Более одного миллиарда человек хотя бы раз в месяц обмениваются сообщениями с друзьями, родственниками и коллегами с помощью WhatsApp. Проблема: около 42 миллиардов сообщений, ежедневно проходящих через серверы WhatsApp, до сих пор мог прочитать любой, обладающий соответствующими ресурсами и необходимыми знаниями, в том числе спецслужбы и хакеры. Теперь WhatsApp, благодаря общему для системы принципу сквозного шифрования, осложнит им жизнь.

Многие пользователи, однако, сомневаются, что этот мессенджер, принадлежащий компании Facebook, сможет выполнить то, что обещает, то есть предоставить защищенное соединение, которым действительно может управлять каждый. Мы внимательно рассмотрели ситуацию и расскажем вам, насколько в реальности надежен WhatsApp.

Протокол шифрования Signal

Проверка шифрования.
Чтобы узнать, шифруются ли ваши сообщения, выберите в настройках приложения пункт «Аккаунт | Безопасность».

Для шифрования сообщений WhatsApp использует протокол Signal с открытым исходным кодом (ранее протокол носил имя Axolotl), в разработке которого участвовал Мокси Марлинспайк - специалист в области кибербезопасности. Марлинспайк, обладающий великолепной репутацией в кругах IT-безопасности, является основателем организации-разработчика программного обеспечения Open Whisper Systems, которая, в частности, выпустила крипто-мессенджер Signal.

С технической точки зрения у протокола Signal речь идет об асимметричном методе шифрования с использованием открытых ключей. Пары ключей, необходимые для шифрования/дешифрования, генерируются на смартфоне уже при установке клиента WhatsApp. Когда пользователь входит в систему WhatsApp, публичные ключи сохраняются на серверах этого мессенджера. Согласно положениям технической документации, серверы WhatsApp не обладают доступом к частным ключам, поэтому они локально хранятся на смартфоне. Это означает, что пользователь не должен ни вводить ключ, ни держать его в голове: сам смартфон как бы становится ключом. WhatsApp шифрует все содержание, от простого текста до голосового сообщения. Это же положение имеет силу и для звонков с использованием сервиса. Перед обменом первыми сообщениями клиенты смартфонов собеседников путем обмена публичными ключами согласовывают общий корневой ключ и серийный ключ.

Затем на базе последнего для каждого сообщения создается собственный кратковременный ключ. Поскольку все ключи постоянно обновляются, как при использовании метода «совершенной прямой секретности» (Perfect Forward Secrecy), злоумышленник, знающий отдельные ключи, не может расшифровать ни будущие, ни предыдущие сообщения.

Дополнительный контроль.
Сведения о том, зашифрован ли чат, также находятся в контекстном меню чата, в пункте «Посмотреть контакт».

Так как до последнего времени отсутствовали сообщения об уязвимостях в протоколе Signal (мнимый взлом WhatsApp разработчиком антивируса Джоном Макафи был впоследствии представлен как пиар-ход), данное шифрование можно считать надежным. Однако это действует только до тех пор, пока связь осуществляется между двумя смартфонами. Уязвимое место все же существует - это веб-клиент и клиент для настольного ПК.

Начиная с прошлого года WhatsApp можно использовать на компьютере - через браузер. В мае 2016 года также были выпущены клиенты для Windows и Mac OS X. В принципе, эти приложения представляют собой тип дистанционного управления для приложения смартфона, которые «отражают» аккаунт со всем его контентом на компьютере. Для этого достаточно отсканировать с помощью приложения смартфона QR-код в веб- или десктопном клиенте. Далее компьютер создает защищенное HTTPS-соединение со смартфоном, однако не локальное, например, через беспроводную сеть, а через Интернет.

Веб-клиент как «слабое звено»

Шифрование только с обновлением.
Сообщения шифруются только в том случае, если оба собеседника обновили свои приложения до последней версии.

Для сквозного шифрования это представляет собой большую проблему. Если верно, что, как указано в документации к мессенджеру WhatsApp, сервер не имеет доступа к частным ключам пользователя, то это же условие имеет силу и для веб- или десктопных клиентов, которые синхронизируются со смартфоном через сервер WhatsApp. Это означало бы, что сквозное шифрование сообщений между этими клиентами и приложением смартфона прекращено и заменено более слабым транспортным шифрованием, представляющим собой уязвимое место для так называемых атак «человек посередине» (Man-in-the-Middle).

В другом возможном сценарии, при котором связь между приложением смартфона и удаленным клиентом была зашифрована по методу сквозного шифрования, частные ключи пользователя должны были бы передаваться через Интернет. Так как при этом они могли бы быть перехвачены, это означало бы катастрофический крипто-провал.

Разработчики WhatsApp молчат по этому вопросу: веб- и десктопные клиенты не упоминаются в документации, и на соответствующий запрос от Chip не было получено ответа. Не имеет значения, какой сценарий применяется для внешних клиентов: тот, кто придает большое значение сквозному шифрованию, не должен вмешиваться в процесс.

Нет ничего проще

Полный доступ.
WhatsApp запрашивает доступ ко многим данным, начиная с Android 6 возможно ограничить права доступа.

Что касается удобства шифрования, то здесь WhatsApp все делает правильно - проще вряд ли получится. Для включения сквозного шифрования оба собеседника (или, в случае группового чата, все участники) должны обновить приложение до последней версии.

Поскольку WhatsApp периодически выпускает обязательные обновления, повсеместное распространение сквозного шифрования является лишь вопросом времени. Однако все варианты WhatsApp, независимо от операционной системы, поддерживают шифрование. Тот, кто хочет знать, использует ли шифрование его приложение, может проверить это в настройках аккаунта, в пункте «Шифрование». Использует ли шифрование собеседник, можно узнать в контекстном меню чата, в пункте «Посмотреть контакт | Шифрование».

Существует дополнительная опция верификации публичного ключа собеседника, посредством сканирования обоими пользователями QR-кода с дисплея смартфона другого человека. Для этого необходимо выбрать контакт в списке контактов, далее нажать на кнопку с изображением трех точек в верхнем правом углу экрана, перейти в «Посмотреть контакт | Шифрование» и следовать указаниям программы (см. стр. 53).

Наряду с шифрованием собственно содержания сообщений WhatsApp также шифрует метаданные и сведения о личностях собеседников и длительности их общения. Эти данные передаются, однако, с использованием не сквозного, а транспортного шифрования, для «сокрытия от неправомочных сетевых наблюдателей», как это названо в документации. Говоря проще, это означает, что WhatsApp и, вероятно, также материнская компания Facebook, имеют доступ к этим данным.

То, что социальная сеть «не дружит» с защитой данных, достаточно широко известно. WhatsApp, кажется, тоже не придает большого значения информированию пользователей о том, что происходит с их данными. В частности, пользовательское соглашение с WhatsApp на официальном сайте доступно пока только на английском языке.

В WhatsApp также не следует путать шифрование с анонимностью. Тому, кто придает этому факту большое значение или не желает предоставлять компании Facebook доступ к личной адресной книге, следует обратиться к альтернативным крипто-мессенджерам.

Альтернативные крипто-мессенджеры

Большинство альтернатив мессенджеру WhatsApp пока не столь популярны, зато зачастую предлагают даже более широкие возможности. Недоверчивые могут использовать альтернативы для обмена важными данными, например, для деловой переписки. Мы представляем три таких мессенджера:

Signal (ранее TextSecure)

Представляет собой бесплатный мессенджер с открытым исходным кодом для Android и iOS, разработанный компанией Open Whisper Systems. Наряду с зашифрованными текстовыми сообщениями и телефонными разговорами также можно обмениваться незашифрованными SMS и MMS. Для сквозного шифрования применяется протокол Signal, используемый и в WhatsApp. С апреля 2016 года доступна бета-версия клиента для настольных компьютеров.

Бесплатный и не содержащий рекламы мессенджер, доступный для всех основных платформ. Наряду с обычной функцией обмена сообщениями, в нем также существует возможность передачи сообщений со сквозным шифрованием в так называемых «тайных чатах». Telegram был разработан основателем социальной сети «ВКонтакте» Павлом Дуровым. Однако, согласно его собственному высказыванию, мессенджер не связан ни с сайтом «ВКонтакте», ни с Россией. Штаб-квартира компании расположена в Берлине.

Как и Signal, передает все сообщения с использованием сквозного шифрования. Наряду с текстами можно отправлять изображения, видео, местонахождение, голосовые сообщения и присоединяемые файлы размером до 20 Мбайт. Сервера Threema, как и главный офис компании, расположены в Швейцарии. Приложение доступно для Android, iOS и Windows Mobile, его стоимость составляет 179 (Android) и 229 рублей (iOS). Кроме того, разработан вариант мессенджера (Threema Work), адаптированный для предприятий.

БОЛЬШОЙ БРАТ БДИТ.

Все «под колпаком». Российские спецслужбы взялись за WhatsApp и Viber

Все мировые спецслужбы (российские в том числе) стремятся знать о нас все. Прослушкой телефонов сейчас уже никого не удивить, но прогресс не стоит на месте, и на смену старым приходят новые способы связи - IP-телефония, чаты и мессенджеры, которые хоть и медленно, но неуклонно берут под свой контроль чекисты. С ноября 2016 года ФСБ получила техническую возможность перехвата информации, отправляемой пользователями таких популярных мессенджеров, как WhatsApp и Viber. Теперь на базе их дата-центров появились сервера, подключенные к системе СОРМ (система технических средств для обеспечения функций оперативно-разыскных мероприятий). Причем сотрудникам МВД эти возможности пока недоступны. А вот оперативникам ФСБ они могут сильно помочь в раскрытии резонансных преступлений, а также в борьбе с терроризмом и коррупцией.

Впервые система подобного типа в нашей стране стала использоваться еще в 1996 года для прослушки мобильных телефонов. У каждого оператора связи установлена аппаратура, позволяющая силовикам в любой момент в режиме реального времени получить доступ к разговорам любого клиента. С точки зрения закона, все «чисто». Помимо того что, в соответствии с 23 статьей Конституции, по решению суда допускается ограничение тайны связи, права и свободы гражданина могут быть ограничены федеральным законом в случае, если это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. В общем, правоохранителям есть где развернуться, обосновывая необходимость на прослушку и тому подобное. Впрочем, если для непосредственного прослушивания разговоров требуется официальное судебное решение, то для получения другой информации (например, о фактах совершения вызовов) санкции суда не требуются. Кроме того, сотрудник ФСБ или МВД должен только получить ордер, но не предъявлять его оператору связи, которому запрещается требовать этот документ при отсутствии со своей стороны допуска к государственной тайне.

В связи с ростом пользователей интернета в 2000-м появляется так называемая СОРМ-2, при помощи которой спецслужбы могут получать доступ ко всему проходящему через провайдера интернет-трафику. И несмотря на то, что подобные меры обосновываются главным образом борьбой с экстремизмом и терроризмом, мы зачастую узнаем об использовании спецсредств во время борьбы с оппозицией. Например, так было со «сливом» через Life телефонных разговоров Бориса Немцова в канун очередных массовых митингов в 2011 году (откуда у издания эти записи − никто не объяснил), или с проверкой жертвователей выборной компании Алексея Навального во время выборов в мэры Москвы в 2013 году. Пожертвования происходили через платежную систему Яндекс.Деньги. Тогда Генпрокуратура РФ обнаружила, что IP-адреса более 300 отправителей находятся за пределами России, что запрещено законом. Сразу уточним, что иностранный IP-адрес еще не означает, что за ним стоит иностранный гражданин. Оставалось непонятным и то, каким образом Генпрокуратура получила эти данные. По словам представителя «Яндекса» Аси Мелкумовой, к ним прокуратура не обращалась.

Однако из-за огромного пласта различных данных, проходящих через провайдера, да еще и в зашифрованном виде, функциональность СОРМ-2 представляется малоэффективной − приходилось «перелопачивать» множество информации, не относящейся к интересующему делу, в то время как нужна была более узкая выборка.

Тогда решили зайти с другой стороны. 31 июля 2014 года премьер-министр Дмитрий Медведев подписал постановление, согласно которому соцсети, форумы и любые сайты для общения, доступные всем пользователям интернета, должны подключать оборудование и программное обеспечение, позволяющее спецслужбам в автоматическом режиме получать информацию о действиях пользователей этих сайтов. Началась эра СОРМ-3.

Однако с мессенджерами, отправляющими сообщения со смартфонов, дело обстояло иначе, поскольку они работают «поверх» инфраструктуры операторов связи. Если передающуюся информацию еще можно перехватить, то практически невозможно расшифровать. Поэтому выход в данном случае был один - хакерская атака. Как это, например, произошло с перепиской в Telegram сотрудника Фонда борьбы с коррупцией Георгия Албурова и директора НКО «Образ будущего» Олега Козловского. В конце апреля этого года оппозиционеры заявили, что их аккаунты были взломаны. Причем, по словам Албурова, ФСБ смогло осуществить это с помощью МТС.

К слову, и зарубежные спецслужбы не скрывают, что добывают информацию теми же методами. Вспомним историю с попыткой ФБР получить данные с iPhone одного из террористов, убивших 14 человек в Калифорнии в декабре 2015 года. Apple тогда отказалась помогать Федеральному бюро расследований, и те воспользовались услугами хакеров. Тем более что некоторые компании открыто предлагают ПО для взлома как электронных носителей, так и информации, находящейся в интернете или передающейся с его помощью. Так делает Elcomsoft (российская, кстати, компания), в числе прочего производящая различные «инструменты для криминалистов», необходимые для извлечения данных, хранящихся в памяти телефонов, в «облачных» хранилищах, подбора паролей к файлам и т. д. И доступны они не только спецслужбам - купить их может любой желающий прямо на сайте.

Однако все эти способы не были 100%-ми, поэтому между российскими законодателями и правоохранительными органами с одной стороны и владельцами мессенджеров с другой начались «бои» для налаживания «сотрудничества».

1 сентября 2015 года вступили в силу поправки к закону «О персональных данных», которые требуют локализации персональных данных на территории России. Любая российская или зарубежная компания, ориентированная на работу с российскими пользователями, должна обеспечивать запись, систематизацию, накопление, хранение, уточнение персональных данных россиян с использованием баз данных, находящихся на территории нашей страны. Для глобальных компаний встала непростая дилемма - потерять российский рынок либо репутацию компании, сохраняющей в неприкосновенности данные своих пользователей.

Впрочем, не все в данной ситуации начали посыпать голову пеплом. Спустя полгода появилась информация о том, что Google и Apple преступили к переносу персональных данных своих российских пользователей на серверы в России. Facebook же в свою очередь отказался это делать. Про остальных и вовсе ничего не было слышно, однако на сегодня все «иностранцы» продолжают работать в России, а значит, определенная договоренность, устраивающая всех, была достигнута.

Впрочем, подобное может говорить не только о том, что кто-то «прогнулся», а кто-то нет. А о тенденции неизбежности того, что в ближайшее время никто не сможет гарантировать конфиденциальность информации.

К примеру, долгое время Skype считался одним из самых защищенных VoIP-сервисов (IP-телефонией). Официально подтвержденных разработчиком случаев расшифровки и/или перехвата данных в Skype не было зафиксировано примерно до 2008 года, когда правоохранительные органы Австрии на встрече с провайдерами сообщили, что провели «законный перехват IP-трафика». Аналогичное заявление прозвучало и от представителя органов внутренних дел Австралии. Также, благодаря утечке информации, стало известно о разработке фирмой Digitask программы перехвата онлайн-коммуникаций по заказу одного из министерств Баварии. Кроме того, о наличии решений для прослушивания Skype объявили власти Швейцарии. В России периодически возникали предложения запретить Skype. Аргументировали это угрозой безопасности, связанной с шифрованием разговоров и отсутствием подключения к СОРМ. В 2010 году были предложены решения СОРМ, способные обнаружить и перехватить трафик Skype (но не расшифровать его). Однако задачу всем упростила компания Microsoft, купившая Skype в 2011 году. Отныне все передаваемые сообщения стали анализироваться сразу на ее серверах. А в июле 2012 года и вовсе появилась информация, что Microsoft может сама разрешить спецслужбам прослушивать разговоры пользователей Skype, а также предоставит доступ к личной переписке, следуя «новой» политике полного содействия правоохранительным органам. В 2013 году стало известно о том, что российские спецслужбы могут не только прослушивать, но и определять местоположение пользователя Skype.

Еще один VoIP для смартфонов − Viber в 2015 году, как того и требует закон, перенес данные российских граждан, а именно номера телефонов и никнеймы, на территорию России.

Facebook Messenger и с недавних пор также принадлежащий Марку Цукербергу самый популярный в мире мессенджер WhatsApp (число пользователей которого достигает 1 млрд человек) используют функцию сквозного шифрования, которая, по словам разработчиков, исключает возможность попадания переписки третьим лицам. Правда, это все верно в том случае, если пользователь сам активирует данную функцию, а вся история переписки не будет храниться в незашифрованном виде в Google Drive или iCloud.

Одним из наиболее безопасных мессенджеров на сегодняшний день аналитики по электронной безопасности называют Telegram - проект, созданный Павлом Дуровым, основателем социальной сети «ВКонтакте». В интервью The New York Times Павел рассказал, что первоначальная идея приложения пришла ему еще в 2011-м, когда к его двери приходили спецназовцы. Когда последние все-таки ушли, Дуров сразу же написал своему брату Николаю. Тогда же он осознал, что у него нет безопасного способа коммуникации с братом. В качестве доказательства безопасности своего нового детища Дуров в конце 2013 года пошел на рискованный PR-ход, предложив всем желающим за 200 тыс. долларов взломать его личную переписку в Telegram. Деньги тогда так никому и не достались.

При этом, несмотря на заявления о безопасности, в России понимают, у кого находятся «ключики», открывающие переписку. Поэтому весной этого года поступило предложение запретить отечественным чиновникам и военным вести рабочую переписку с почтовых ящиков на Gmail.com и в популярных мессенджерах WhatsApp, Viber, Telegram.

Наконец, видимо, чтобы закрыть эту тему, весной 2016 года в России подоспел новый законопроект, известный всем как «пакет Яровой», разработанный депутатами Ириной Яровой и сенатором Виктором Озеровым. Помимо прочего, речь в нем шла и об обязанности хранить «организаторами распространения информации в сети Интернет» в течение 1 года всю проходящую через них информацию. А в случае, если мессенджер, социальная сеть, почтовый клиент или просто сайт поддерживает шифрование данных, то их владельцы обязаны помочь ФСБ расшифровать любое сообщение, которое понадобится силовикам. Иначе штраф − от 800 тыс. до 1 млн рублей. 7 июля 2016 года с некоторыми поправками пакет был подписан президентом Владимиром Путиным.

Поправки, дающие правительству полномочия обязывать операторов связи хранить записи телефонных разговоров, SMS и интернет-трафик пользователей сроком до 6 месяцев, вступят в силу 1 июля 2018 года. При этом, как это следует из поправок, указанная информация должна будет храниться исключительно на территории России. Однако 19 июля 2016 член Совета Федерации Антон Беляков внес законопроект о переносе срока вступления в силу этих поправок на 2023 год.

В конце лета появилась информация об еще одном законопроекте, призванном лишить анонимности пользователей мессенджеров. Работу над ним вел Медиакоммуникационный союз (МКС), объединяющий операторов связи и медиахолдинги. По замыслу МКС, интернет-мессенджеры («организаторы обмена мгновенными сообщениями») должны до 2017 года заключить договоры с операторами связи, согласно которым каждый мессенджер должен будет направлять оператору сведения о пользователях, а тот будет сверять это со своими данными об абонентах, и в случае чего сообщать о несовпадении.

Наконец, для реализации спецслужбами полученных законодательных возможностей осенью этого года компания Con Certeza, которая разрабатывает системы технических средств для обеспечения функций оперативно-разыскных мероприятий (СОРМ) на сетях операторов связи, начала поиск подрядчика для проведения исследования по возможности перехвата и расшифровки трафика популярных мессенджеров: WhatsApp, Viber, Facebook Messenger, Telegram, Skype. И, судя по всему, по некоторым мессенджерам необходимого результата удалось достичь.

Четыре совета, которым необходимо следовать всем, кто опасается утечки личных данных.

Но прежде чем вы начали распространять через WhatsApp свои планы по свержению мирового капитализма, учтите, что перехват сообщений по время их передачи – всего лишь один из способов следить за вами, причем довольно маловероятный. От шифровки самой по себе не много толку, если вы также не следуете приведенным ниже правилам.

Вы не сохраняете сообщения в телефоне

Если вы действительно хотите, чтобы ваши сообщения никто кроме вас не прочитал, удаляйте их сразу после прочтения. Если кто-то завладеет вашим телефоном (украдет, например) и сможет разблокировать его – что совсем недавно удалось ФБР с iPhone стрелка из Сан-Бернардино – он получит доступ ко всему, что хранится в памяти. Некоторые мессенджеры, например , имеют функцию «самоуничтожения», при активации которой сообщения автоматически удаляются через заданный промежуток времени. В WhatsApp такой функции пока нет. (С другой стороны, в Telegram оконечное шифрование не работает по умолчанию, нужно его включать специально.)

Вы не сохраняете сообщения в облако

WhatsApp не сохраняет вашу переписку на своих серверах. Но, к примеру, на можно сохранять резервную копию сообщений на iCloud, облачном сервисе . Как только информация попадает на облако, ее может перехватить правительство.

Джастин Кошон (@Cauchon)

Signal – это приложение, популярное среди сторонников неприкосновенности личной переписки. В нем используется та же технология шифрования, что и в WhatsApp, а резервного копирования в облако не происходит.

Way to go WhatsApp, but I"m not ready to give up Signal. I fear that many of my WhatsApp friends have enabled unencrypted cloud backups.

Christopher Soghoian (@csoghoian) 5 апреля 2016 г.

Отличная работа, WhatsApp, но я пока не готов отказаться от Signal. Подозреваю, что у многих моих друзей в WhatsApp включена копирование в облако.

Кристофер Согойан (@csoghoian)

Многие проблемы и недостатки WhatsApp применимы и к другим популярным сервисам. Однако WhatsApp пользуется неимоверной популярностью, но при этом не имеет простейших функций вроде видеозвонков (хотя их вскоре обещают добавить), что несколько сковывает при использовании мессенджера. А появление «дыры» в безопасности может привести к серьезным проблемам для всех пользователей.

Безопасность

Не так давно WhatsApp преодолел отметку в один миллиард активных пользователей. Ежедневно в мессенджере отсылается 42 млрд сообщений и 1,6 млрд фотографий. При этом столь высокие показатели WhatsApp удалось достичь, во многом уступая своим конкурентам в вопросе безопасности.

Истории об очередном взломе WhatsApp появляются чуть ли не каждую неделю с момента появления мессенджера.

Чего только не делали с WhatsApp: взламывали за несколько действий зашифрованные данные приложения, загружали вирусы на компьютеры через веб-версию сервиса, вскрывали всю историю чатов и не только.

С целью повышения безопасности WhatsApp не так давно ввел механизм шифрования переписки и любой другой информации, передаваемой между пользователями. То есть получить доступ к данным могут только отправитель и адресат сообщения — перехватить сообщения третьи лица (хакеры, преступники, силовики и т.д.) не могут.

Но по уверениям популярного специалиста по безопасности, и это шифрование удается взломать.

Основатель компании - разработчика антивирусного ПО McAfee на глазах журналистов взломал смартфон с установленным WhatsApp и показал зашифрованную переписку. Однако, по мнению экспертов компании LIFARS, подобный трюк мог быть всего лишь умелым применением шпионского софта.

Функциональность

Одна из главных проблем WhatsApp заключается в редком обновлении сервиса. Многие давно обещанные функции появляются спустя очень долгое время. Так, шифрование в мессенджере анонсировали в 2014 году, а финальную версию — только в 2016-м.

Чем шире функциональность мессенджера, тем меньше нужно прибегать к другим сервисам: в одном чате мессенджера можно вести формальную переписку с коллегами, а в другой — весело обсуждать котиков с YouTube, а после этого и связаться с помощью видеозвонка. С такой точки зрения WhatsApp выглядит как обычный сервис для отправки сообщений, тогда как конкуренты уже могут предложить гораздо больше.

Сообщения с таймером

Возможность отправки самоуничтожающихся сообщений набирает популярность, спрос на такие сервисы растет. У многих сложилось впечатление, что подобная возможность нужна разве что маргинальным слоям населения, отправляющим исключительно запрещенную информацию, но это вовсе не так.

Необходимость в этом может возникнуть из-за обычной боязни того, что сообщение или фотография попадут не в те руки. В случае с WhatsApp это особенно актуально.

Примеров может быть очень много, начиная от пароля, который нужно отправить другу, и заканчивая приватным снимком, который хочется отправить близкому человеку. Хотя самоуничтожение не гарантирует стопроцентную безопасность, потому что ничто не мешает получателю сделать скриншот с сообщением.

Боты

После волны ботов для Telegram на подобный способ взаимодействия с пользователем обратили внимание Google и Microsoft. Все они направлены на то, чтобы помогать пользователю решать задачи: какие-то боты публикуют новости, другие помогают найти самые дешевые билеты на поезд, а с третьими просто можно поиграть.

Именно возможность узнать местонахождение ближайшего ресторана, погоду, последние новости, не выходя из мессенджера, и делает ботов столь интересными.

Кроме этого, при плохом интернет-соединении боты могут сильно выручить, поскольку работают быстрее и требуют меньше трафика.

Стикеры

Стикеры — это весело, кто бы что ни говорил. А возможность их создавать собственноручно еще лучше. Но в WhatsApp нет ни того ни другого. Это выступает барьером при попытке завести неформальную беседу или ответить готовой подходящей наклейкой.

Фишка со стикерами в Telegram несколько переоценена, так как через пару месяцев в мессенджере накапливается невероятно большое их количество, а используется не больше десяти из них. Но, опять же, лучше пусть такая возможность будет, чем нет.

Видеозвонки

Слухи о работе над видеозвонками в WhatsApp ходят уже более года. Сейчас функция тестируется и работает только у тех пользователей, которые приняли участие в тестировании новой версии приложения. Аналогичным образом компания готовилась к запуску голосовых вызовов. Чего-то революционного от видеозвонков в WhatsApp ждать не стоит, функция, скорее всего, будет повторять все то, что уже было доступно в других сервисах.

За последнее время WhatsApp стал одним из самых популярных мессенджеров не только в России, но и по всему миру. С помощью него удобно вести переписки, передавать данные, осуществлять звонки. И конечно же любой пользователь хочет быть уверенным, что его звонки никто не сможет прослушать, переписку прочитать, а файлы будут доступны только ему и собеседнику. Именно поэтому не стоит упускать из внимания такой параметр, как безопасность .

Уровень безопасности в WhatsApp. Защищенность информации

Прежде всего безопасность — это конфиденциальность, доступность и целостность информации . Компания-разработчик должна давать уверенность своим пользователям в том, что все эти три параметра безопасности функционируют на должном уровне.

В плане безопасности WhatsApp имеет очень богатую историю. Несколько лет назад выяснилось, что изначально, когда приложение только вышло в релиз, безопасность Ватсап осуществлялась всего лишь за счет хеширования пароля с помощью алгоритма MD5. Т.е. взломщик почти не прилагая никаких усилий мог с легкостью заполучить пароль пользователя . Исправить свою репутацию разработчики решили сотрудничеством с криптографической фирмой Open Whisper Systems.

В настоящее время Ватсап использует безопасную технологию шифрования данных, так называемое сквозное шифрование. Для тех, кто не знает, что это такое, попробуем объяснить на простых словах.

Представим, что существует два пользователя Дима и Коля. И у Димы и у Коли генерируется по два ключа. Первый ключ (открытый) предназначен для зашифровки сообщений , а второй (закрытый) для обратного процесса — расшифровки. Соответственно открытый ключ находится в открытом доступе, то есть его может просмотреть абсолютно любой пользователь, но вот расшифровать сможет только обладатель закрытого ключа. Таким образом, сгенерировав по паре ключей, Дима и Коля начинают защищенное общение, так как ключ для расшифровки есть только у автора послания и его получателя.

Однако, несмотря на то, что безопасность в Ватсап осуществляется за счет сквозного шифрования , WhatsApp безопасность находится не совсем на должном уровне. К примеру, Ватсап не защищен от Dos-атак , но немного в своеобразной форме. Разработчики WhatsApp ограничили размер сообщения 6600 символами. Но если сообщение будет содержать 4400 смайлов , работа приложения Вотсап из-за переполнения буфера аварийно завершится. Единственный способ избавиться от данной проблемы на данный момент — удалить переписку с таким отправителем. Следует отметить, что WhatsApp безопасность на iOS пошатнуть подобной атакой невозможно .

Значительно недавно 15.03.2017 г. стало известно о такой уязвимости, используя которую злоумышленники могли захватить полную власть над аккаунтом пользоваться через WhatsApp Web. Так как Ватсап позволяет отправлять различные типы данных, вредоносный код маскировался под обычную картинку, нажав на которую атакующий получает доступ к контенту пользователя. Эта уязвимость была актуальна не только для WhatsApp, но и для Telegram. Новое обновление помогло устранить подобный баг.

Еще один интересный факт. Как выяснил специалист компании iOS по информационной безопасности стертую историю чатов можно восстановить, так как Ватсап не до конца удаляет историю. Связано это с тем, что мессенджер использует базу данных (БД) SQLite для хранения переписок. И когда пользователь пытается удалить выбранные сообщения, они не удаляются , а перемещаются в так называемый free list. Т.е. Ватсап в дальнейшем перезаписывает поверх этих сообщений новые. Но особенность в том, что некоторые сообщения могут ждать своей очереди ни один месяц, чтобы до конца исчезнуть.

Более осторожными необходимо быть пользователям iOS. WhatsApp безопасность несет для них дополнительные риски. Если пользователь платформы iOS создает бекап переписок на Ватсап , то БД SQLite сохраняет незашифрованную историю сообщений на серверы Apple. Специалист по информационной безопасности iOS рекомендует периодически удалять Вотсап с устройства с целью обнуления БД, а также по возможности не пользоваться бекапами icloud.

Также известна еще одна уязвимость. Ватсап может сгенерировать новые пары ключей, если пользователь продолжительное время не был онлайн и при этом не предупредить об случившемся участников переписки. Это значит, что если абонент отправит сообщение пользователю, который давно не был онлайн, либо удалил приложение с телефона, то послание может потеряться, т.е. не дойти до конечного получателя.

Но наполовину этот недочет всё же можно исправить.

Так почему же эта опция исправляет ситуацию лишь наполовину? Дело в том, что Ватсап не поддерживает повторную отправку сообщений, но может предупредить отправителя о том , что ключ шифрования обновился.

Пароль на WhatsApp

Иногда приходиться скрывать свои переписки от посторонних глаз. Нижеописанный способ конечно не спасет ваши данные от профессиональных хакеров, но от тех к кому может попасть в руки ваш телефон вполне возможно.

Приложение ChatLock позволяет поставить пароль на любой мессенджер, в том числе и Ватсап.

Теперь после каждой попытки входа в WhatApp система будет спрашивать у пользователя пароль. При неудачной попытки, вход не совершится.

Подведя итоги, нельзя утверждать, что безопасность в Ватсап осуществляется на должном уровне . Как и любой другой мессенджер WatsApp имеет свои недостатки. Но зная, какие именно есть уязвимости в приложении, можно уберечь себя от многих неприятных ситуаций .