jujik
Все точки над i: почему следует отказаться от WhatsApp ( 8 фото )
Если коротко, то популярный мессенджер взломан и в хвост, и в гриву. Хранить на нем переписку попросту опасно - но это пол беды. Руководство WhatsApp также охотно делится информацией о своих пользователях со всеми, кто представляется правительством.
Павел Дуров, основатель мессенджера Telegram, назвал WhatsApp трояном и призвал всех пользователей удалить это приложение со своих гаджетов.
«WhatsApp не только не защищает ваши сообщения, WhatsApp – это приложение, постоянно использующиеся в качестве трояна для слежки за фото и сообщениями, которые не относятся к WhatsApp. Зачем разработчикам это делать? Facebook был частью программ слежки задолго до того, как купил WhatsApp», - написал в своем блоге Дуров.
Создатель «Вконтакте» также утверждает, что «Facebook и WhatsApp делились практически всем с теми, кто утверждал, что работает на правительство».
Впрочем, и без Павла Дурова к популярному мессенджеру много вопросов. Не так давно в WhatsApp признали, что их продукт был взломан. Затем программисты разработали патч безопасности и попросили всех пользователей, а это 1,5 миллиарда человек, скачать его.
Взломала мессенджер израильская компания (точнее, их шпионское ПО) NSO Group, которая разрабатывает программы слежки для американских и ближневосточных спецслужб. Однако в том, что эта была их программа они отрицают. Возможно это были не и не они, возможно, хакерам удалось получить одну из программ компании – но факт остается фактом, программисты WhatsApp, изучив код вредоноса пришли к выводу, что почерк один и тот же.
Что касается самого взлома, то хакеры просто звонили жертве по WhatsApp. Приложение без ведома владельца принимало звонок, затем на гаджет загружалось шпионское ПО, а записи о принятом звонке удалялись – то есть владелец даже не подозревал, что его данные уже украдены.
Как и главный продукт NSO Group – Pegasus, вредоносное ПО, которое загружалось на телефоны владельцев WhatsApp получало возможность включать камеру, микрофон смартфона, просматривать почту и собирать данные о геолокации.
Сколько телефонов таким образом было взломано в мае 2019 года неизвестно.
Закрытый код
Как устроен WhatsApp – неизвестно. Это мессенджер с закрытым исходным кодом. В целом для коммерческих продуктов – это норма. Тем не менее, приложения с открытым кодом вызывают больше доверия.
Например, пользователь WhatsApp не сможет посмотреть, чем отличается новая версия приложения от старой. Нельзя проанализировать код или бэкдор.
Программисты ищут уязвимости исходя из поведения готового продукта – полной картины, как обстоят дела с безопасностью, они не видят.
Более того, разработчики WhatsApp специально обфусцируют код – запутывают его, чтобы было сложнее провести анализ. Скорее всего, это сделано по требованию спецслужб – от WhatsApp и Facebook могли потребовать оставить в приложениях бэкдоры для несанкционированного доступа к информации пользователей.
У WhatsApp изначально были проблемы с безопасностью
Создатели мессенджера заявляли, что «безопасность у него в ДНК». Все оказалось с точностью наоборот.
К примеру, в 2011-2012 годах доступ к переписке пользователя могли получить даже мобильные провайдеры и администраторы Wi-Fi точек. А ключи шифрования можно было подменить прямо в чате.
Затем разработчики внедрили стандартное шифрование, а ключи для расшифровки предоставили некоторым правительствам. Но зато резервные копии данных, которые предлагалось хранить в облаке, никак не шифровались.
В 2016 году в мессенджер интегрировали сквозное шифрование (оно используется и сегодня), но и оно от кражи данных никак не спасает. Разработчики признавались, что резервное копирование данных также производится без шифрования.
Метаданные разговоров WhatsApp передавал властям. Из этих данных можно легко понять с кем и когда пользователь общался.
А в 2013 году исследователи установили, что приложение копировало все номера мобильных из адресной книги на свои сервера. Делалось это под формальным предлогом: чтобы узнать кто из них уже пользуется мессенджером.
Как из-за взлома WhatsApp соратника Трампа посадили
Расследование в отношении Пола Манафорта, который был руководителем предвыборной компании Дональда Трампа и советником бывшего украинского президента Виктора Януковича, в очередной раз подтверждает, что этим мессенджером лучше не пользоваться.
Сообщения Манафорта в WhatsApp достали из iCloud. Скорее всего, Apple по решению суда предоставила ФБР доступ к iCloud, а WhatsApp передала ключи шифрования, что позволило агентам прочитать переписку политика и посадить его на семь с половиной лет.
Даже основатели приложения уже не верят в свой продукт
В феврале 2014 года Facebook купил WhatsApp за 22 миллиарда долларов. Через три года, в 2017-ом, компанию покинул один из сооснователей – Брайан Эктон. Годом позже ушел и Ян Борисович Кум, предполагая, что безопасность данных пользователей находится под угрозой.
Слева Брайан Эктон, справа Ян Кум
В марте 2018 года после скандала с Cambridge Analytica, компанией, предоставляющей политические консалтинговые услуги, в распоряжении которой оказались данные 50 миллионов пользователей Facebook, Эктон призвал людей удалить Facebook, напомнив, что компания крайне неохотно шла на оконечное шифрование WhatsApp.
От компании, которая признала, что годами хранила сотни миллионов паролей от Instagram в виде простого текста можно ожидать любых сюрпризов. Все эти пароли на протяжении нескольких лет были доступны 2 тысячам разработчиков. Мог ли кто-нибудь из них слить данные?
«Я продал приватность своих пользователей за большую выгоду. Я сделал выбор и пошел на уступки. И мне приходится жить с этим каждый день», - выразил сожаление Брайан Эктон, что согласился продать WhatsApp Цукербергу.
Что происходит с шифрование WhatsApp после того, как основатели покинули компанию, неизвестно. Но вряд ли ситуация поменялась в лучшую сторону.
Ваш WhatsApp могут взломать прямо сейчас
3 октября 2019 года разразился новый громкий скандал с WhatsApp. Уязвимость угрожает WhatsApp (версии до 2.19.244) на Android, начиная с 8 версии.
Уязвимость работает следующим образом. Хакер отправляет жертве GIF-файл как документ или просто в чате, если взломщик присутствует в контактах. Когда жертва захочет отправить кому-либо медиафайл и нажмет на значок со скрепкой, открывающий галерею для выбора файла, в этот момент запустится вредоносное ПО. Теперь хакер сможет запускать на смартфоне жертвы произвольный код.
В версии 2.19.244 эту проблему устранили. Но 14 ноября появилась еще одна дыра в безопасности и Facebook ее признал, правда, там не сообщили подробностей об уязвимости. Представители компании лишь отметили, что уязвимость связана с тем, как мессенджер анализирует метадату mp4-файлов. И если этот баг эксплуатировать, то можно добиться выполнения на смартфоне произвольного кода или же полного отказа обслуживания – в этом случае гаджетом пользоваться будет нельзя.
Быть или не быть?
В целом, если вы пользуетесь «Ватсапом» только для школьных чатов и списков продуктов, то волноваться вам не о чем. Но документы и прочую конфиденциальную информацию через него отправлять все же не стоит. Для отправления какой-нибудь обнаженки точно следует выбрать другой мессенджер.
К счастью, есть много других, более безопасных приложений – от Telegram до Signal. И помните, что абсолютно безопасных мессенджеров не существует.
Павел Дуров, основатель мессенджера Telegram, назвал WhatsApp трояном и призвал всех пользователей удалить это приложение со своих гаджетов.
«WhatsApp не только не защищает ваши сообщения, WhatsApp – это приложение, постоянно использующиеся в качестве трояна для слежки за фото и сообщениями, которые не относятся к WhatsApp. Зачем разработчикам это делать? Facebook был частью программ слежки задолго до того, как купил WhatsApp», - написал в своем блоге Дуров.
Создатель «Вконтакте» также утверждает, что «Facebook и WhatsApp делились практически всем с теми, кто утверждал, что работает на правительство».
Впрочем, и без Павла Дурова к популярному мессенджеру много вопросов. Не так давно в WhatsApp признали, что их продукт был взломан. Затем программисты разработали патч безопасности и попросили всех пользователей, а это 1,5 миллиарда человек, скачать его.
Взломала мессенджер израильская компания (точнее, их шпионское ПО) NSO Group, которая разрабатывает программы слежки для американских и ближневосточных спецслужб. Однако в том, что эта была их программа они отрицают. Возможно это были не и не они, возможно, хакерам удалось получить одну из программ компании – но факт остается фактом, программисты WhatsApp, изучив код вредоноса пришли к выводу, что почерк один и тот же.
Что касается самого взлома, то хакеры просто звонили жертве по WhatsApp. Приложение без ведома владельца принимало звонок, затем на гаджет загружалось шпионское ПО, а записи о принятом звонке удалялись – то есть владелец даже не подозревал, что его данные уже украдены.
Как и главный продукт NSO Group – Pegasus, вредоносное ПО, которое загружалось на телефоны владельцев WhatsApp получало возможность включать камеру, микрофон смартфона, просматривать почту и собирать данные о геолокации.
Сколько телефонов таким образом было взломано в мае 2019 года неизвестно.
Закрытый код
Как устроен WhatsApp – неизвестно. Это мессенджер с закрытым исходным кодом. В целом для коммерческих продуктов – это норма. Тем не менее, приложения с открытым кодом вызывают больше доверия.
Например, пользователь WhatsApp не сможет посмотреть, чем отличается новая версия приложения от старой. Нельзя проанализировать код или бэкдор.
Программисты ищут уязвимости исходя из поведения готового продукта – полной картины, как обстоят дела с безопасностью, они не видят.
Более того, разработчики WhatsApp специально обфусцируют код – запутывают его, чтобы было сложнее провести анализ. Скорее всего, это сделано по требованию спецслужб – от WhatsApp и Facebook могли потребовать оставить в приложениях бэкдоры для несанкционированного доступа к информации пользователей.
У WhatsApp изначально были проблемы с безопасностью
Создатели мессенджера заявляли, что «безопасность у него в ДНК». Все оказалось с точностью наоборот.
К примеру, в 2011-2012 годах доступ к переписке пользователя могли получить даже мобильные провайдеры и администраторы Wi-Fi точек. А ключи шифрования можно было подменить прямо в чате.
Затем разработчики внедрили стандартное шифрование, а ключи для расшифровки предоставили некоторым правительствам. Но зато резервные копии данных, которые предлагалось хранить в облаке, никак не шифровались.
В 2016 году в мессенджер интегрировали сквозное шифрование (оно используется и сегодня), но и оно от кражи данных никак не спасает. Разработчики признавались, что резервное копирование данных также производится без шифрования.
Метаданные разговоров WhatsApp передавал властям. Из этих данных можно легко понять с кем и когда пользователь общался.
А в 2013 году исследователи установили, что приложение копировало все номера мобильных из адресной книги на свои сервера. Делалось это под формальным предлогом: чтобы узнать кто из них уже пользуется мессенджером.
Как из-за взлома WhatsApp соратника Трампа посадили
Расследование в отношении Пола Манафорта, который был руководителем предвыборной компании Дональда Трампа и советником бывшего украинского президента Виктора Януковича, в очередной раз подтверждает, что этим мессенджером лучше не пользоваться.
Сообщения Манафорта в WhatsApp достали из iCloud. Скорее всего, Apple по решению суда предоставила ФБР доступ к iCloud, а WhatsApp передала ключи шифрования, что позволило агентам прочитать переписку политика и посадить его на семь с половиной лет.
Даже основатели приложения уже не верят в свой продукт
В феврале 2014 года Facebook купил WhatsApp за 22 миллиарда долларов. Через три года, в 2017-ом, компанию покинул один из сооснователей – Брайан Эктон. Годом позже ушел и Ян Борисович Кум, предполагая, что безопасность данных пользователей находится под угрозой.
Слева Брайан Эктон, справа Ян Кум
В марте 2018 года после скандала с Cambridge Analytica, компанией, предоставляющей политические консалтинговые услуги, в распоряжении которой оказались данные 50 миллионов пользователей Facebook, Эктон призвал людей удалить Facebook, напомнив, что компания крайне неохотно шла на оконечное шифрование WhatsApp.
От компании, которая признала, что годами хранила сотни миллионов паролей от Instagram в виде простого текста можно ожидать любых сюрпризов. Все эти пароли на протяжении нескольких лет были доступны 2 тысячам разработчиков. Мог ли кто-нибудь из них слить данные?
«Я продал приватность своих пользователей за большую выгоду. Я сделал выбор и пошел на уступки. И мне приходится жить с этим каждый день», - выразил сожаление Брайан Эктон, что согласился продать WhatsApp Цукербергу.
Что происходит с шифрование WhatsApp после того, как основатели покинули компанию, неизвестно. Но вряд ли ситуация поменялась в лучшую сторону.
Ваш WhatsApp могут взломать прямо сейчас
3 октября 2019 года разразился новый громкий скандал с WhatsApp. Уязвимость угрожает WhatsApp (версии до 2.19.244) на Android, начиная с 8 версии.
Уязвимость работает следующим образом. Хакер отправляет жертве GIF-файл как документ или просто в чате, если взломщик присутствует в контактах. Когда жертва захочет отправить кому-либо медиафайл и нажмет на значок со скрепкой, открывающий галерею для выбора файла, в этот момент запустится вредоносное ПО. Теперь хакер сможет запускать на смартфоне жертвы произвольный код.
В версии 2.19.244 эту проблему устранили. Но 14 ноября появилась еще одна дыра в безопасности и Facebook ее признал, правда, там не сообщили подробностей об уязвимости. Представители компании лишь отметили, что уязвимость связана с тем, как мессенджер анализирует метадату mp4-файлов. И если этот баг эксплуатировать, то можно добиться выполнения на смартфоне произвольного кода или же полного отказа обслуживания – в этом случае гаджетом пользоваться будет нельзя.
Быть или не быть?
В целом, если вы пользуетесь «Ватсапом» только для школьных чатов и списков продуктов, то волноваться вам не о чем. Но документы и прочую конфиденциальную информацию через него отправлять все же не стоит. Для отправления какой-нибудь обнаженки точно следует выбрать другой мессенджер.
К счастью, есть много других, более безопасных приложений – от Telegram до Signal. И помните, что абсолютно безопасных мессенджеров не существует.
Взято: Тут
524