Почему WhatsApp никогда не станет безопасным

https://habr.com/ru/post/452054/
  • Информационная безопасность
  • Криптография
  • Управление продуктом
  • Софт
  • Социальные сети и сообщества


Автор колонки — Павел Дуров, основатель мессенджера Telegram



Мир, кажется, шокирован новостью о том, что WhatsApp превратил любой телефон в следящее устройство. Всё на вашем телефоне, включая фотографии, электронные письма и тексты, было доступно злоумышленникам только потому, что у вас установлен WhatsApp.

Однако эта новость меня не удивила. В прошлом году WhatsApp пришлось признать очень похожую проблему — хакер мог получить доступ ко всем данным вашего телефона через один видеозвонок.

Каждый раз, когда WhatsApp исправляет критическую уязвимость в своём приложении, на её месте появляется новая. Все вопросы безопасности хорошо подходят для слежки, они выглядят и работают как бэкдоры.

В отличие от Telegram, WhatsApp не открывает исходный код, поэтому исследователи безопасности не могут легко проверить, есть ли там бэкдоры. WhatsApp не только не публикует код, они делают прямо противоположное: WhatsApp специально обфусцирует бинарные файлы своих приложений, чтобы никто не мог их тщательно изучить.

Возможно, WhatsApp и её материнская компания Facebook даже обязаны реализовать бэкдоры — через секретные процессы, такие как секретные приказы ФБР. Нелегко запустить безопасный мессенджер, находясь в США. За неделю, проведённую нашей командой в США в 2016 году, к нам трижды пытались проникнуть агенты ФБР. Представьте, что произойдёт с американской компанией за 10 лет работы в такой среде.

Я понимаю, что силовые структуры оправдывают установку бэкдоров антитеррористическими усилиями. Проблема в том, что такие бэкдоры могут также использоваться преступниками и авторитарными правительствами. Неудивительно, что диктаторы, похоже, любят WhatsApp. Отсутствие безопасности позволяет им шпионить за своими гражданами, поэтому WhatsApp не блокируют в таких странах, как Россия или Иран, где Telegram запрещён властями.

Собственно говоря, моя работа над Telegram стала прямым ответом на личное давление со стороны российских властей. Тогда, в 2012 году, WhatsApp все ещё передавал сообщения открытым текстом. Это безумие. Не только правительства или хакеры, но и мобильные провайдеры и администраторы WiFi имели доступ ко всем текстам WhatsApp.

Позже WhatsApp добавил некоторое шифрование, которое быстро оказалось маркетинговой уловкой: ключ для расшифровки сообщений был доступен, по крайней мере, нескольким правительствам, включая Россию. Затем, когда Telegram начал набирать популярность, основатели WhatsApp продали свою компанию Facebook и заявили, что у них «конфиденциальность встроена в ДНК». Если это правда, то это, наверное, спящий или рецессивный ген.

Три года назад WhatsApp объявил, что они внедрили сквозное шифрование, поэтому «никакая третья сторона не может получить доступ к сообщениям». Это совпало с агрессивным призывом ко всем пользователям создать резервную копию своих чатов в облаке. При этом WhatsApp не сказал пользователям, что при резервном копировании сообщения больше не защищены сквозным шифрованием и могут быть доступны хакерам и правоохранительным органам. Блестящий маркетинг, в результате которого некоторые наивные люди теперь отбывают тюремный срок.

Тех, кто не поддался на постоянные всплывающие окна, рекомендующие создавать резервные копии своих чатов, всё ещё можно отследить с помощью ряда трюков — от доступа к резервным копиям контактов до незаметных изменений ключа шифрования. Метаданные, генерируемые пользователями WhatsApp — логи, описывающие, кто с кем и когда общается, — просачиваются во все агентства в больших объёмах через материнскую компанию. Кроме того, вы получаете набор критических уязвимостей, сменяющих друг друга.

У WhatsApp стабильная и последовательная история — от нулевого шифрования при создании до нынешних уязвимостей, странно подходящих для целей наблюдения. Оглядываясь назад, за их десятилетнюю историю не было ни одного дня, когда этот сервис был безопасным. Вот почему я не думаю, что простое обновление мобильного приложения WhatsApp сделает его безопасным. Чтобы стать сервисом, ориентированным на конфиденциальность, WhatsApp должен рискнуть потерей целых рынков и столкнуться с властями в своей стране. Они, кажется, не готовы к этому.

В прошлом году основатели WhatsApp покинули компанию из-за опасений за конфиденциальность пользователей. Они определённо связаны либо секретными приказами, либо NDA, поэтому не могут публично обсуждать бэкдоры, не рискуя потерять своё состояние и свободу. Однако они смогли признать, что «продали конфиденциальность своих пользователей».

Я могу понять нежелание основателей WhatsApp предоставить более подробную информацию — нелегко поставить под угрозу свой комфорт. Несколько лет назад мне пришлось покинуть свою страну после отказа соблюдать санкционированные правительством нарушения конфиденциальности пользователей «ВКонтакте». Это было неприятно. Но сделаю ли я что-то подобное снова? С удовольствием. Каждый из нас рано или поздно умрёт, но мы, как вид, останемся здесь на некоторое время. Вот почему я думаю, что накопление денег, славы или власти не имеет значения. Служить человечеству — это единственное, что действительно имеет значение в долгосрочной перспективе.

И всё же, несмотря на наши намерения, я чувствую, что мы подвели человечество во всей этой шпионской истории WhatsApp. Многие люди не могут прекратить использовать WhatsApp, потому что их друзья и семья всё ещё там. Это означает, что мы в Telegram проделали плохую работу, убеждая людей переключиться. Хотя за последние пять лет мы привлекли сотни миллионов пользователей, этого оказалось недостаточно. Большинство пользователей интернета по-прежнему остаются заложниками империи Facebook/WhatsApp/Instagram. Многие из тех, кто использует Telegram, также находятся на WhatsApp, то есть их телефоны по-прежнему уязвимы. Даже те, кто полностью отказался от WhatsApp, вероятно, используют Facebook или Instagram, оба из которых думают, что это нормально хранить ваши пароли в открытом тексте (я до сих пор не могу поверить, что техническая компания способна сделать что-то подобное и выйти сухой из воды).

Почти за шесть лет своего существования у Telegram не было серьёзных утечек данных или недостатков безопасности, которые WhatsApp демонстрирует каждые несколько месяцев. За те же шесть лет мы раскрыли ровно ноль байтов данных третьим лицам, в то время как Facebook/WhatsApp делятся любой информацией почти со всеми, кто утверждает, что работает на правительство.

Мало кто за пределами сообщества поклонников Telegram понимает, что большинство новых функций обмена сообщениями сначала появляются в Telegram, а затем копируются WhatsApp до мельчайших деталей. Совсем недавно мы стали свидетелями попытки Facebook заимствовать всю философию Telegram, когда Цукерберг внезапно заявил о важности конфиденциальности и скорости, практически слово в слово цитируя описание приложения Telegram в своей речи на конференции F8.

Но нытьё о лицемерии FB и отсутствии креативности не поможет. Мы должны признать, что Facebook выполняет эффективную стратегию. Посмотрите, что они сделали со Snapchat.

Мы в Telegram должны признать свою ответственность в формировании будущего. Либо мы, либо монополия Facebook. Либо свобода и приватность, либо жадность и лицемерие. Наша команда конкурирует с Facebook в течение последних 13 лет. Мы уже обыграли их однажды, на восточноевропейском рынке социальных сетей. Мы снова победим их на мировом рынке обмена сообщениями. Мы должны.

Это будет нелегко. Отдел маркетинга Facebook огромен. А мы в Telegram не занимаемся маркетингом. Мы не хотим платить журналистам и исследователям, чтобы они рассказывали миру о Telegram. Для этого мы полагаемся на вас — миллионы наших пользователей. Если вам достаточно нравится Telegram, вы расскажете о нём своим друзьям. И если каждый пользователь Telegram уговорит трёх своих друзей удалить WhatsApp и на постоянной основе использовать Telegram, то Telegram уже станет более популярным, чем WhatsApp.

Век жадности и лицемерия закончится. Начнётся эра свободы и приватности. Она гораздо ближе, чем кажется.
Currently unrated

Recent Posts

Archive

2019
2018
2017
2016
2015
2014

Categories

Authors

Feeds

RSS / Atom