали.

Проблеми з безпекою особистих даних є і у інших месенджерів. У 2015-му в веб-версії WhatsApp була знайдена помилка, яка давала практично необмежені можливості для злому. Для успішної атаки потрібно знати номер телефону користувача і скласти спеціальним чином карту vCard (електронну візитку). До vCard прикладався будь виконуваний файл. Користувач, відкриваючи картку vCard, автоматично запускав на своєму комп'ютері захований в карті файл.

Влітку 2016 р. компанія Falcongaze - розробника рішень в області інформаційної безпеки і моніторингу бізнес-процесів - заявила, що в їхньому корпоративному програмному продукті SecureTower з'явилася функція контролю спілкування співробітників в месенджері Telegram. Анонсувався перехоплення всіх чатів, зображень, файлів і голосових повідомлень в месенджері Telegram з робочих комп'ютерів співробітників. Керівник Telegram Павло Дуров швидко заспокоїв користувачів, зазначивши, що новий сервіс не може автоматично перехоплювати чужі повідомлення. Для успішної "прослушки" у "жертви" повинна бути встановлена спеціальна програма. Яка по своїй суті є трояном від Falcongaze.

В Ірані місцева угруповання хакерів зламала багато акаунтів в месенджері Telegram і зуміла визначити телефонні номери 15 млн користувачів. Оскільки в Ірані заборонені Facebook і Twitter, Telegram тут є одним з найбільш популярних соціальних сервісів - його активно використовують політики, журналісти, громадські активісти.

Передбачається, що за нападом стоїть хакерське угруповання Rocket Kitten, яку пов'язують з іранським Корпусом вартових ісламської революції. Швидше за все, хакери отримали доступ до месенджеру жертв через SMS-авторизацію: при спробі увійти в акаунт Telegram з іншого пристрою користувачеві приходить SMS з кодом доступу для входу. Отримавши код доступу, хакери можуть увійти в обліковий запис з інших пристроїв і стежити за листуванням власника. В даному випадку стільникові оператори були в змові з хакерами і передавали їм код в SMS. Таким чином, авторизація за допомогою SMS робить Telegram (та й будь-який інший месенджер) уразливим в країні, де оператори мобільного зв'язку знаходяться у власності або під тиском уряду. Від подібних атак можна захиститися за допомогою пароля, який змінюється тільки через електронну пошту.

Цікаво, що після цих подій команда Telegram оголосила, що номери телефонів 15 млн іранських користувачів, які отримали хакери, не є закритою інформацією. Малося на увазі, що зловмисники просто перевірили, чи зареєстровані конкретні телефонні номери користувачів в месенджері. Доступ до акаунтів вони отримати не змогли. За повідомленням Telegram, можливість такого "перебору номерів" була закрита ще в 2015 р.

Snapchat - популярний мобільний додаток обміну повідомленнями з прикріпленими фото і відео - теж зазнало злому. На початку 2014 р. сервіс проігнорував попередження про потенційну вразливість. Через деякий час в інтернет потрапили 4,6 млн телефонів та імен користувачів Snapchat з США. Хакери повідомили, що мета цієї акції - показати людям, що слід бути дуже обережним, коли довіряєш свою інформацію різним компаніям і сервісів.

Вже у жовтні 2014-го в мережі виявилися не телефонні номери та імена, а понад сто тисяч особистих фотографії і відео користувачів. У прес-службі Snapchat тоді заявили, що їх сервери ніхто не зламував - справа нібито в сторонніх додатках, що дозволяють відправляти і отримувати повідомлення".

Мабуть, найбільш відомої витоком особистих даних став злам Apple iCloud восени 2014-го. Тоді у мережі з'явилися відверті фотографії кінозірок і знаменитостей - Ріанни, Кірстен Данст, Дженніфер Лоуренс, Дженні Маккарті, Кейлі Куоко і багатьох інших. Причому Дженніфер Лоуренс і Мері Уїнстед підтвердили достовірність знімків, а Аріана Гранде і Вікторія Джастіс заявили, що фото фальшиві.

Невідомі хакери виклали частину отриманих фотоматеріалів у відкритий доступ в Мережі - повний архів "без цензури" деякий час намагалися продати за криптовалюту Bitcoin.

Швидше за все, причиною витоку стала уразливість в сервісі Apple iCloud, який синхронізує фотографії з iPhone і iPad. Apple тоді відреагувала досить розпливчастим заявою: "Коли ми дізналися про крадіжку, то були обурені і негайно направили фахівців Apple, щоб з'ясувати джерело. Після більше 40 годин розслідування ми виявили, що ряд облікових записів знаменитостей були скомпрометовані внаслідок цілеспрямованої атаки на логіни, паролі, секретні питання - практикою, занадто поширеної в мережі. Жоден з випадків, які ми розслідували, не зумовлений якою-небудь проломом в будь-якій з систем Apple, включаючи iCloud і Find my iPhone".

Насправді є нюанс: за кілька днів до масової витоку фахівці з кібербезпеки встановили, що у сервісу Apple Find my iPhone немає захисту від брутфорса (послідовного перебору паролів). У мережі з'явився написаний на мові Python скрипт ibrute. З його допомогою зловмисники отримали можливість підбирати пароль нескінченно, не побоюючись будь-якої блокування чи повідомлення власника облікового запису про спроби злому.

Таким чином, багато популярні додатки для обміну повідомленнями іноді обходяться користувачам дуже дорого. Якою б великою і авторитетної компанії б ви не довірили свої дані, шанс на витік інформації залишається завжди.

Який же мессенжери самий захищений

Сервіс WhatsApp з 2014 р. частково використав наскрізне шифрування (end-to-end encryption). Суть цього шифрування зводиться до того, що надсилаються безпосередньо (без участі сервера) дані залишаються зашифрованими до тих пір, поки не досягнуть пристрою вашого співрозмовника, на якому вони і можуть бути розшифровані. Таким чином, перехоплення повідомлень і файлів на проміжних ділянках неможливий.

Вже навесні 2016-го технологія наскрізного шифрування була впроваджена для всіх користувачів WhatsApp за замовчуванням. Засновник компанії Ян Кум з цього приводу зазначив наступне: "Тепер, якщо ви і ваші контакти користуєтеся останньою версією програми, кожен вчинений вами дзвінок і кожне повідомлення, фотографія, відео або голосове повідомлення, надіслане вами, - повністю зашифровані. У тому числі і в групових чатах. Ідея проста: коли ви посилаєте повідомлення, єдиним, хто зможе його прочитати, буде людина або група людей, яким ви його відправили. [Більше] ніхто його не побачить. Ні кіберзлочинці. Ні хакери. Ні репресивні режими. Навіть ми".
Через деякий час наскрізне шифрування з'явилося і в Viber. Також для всіх видів дзвінків і повідомлень, включаючи групові чати.

У жовтні 2016 р. "секретні" чати з наскрізним шифруванням з'явилися і в Facebook Messenger. Сервіс обміну повідомленнями Telegram також підтримує наскрізне шифрування. За аналогією з Facebook Messenger там ця функція працює для "секретних чатів", розрахованих на двох співрозмовників.

Таким чином, у поточних версіях WhatsApp, iMessage і Facetime шифрування працює за замовчуванням для всіх контактів. А в Facebook Messenger і Telegram захищений режим листування потрібно включати для кожного співрозмовника окремо.

Восени 2016-го міжнародна правозахисна організація Amnesty International склала свій рейтинг захищеності сервісів обміну повідомленнями від несанкціонованого доступу до листування користувачів. Всього у рейтингу брали участь 16 месенджерів від 11 компаній. "Конкурсантів" оцінювали по цілому ряду параметрів.

Рейтинг склали по 100 бальній системі, але найвищу оцінку не отримав ніхто. Перше місце розділили Facebook Messenger і WhatsApp (по 73 бала). Далі - iMessage, FaceTime і Telegram, які набрали по 67 балів. Viber отримав 47 балів, Skype 40, Snapchat 26 і Blackberry 20. Рейтинг замкнули китайські месенджери QQ і WeChat, які отримали по 0 балів.

Під ковпаком спецслужб

Першого вересня 2015 р. в Росії вступив в силу спірний закон "Про персональних даних". Він зобов'язав місцеві та іноземні компанії зберігати і обробляти особисту інформацію росіян на території країни. Стежить за його виконанням Роскомнадзор, причому в разі порушення онлайн-сервіс компанії буде внесений у реєстр порушників і заблокований.Цікаво що Viber, Apple і Google перенесли свої сервери з персональними даними російських громадян в Росію. А про дії Facebook на цей рахунок нічого не відомо. Таким чином, доступ російських спецслужб та інших органів, до особистих даних і "неугодних" користувачів значно спростився.

В Україні ж у березні 2016 р. стався цікавий "обмін люб'язностями" між керівником Національного антикорупційного бюро України Артемом Ситником і главою WhatsApp Яном Кумом. Ситник стверджував, що "зняти інформацію і з Viber, і з WhatsApp, використовуючи можливості СБУ, реально". Засновник WhatsApp Ян Кум відреагував у Twitter так: "Спеціально для Артема Ситника: використання технології наскрізного шифрування передбачає, що ніхто не може читати чужі особисті повідомлення".

В цей же час в США був відкликаний позов, відомий як "ФБР проти Apple". Події почалися ще в кінці 2015-го, коли стався масовий розстріл в каліфорнійському містечку Сан-Бернандіно. ФБР хотіло отримати дані з заблокованого смартфона iPhone 5 злочинця, оскільки там могли міститися важливі контакти екстремістських мереж. При цьому слідчі не хотіли самі здійснювати злом, побоюючись автоматичного знищення інформації. Федеральне бюро розслідувань звернулося до компанії Apple за допомогою, але отримало відмову. Закономірний результат: ФБР подає в суд на Apple. Суддя округу Лос-Анджелес зобов'язала Apple надати слідчим "технічну підтримку в розумних межах". У відповідь на позов директор Apple Inc. Тім Кук вважає, що вимога ФБР загрожує безпеці всіх клієнтів компанії і буде мати далекосяжні наслідки, які виходять за межі конкретної справи.

Через деякий час Міністерство юстиції США раптово відкликав свій позов проти Apple з проханням скасувати припис, що зобов'язує корпорації надати допомогу владі у зломі iPhone. Офіційне пояснення дуже цікаве: фахівцям ФБР вдалося зламати телефон. Компанія Apple ситуацію ніяк не прокоментувала. Однак питання залишається: ФБР вдалося зламати конкретний iPhone злочинця, або у спецслужб тепер є своя "універсальна відмичка" до всіх iPhone?

    Переглянути ще
    Реклама на dsnews.ua