Какие мессенджеры не прослушиваются

Выбор защищенного мессенджера

Парадоксально, но факт: при всем разнообразии мессенджеров выбирать их обычно не приходится — люди просто пользуются тем же, чем их друзья и знакомые. Но что, если секретность действительно важна? В этой статье мы пройдемся по списку современных мессенджеров и посмотрим, какие гарантии защиты есть у каждого из них.

Не так давно я заглянула наткнулась на опрос «Какой мессенджер вы считаете самым надежным?». Самый популярный ответ (Telegram) меня насторожил. Тогда я поняла, что все это зашло слишком далеко и пользователи уже потеряли связь с реальностью после атаки маркетинг-хедкраба (на картинке).

Я решила составить список мессенджеров и посмотреть, как у каждого из них обстоят дела с безопасностью. В список пошли как популярные, так и перспективные в плане безопасности программы. Сразу предупреждаю, что углубляться в техническую сторону мы будем настолько, насколько это необходимо для среднего пользователя, не дальше.

Во многом я повторила путь авторов серии статей Electronic Frontier Foundation под названием Secure Messaging Scorecard, но выбрала другие критерии — на мой взгляд, более важные.

Критерии выбора защищенного мессенджера

Распространяется ли исходный код мессенджера на условиях одной из свободных лицензий? Если да, то ведется ли разработка открытым методом? Насколько тесно разработчики взаимодействуют с сообществом? Принимают ли pull request’ы? Все это важно учитывать при выборе.

Степень централизации

Здесь возможен один из трех вариантов:

централизованный — требует сервера, возможно заблокировать. Пример: VK, Telegram, Facebook;
федеративный — сеть из серверов, которые общаются друг с другом. Каноничные примеры: Email, Jabber (XMPP), Riot Matrix;
децентрализованный (имеется в виду P2P) — каждый клиент является одновременно и сервером.

Возможность анонимной регистрации и использования

Для некоторых сервисов телефон может понадобиться только для защиты от спама при регистрации, соответственно, очень просто использовать сервисы аренды номеров для SMS.

В остальных случаях мессенджер плотно привязан к телефону. Это плохо тем, что если не включена двухфакторная аутентификация, то при получении доступа к этому номеру можно зайти в аккаунт и слить все данные. Но даже если двухфакторка включена, все равно остается возможность удалить все данные с аккаунта. Ну и конечно, это, считай, регистрация по паспорту (используем реалии РФ, других не завезли).

Но не все так плохо. Есть мессенджеры, которые позволяют регистрироваться с использованием почтового ящика или учетной записи в социальной сети. Есть и такие, где учетную запись можно создать в самом мессенджере без привязки к чему-то.

Наличие End-to-End Encryption (E2EE)

Некоторые мессенджеры имеют такую функцию по умолчанию, в других ее можно включить, но есть и те, где сквозного шифрования просто нет.

Синхронизация E2EE-чатов

Опять же эта функция пока что встречается не так часто, как хотелось бы. Ее наличие сильно упрощает жизнь.

Уведомление о необходимости проверки отпечатков E2EE

При старте E2EE-чатов некоторые мессенджеры предлагают проверить отпечатки собеседников, другие не предлагают это открыто. Но не все мессенджеры имеют функцию проверки отпечатков.

Запрет делать скриншот секретного чата

Не самая полезная функция, потому что для обхода запрета достаточно, например, иметь под рукой второй телефон.

Групповые E2EE-чаты

Групповые E2EE-чаты обычно не такая уж необходимая функция, но весьма удобная. Правило «больше двух — говори вслух» стоит оставить для детей.

Уведомление о необходимости проверки отпечатков E2EE в групповых чатах

При добавлении нового собеседника, с которым не сверены отпечатки, в секретный групповой чат не все мессенджеры предлагают проверить его отпечатки. Из-за такого упущения теряется смысл секретных чатов.

Защита социального графа

Некоторые мессенджеры собирают информацию о контактах пользователя и другую метаинформацию, например кому звонил пользователь, как долго разговаривал. На эту тему есть интересная заметка.

Мы выбрали лишь часть критериев, которые могут сыграть роль при выборе мессенджера. Существуют и другие, но не всегда они связаны с безопасностью. Группа ученых из европейских университетов неплохо разложила все по полочкам в работе Obstacles to the Adoption of Secure Communication Tools (PDF). Также всегда полезно знакомиться с результатами независимого аудита, если они есть. Например, в случае с Signal такой аудит проводился (PDF).

Обзор защищённых (и не очень) мессенджеров

Мессенджер, созданный командой Павла Дурова, построен на технологии шифрования переписки MTProto. На данный момент частично заблокирован на территории России, но эта блокировка — отдельная тема для разговора.

Мессенджер неоднозначный. Вокруг него много шума, но оправдан ли он? Доступа к исходникам нет, чаты по умолчанию не шифруются, нет защиты социального графа (все твои контакты хранятся на серверах Telegram), нет групповых E2EE-чатов, E2EE-чаты не поддерживаются в настольной версии программы, только в мобильной, мессенджер централизованный, сообщения хранятся на сервере (и они, как уже было отмечено, не зашифрованы), и при всем этом отсутствует возможность анонимной регистрации.

Если ты хочешь использовать Telegram, то для защиты переписки не забывай создавать секретные чаты. В мобильной версии для этого нужно выбрать команду New Secret Chat. Из настольных версий секретные чаты поддерживают только некоторые (например, один из двух клиентов для macOS).

В секретном чате сообщения шифруются и не хранятся на серверах мессенджера. Также нельзя сделать скриншот секретного чата, но ничто не мешает сфотографировать такой чат с экрана.

Лицензия: формально — GPLv3. Однако важная часть разработки закрыта. Если взглянуть на репозитории, то видно, что в последнее время какое-то движение наблюдалось только в вебовой версии. Увы, в таком виде это скорее иллюзия открытости
Степень централизации: централизованный
Возможность анонимной регистрации и работы: нет
Наличие E2EE: реализованы, но как дополнение. По умолчанию чаты не шифруются
Синхронизация E2EE-чатов: нет. Секретный чат можно использовать только с одного устройства, с другого доступа к нему уже не будет
Уведомление о проверке отпечатков E2EE: нет. Пользователи могут сами зайти в настройки, чтобы сравнить отпечатки
Запрет на скриншоты секретных чатов: есть, но работает не на всех устройствах
Групповые чаты E2EE: нет
Защита социального графа: нет

Signal

Мессенджер Signal разработан американским стартапом Open Whisper Systems, где, кроме двоих основателей, работает всего несколько человек. Для шифрования сообщений используется созданный специально для него криптографический протокол — Signal Protocol. Он применяется для сквозного (end-to-end) шифрования звонков (голосовых и видео), а также обычных сообщений. Протокол Signal с тех пор стали использовать и другие мессенджеры: WhatsApp, Facebook Messenger, Google Allo.

Казалось бы, в этом случае любой мессенджер может стать таким же безопасным, как и Signal. Но, как показывает практика, — нет. В отличие от Signal, где шифрование включено по умолчанию, в этих мессенджерах оно выключено. Для его включения в Facebook Messenger нужно активировать Secret Conversations, а в Google Allo — режим инкогнито (Incognito Mode).

Помимо этого, Signal децентрализованный, а его исходные коды открыты. Есть поддержка групповых E2EE-чатов, есть защита социального графа, поддерживаются исчезающие по таймеру сообщения.

Однако не стоит путать защиту с анонимностью. Signal не анонимен: при регистрации нужно указывать номер телефона, к которому мессенджер и привязывается. Что касается исчезающих сообщений, то эта фишка встречается и в других мессенджерах, например в Viber и Telegram (в меню секретного чата нужно выбрать команду Set self-destruct timer).

Лицензия: AGPLv3
Степень централизации: децентрализованный
Возможность анонимной регистрации и работы: нет. Кроме номера телефона, других вариантов нет. Использование временного приведет к тому же результату, что и в случае с Telegram
Наличие E2EE: есть. Используется Signal Protocol — специально разработанный для этого мессенджера протокол шифрования сообщений

Синхронизация E2EE-чатов: есть
Уведомление о проверке отпечатков E2EE: нет. Пользователям предлагается сосканировать QR-коды друг у друга или сравнить отпечатки
Запрет на скриншоты секретных чатов: можно включить или выключить
Групповые чаты E2EE: есть
Уведомление о необходимости проверки отпечатков E2EE в групповых чатах: нет
Защита социального графа: есть

Viber

Viber — интересный мессенджер. С одной стороны, он проприетарный, централизованный, привязывается только к номеру телефона, не обеспечивает защиту социального графа. С другой стороны, сквозное шифрование основано на протоколе Signal и включено по умолчанию, даже в настольной версии. Для дополнительной безопасности существуют секретные чаты с возможностью общаться группой.

Секретные чаты позволяют настроить таймер самоуничтожения для каждого сообщения: оно будет удалено через установленное время после просмотра — как с твоего устройства, так и со всех устройств получателей. Сообщения секретного чата защищены от пересылки, а скриншоты или запрещены, или оставляют уведомление на экране чата.

Для перехода в секретный чат нужно открыть чат с пользователем и выбрать из его меню команду «Перейти в секретный чат». Такой чат будет отмечен замком.

Дополнительно Viber позволяет создавать скрытые секретные чаты — они не будут отображаться в общем списке. Чтобы получить доступ к скрытому чату, нужно ввести установленный ранее PIN-код. Это дополнительная защита на тот случай, если телефон попадет в чужие руки.

Лицензия: проприетарная
Степень централизации: централизованный
Возможность анонимной регистрации и работы: только по номеру телефона
Наличие E2EE: есть, по умолчанию. Также есть секретные и скрытые чаты, которые обеспечивают дополнительную безопасность
Синхронизация E2EE-чатов: нет. Созданный в мобильной версии секретный чат не отобразился в десктопной версии
Уведомление о проверке отпечатков E2EE: для проверки отпечатков предлагается совершить звонок собеседнику, сообщить свой идентификатор, после чего подтвердить его корректность, но уведомления, что это необходимо для обеспечения собственной безопасности, нет
Запрет на скриншоты секретных чатов: есть
Групповые чаты E2EE: есть
Уведомление о необходимости проверки отпечатков E2EE в групповых чатах: нет
Защита социального графа: нет

WhatsApp использует Signal Protocol, но это само по себе не дает никаких гарантий. Конечно, этот мессенджер интересен тем, что не хранит твои сообщения на своих серверах. Вместо этого сообщения хранятся на телефоне (а также в облачных сервисах, с которыми он синхронизирован, например iCloud). Также E2EE используется по умолчанию с поддержкой групповых чатов.

Однако хоть WhatsApp и не получает самой переписки, его владельцы имеют доступ к метаданным, в том числе собирают телефонные номера из адресной книги, время отправки сообщений и звонков и так далее. Представь, что в 2:30 ты звонил в «секс по телефону» и твой разговор длился 24 минуты. Ну да, никто не узнает, как конкретно шла беседа, но это в данном случае не очень-то и нужно.

Кроме этого, WhatsApp собирает тонны информации о пользователе: модель его телефона, ОС, информацию, полученную от браузера, IP-адрес, мобильный номер и так далее.

Добавь к этому проприетарный код, и ты получишь далеко не самый лучший с точки зрения анонимности вариант. Может, никто и не перехватит твои сообщения, но сам мессенджер будет знать о тебе многое.

Лицензия: проприетарная
Степень централизации: централизованный
Возможность анонимной регистрации и работы: только по номеру телефона
Наличие E2EE: по умолчанию
Синхронизация E2EE-чатов: есть
Уведомление о проверке отпечатков E2EE: есть только в случае смены ключа собеседником. Чтобы уведомление пришло, необходимо зайти в настройки и включить эту функцию. При старте чата никаких уведомлений нет
Запрет на скриншоты секретных чатов: нет
Групповые чаты E2EE: есть
Уведомление о необходимости проверки отпечатков E2EE в групповых чатах: нет
Защита социального графа: нет

Briar

Briar — не очень популярный мессенджер, и готов поспорить, что далеко не все наши читатели знают о его существовании. Однако он хорош: основан на технологии децентрализованных сетей (mesh), может работать по Bluetooth или Wi-Fi либо через интернет, но в таком случае он подключится через Tor.

Исходники Briar открыты, есть возможность анонимной регистрации и использования, а чаты шифруются по умолчанию, причем не хранятся на серверах Briar (то есть твои сообщения в зашифрованном виде хранятся только на твоем телефоне). Есть защита социального графа (никто никому не сливает твою адресную книгу), есть групповые E2EE-чаты, но нет синхронизации E2EE-чатов между устройствами, поскольку нет возможности использовать одну и ту же учетку на разных устройствах.

На фоне всех остальных мессенджеров Briar выглядит очень неплохо, если нужна анонимность общения. Но у него есть и недостатки: нет версии для iPhone, нет возможности голосовых звонков. Если с отсутствием звонков еще можно мириться, то без версии для одной из крупных платформ круг общения окажется еще более узким.

Лицензия: GPLv3
Степень централизации: децентрализованный
Возможность анонимной регистрации и работы: есть
Наличие E2EE: есть, по умолчанию
Синхронизация E2EE-чатов: нет
Уведомление о проверке отпечатков E2EE: при добавлении контакта необходимо сосканировать QR-код собеседника с экрана его телефона, другого варианта добавить его нет. Считаем, что уведомление есть
Запрет на скриншоты секретных чатов: есть
Групповые чаты E2EE: есть
Уведомление о необходимости проверки отпечатков E2EE в групповых чатах: в групповой чат можно добавить только собеседника из тех, чьи QR-коды уже проверены. Также считаем, что уведомление есть
Защита социального графа: есть

При создании «ТамТама» никто не делал упор на безопасность, и об этом нужно помнить. Внимание к нему может привлечь разве что возможность регистрации через почту Google или «Одноклассники». Однако шифрование сообщений не поддерживается (или разработчики об этом не сообщают), и нет защиты социального графа. То есть, как бы ты ни регистрировался, без дополнительных мер все равно будет понятно, кто ты. В общем, даже как замена для «Телеграма» этот мессенджер не годится, несмотря на все чаяния его разработчиков.

Лицензия: проприетарная
Степень централизации: централизованный
Возможность анонимной регистрации и работы: возможна регистрация с использованием почты Google или через «Одноклассники»
Наличие E2EE: нет
Защита социального графа: нет

Вконтакте

Снова проходим мимо: вряд ли кому-то в здравом уме придет в голову мысль использовать «Вконтакте» как средство для анонимного общения. Сообщения хранятся на серверах соцсети, не шифруются, регистрация только по номеру телефона — в общем, полный набор того, чего мы тут пытаемся избежать.

Лицензия: проприетарная
Степень централизации: централизованный
Возможность анонимной регистрации и работы: только по номеру телефона
Наличие E2EE: нет
Защита социального графа: нет

Facebook Messenger

Мессенджер, прилагающийся к Facebook, построен на основе открытого протокола MQTT. На всякий случай напомню, что это именно протокол обмена сообщениями — не путать с протоколом шифрования. После того как на мобильных телефонах Messenger выселили в отдельное приложение, у пользователей Facebook оставалось мало выбора, кроме как установить еще и его. Однако регистрироваться в «Мессенджере» можно и без аккаунта в FB.

Если сравнивать чаты «Вконтакте» и Facebook Messenger, то второй оказывается на голову выше. Во-первых, можно регистрироваться с анонимной почтой. Во-вторых, поддерживаются E2EE-чаты, но не по умолчанию. Для включения шифрования сообщений нужно активировать Secret Conversations.

Однако помни, что Facebook собирает очень много всевозможной информации о пользователе, поэтому вряд ли подойдет для анонимного общения. Также не поддерживается синхронизация E2EE-чатов и многого другого (см. выше). Если тебе интересно, какую информацию собирает Facebook, прочитай политику конфиденциальности (если у тебя нет аккаунта, то можно в форме скриншота).

Лицензия: проприетарная
Степень централизации: централизованный
Возможность анонимной регистрации и работы: есть. Регистрация в «Фейсбуке» возможна с использованием электронной почты, а вход в Messenger — через учетную запись Facebook
Наличие E2EE: есть, но не по умолчанию
Синхронизация E2EE-чатов: нет
Уведомление о проверке отпечатков E2EE: нет. Но собеседники могут сравнить отпечатки друг друга
Запрет на скриншоты секретных чатов: нет
Групповые чаты E2EE: нет
Защита социального графа: нет

Wire

Wire — один из наиболее анонимных мессенджеров. В его основе — протокол Wire Swiss, основанный на Signal. Чем он хорош? Во-первых, есть возможность анонимной регистрации. Во-вторых, по умолчанию поддерживается сквозное шифрование с возможностью синхронизации зашифрованных чатов. В-третьих, есть защита социального графа, поддерживаются групповые зашифрованные чаты (до 128 человек) и безопасные конференц-звонки (до 10 человек). Что-то подобное мы видели в Briar, но у Wire еще и огромный выбор поддерживаемых платформ: Android, iOS, Windows, macOS, Linux.

Должна быть ложка дегтя? Она есть: мессенджер платный и стоит шесть евро в месяц (четыре при оплате за год). Разработчики утверждают, что это плюс: подобная бизнес-модель — это хоть какая-то гарантия того, что на твоих данных не попытаются заработать. С другой стороны, денежные транзакции плохо ладят с анонимностью. Зато есть пробный период на месяц!

Лицензия: GPLv3
Степень централизации: централизованный
Возможность анонимной регистрации и работы: есть. С помощью почты
Наличие E2EE: есть, по умолчанию
Синхронизация E2EE-чатов: есть
Уведомление о проверке отпечатков E2EE: нет, но возможность есть
Запрет на скриншоты секретных чатов: нет
Групповые чаты E2EE: есть
Уведомление о необходимости проверки отпечатков E2EE в групповых чатах: есть. Если один из пользователей отправляет в секретный групповой чат сообщение с устройства, которое не верифицировано у другого пользователя, то, когда второй попытается отправить сообщение, перед ним появится предупреждение о том, что у первого новое устройство
Защита социального графа: есть

Jabber (OMEMO)

Если старина Jabber и выбивается из компании современных мессенджеров с веселыми стикерами и голосовыми звонками, то в плане приватности он по-прежнему во многом незаменим. Он федеративный, поддерживает анонимную регистрацию, E2EE-шифрование (правда, нужно расширение OMEMO), в том числе групповое.

Да, возможности не поражают воображение, но Jabber проверен временем и к тому же имеет реализации на всех возможных платформах. ChatSecure для iOS, Conversations — для Android, Pidgin — для Linux и так далее, список огромен.

Лицензия: разные свободные лицензии
Степень централизации: федеративный
Возможность анонимной регистрации и работы: есть. Регистрация с использованием почтового ящика, учетной записи в Facebook или Twitter
Наличие E2EE: есть. Необходимо дополнение OMEMO
Синхронизация E2EE-чатов: есть
Уведомление о проверке отпечатков E2EE: уведомления нет, но возможность есть
Запрет на скриншоты секретных чатов: нет
Групповые чаты E2EE: есть
Уведомление о необходимости проверки отпечатков E2EE в групповых чатах: нет
Защита социального графа: нет

Riot (Matrix)

Чего создателям этого мессенджера не занимать, так это умения придумывать крутые названия. Собственно, Matrix — это протокол коммуникации, а Riot — это клиентское приложение (бывают и другие — в том числе для консоли). Использовать можно как вебовый вариант, так и программы для iOS и Android.

В целом это еще один малоизвестный федеративный мессенджер с поддержкой и синхронизацией чатов E2EE, в том числе групповых. Регистрация анонимная, без привязки к номеру мобильного телефона или почте. Поддерживается голосовая связь и видеозвонки.

Шифрование переписки в Riot можно включить или выключить — индикатором этого служит значок замочка рядом с полем отправки сообщения. Также если в секретном групповом чате появится пользователь, чьи устройства не верифицированы другими пользователями, собеседники увидят уведомление об этом при попытке отправить сообщение.

В целом Matrix выглядит как интересный вариант, смутить может только его новизна в сочетании с тем, что протокол свой.

Лицензия: Apache
Степень централизации: федеративный
Возможность анонимной регистрации и работы: есть
Наличие E2EE: есть, по выбору пользователя
Синхронизация E2EE-чатов: есть
Уведомление о проверке отпечатков E2EE: есть
Запрет на скриншоты секретных чатов: нет
Групповые чаты E2EE: есть
Уведомление о необходимости проверки отпечатков E2EE в групповых чатах: есть
Защита социального графа: есть

Status

Status — это нечто большее, чем просто мессенджер. Конечно, его можно использовать только для общения, но это все равно что ставить Windows ради «Блокнота». Да и общаться здесь не очень-то удобно, даже картинку не отправишь, не говоря уж про такую роскошь, как стикер. Зато прямо в чате есть возможность отправить ETH и создать запрос на его получение.

Приложение пока находится на стадии бета-теста. Да, без глюков пока никак. Установила на два телефона (Samsung и Android). На одном из телефонов приложение работало нормально, на втором постоянно слетала авторизация и приходилось вводить пароль при каждом обращении к мессенджеру (считай, после каждой блокировки экрана) — не очень-то удобно.

Иногда не знаешь, баг перед тобой или никак не объясненная фича. Когда я создала аккаунты на обоих телефонах (для этого ничего не нужно — просто вводи имя) и сосканировала QR-код на экране одного телефона другим, на втором отобразилось совершенно другое имя, которое я видела впервые, — Puny Moral Gonolek. Только после добавления пользователя в контакты имя стало нормальным. При этом имя первого собеседника всю дорогу отображается нормально.

Поскольку есть возможность анонимной регистрации и все чаты шифруются по умолчанию, можно считать, что каждый чат в Status — секретный. Есть и синхронизация секретных чатов, но синхронизироваться будут только входящие сообщения, а вот отправленные с одной учетной записи, но с разных устройств — нет.

Еще один возможный недостаток: сообщения хранятся и на телефоне, и на сервере мессенджера, но разработчики уверяют, что в зашифрованном виде. Зато твоя книга контактов не сливается на серверы мессенджера, что нынче дорогого стоит. В общем, безопасность здесь есть, а возможность перевода криптовалюты, вероятно, кого-то порадует. Но Status пока что скорее интересная диковинка, чем рабочий инструмент.

Лицензия: MPLv2
Степень централизации: децентрализованный
Возможность анонимной регистрации и работы: есть
Наличие E2EE: по умолчанию
Синхронизация E2EE-чатов: частичная (см. описание)
Уведомление о проверке отпечатков E2EE: есть (чтобы начать диалог с пользователем, необходимо ввести его идентификатор или сосканировать с экрана смартфона)
Запрет на скриншоты секретных чатов: нет
Групповые чаты E2EE: нет
Защита социального графа: есть

Threema

Threema — проприетарный централизованный мессенджер, серверы которого находятся в Швейцарии. Кроме текстового общения, пользователям доступны голосовые звонки, возможность отправлять свое местоположение, голосовые сообщения и файлы. Поддерживаются групповые чаты до 50 человек.

Сообщения здесь шифруются полностью и децентрализованным способом на устройствах пользователя, а не на сервере Threema. Сервер скорее играет роль коммутатора: сообщения пересылаются через него, но не хранятся постоянно. Подробно о том, какие данные хранятся и как долго, ты можешь прочитать в FAQ.

Для регистрации не нужно указывать данные, которые могут способствовать установлению личности, — ни номер телефона, ни email. При первом запуске программы случайным образом генерируется идентификатор пользователя, на его основе будет сгенерирован QR-код. Все это обеспечивает анонимность общения.

Чтобы начать диалог с собеседником, необходимо ввести его идентификатор. В Threema есть три уровня доверия личности пользователя. Наивысший будет при сканировании идентификатора с экрана смартфона, а самый низкий — при вводе его вручную. Где-то посередине находится синхронизация контактов. Уровень проверки каждого контакта отображается в виде точек рядом с именем.

В отличие от WhatsApp или, например, Facebook Messenger Threema не регистрирует, кто и с кем общается, и не хранит адресную книгу пользователя на своих серверах. Все сообщения на устройствах пользователя хранятся в зашифрованном виде. Способ шифрования зависит от устройства. В iOS используется функция iOS Data Protection, в Android и Windows Phone — AES-256. Шифруются сообщения, изображения и другие данные, передаваемые между пользователями. Дополнительная информация доступна в whitepaper (PDF).

Хоть каждый чат шифруется и может считаться секретным, помимо этого, есть и приватные чаты. Они защищены PIN-кодом и помечены значком со шляпой и очками. Нечто подобное мы уже встретили в Viber.

В общем, Threema оставляет неплохое впечатление. Сообщения не могут быть расшифрованы — даже по решению суда, так как хранятся только на телефоне и Threema не имеет доступа к секретным ключам пользователей. Серверы Threema знают только, кто отправляет сообщение и кому, но они не логируют эту информацию и не могут расшифровать содержимое сообщения.

Переходим к минусам. Во-первых, это необходимость разово заплатить. 2,6 евро разово — не бог весть что, но сам факт оплаты может быть нежелательным. Также отсутствие синхронизации и хранения сообщений означает, что сохранить историю ты можешь только сам, сделав бэкап.

Лицензия: проприетарная для приложений, AGPLv3 для веб-клиента
Степень централизации: централизованный
Возможность анонимной регистрации и работы: есть. Можно создать учетную запись без привязки к номеру телефона или почте. Пользователю присваивается уникальный ID, который можно сменить
Наличие E2EE: есть, по умолчанию
Синхронизация E2EE-чатов: нет: для каждого устройства генерируется отдельный ID
Уведомление о проверке отпечатков E2EE: есть. Сообщения в групповых чатах отправляются каждому собеседнику индивидуально, а диалог можно начать только с тем, чей идентификатор подтвержден
Запрет на скриншоты секретных чатов: нет
Групповые чаты E2EE: есть
Уведомление о необходимости проверки отпечатков E2EE в групповых чатах: есть
Защита социального графа: есть. Адресная книга по умолчанию не загружается на сервер, но при желании пользователь может разрешить доступ к ней

Итоги

Рекомендовать какой-либо мессенджер мы не будем. Мы предоставили тебе все данные, и выбор остается за тобой, тем более что выбирать есть из чего. Ниже — табличка, которая поможет тебе в этом.

www.spy-soft.net

Как прослушивают мессенджеры

Мы привыкли ежедневно пользоваться мессенджерами и социальными сетями. В день мы шлем сотни сообщений в Whatsapp или Телеграм. Но редко кто задумывается – насколько это безопасно, и стоит ли опасаться, что твою переписку прочитает кто-то, кроме её адресата. Объясняем максимально понятно, как могут прочитать твою переписку и кому это интересно.

Первое, что приходит в голову – это спецслужбы. Представляются люди, которые целый день сидят и наблюдают за тем, как ты обсуждаешь с подругой новое платье. Звучит смешно. Но ФСБ и несколько других государственных служб действительно могут прослушивать чужие разговоры, в том числе и в интернете. Но делать они могут это исключительно с разрешения суда и в том случае, если подозревают тебя в серьезном правонарушении.

Способ 1: взлом.

Да, взломать, оказывается, можно что угодно. Раньше это было практически невозможно, потому что компьютерные технологии были недостаточно развиты. Поэтому хакерам приходилось придумывать сложные алгоритмы, чтобы угадать пароль за небольшое время. Сейчас же за то же время компьютер может перебрать все возможные варианты пароля. С увеличением их мощностей современные алгоритмы шифрования типа RSA и Диффи-Хеллмана станут бесполезными.

Но, к счастью, это случится нескоро. К тому же, огромные вычислительные мощности практически недоступны рядовым хакерам. А спецслужбы предпочитают работать с интернет-провайдерами, которые предоставляют по решению суда интернет-трафик, который те по новому закону обязаны хранить.

Но мессенджеры не стоят на месте. Популярные приложения типа Телеграма, WhatsApp и Viber ввели сквозное шифрование.

Что такое сквозное шифрование?

Это означает, что сообщения зашифровываются и расшифровываются непосредственно на телефоне. Чтобы система работала, приложение создает пользователю ключ для шифрования; такой же есть у каждого собеседника. В идеале, нужно лично убедиться, что ключ действительно принадлежит собеседнику.

Таким образом, даже если хакеры перехватят ваше сообщение по пути от вашего телефона к телефону друга и расшифруют его, то они получат еще одно зашифрованное сообщение, пароль от которого знаете только вы вдвоем.

Это удобная функция, которую мессенджеры включают по умолчанию. Можете быть спокойны за свои селфи и разговоры об учебе.

Способ 2. Доступ к устройству.

Чаще всего на взлом методом перебора у киберпреступников нет времени. Поэтому чтобы читать сообщения в мессенджерах, они пользуются беспечностью самих пользователей, получая доступ к устройству. Например, простой способ получить доступ к информации в WhatsApp — установить его на ноутбуке, а для авторизации позаимствовать у пользователя смартфон на 20-30 секунд: чтобы получить СМС и ввести ее на ноутбуке.

Чтобы не попасться на ловушку злоумышленника, можно использовать такие правила:

1. Не пользуйтесь бесплатным публичным Wi-Fi.

2. Пароли должны быть сложными и на всех аккаунтах разными. То есть чтобы не было ситуации, когда, узнав один пароль, злоумышленник получает доступ ко всему.

3. Функцию восстановления пароля нужно настроить таким образом, чтобы злоумышленник не мог подобрать ответ на контрольное слово.

4. На всех устройствах должен быть установлен антивирус. Желательно платный.

5. Действительно важную информацию передавать в секретных чатах (такая возможность есть в Телеграм).

Кроме того, можно воспользоваться советами из нашей колонки информационной безопасности:

Чем опасен публичный Wi-Fi

6 способов защитить iPhone от взлома

Взлом ВКонтакте: как это делают

Читайте нас ВКонтакте:

ПЯТЬ УГЛОВ | журнал старшеклассников

По вашему запросу ничего не найдено

5uglov.ru

Шифруйся грамотно! Выбираем мессенджер для безопасной и приватной переписки - «Хакер»

Содержание статьи

Недавно на «Хакере» был опрос «Какой мессенджер ты считаешь самым надежным для хакера?», и самый популярный ответ (Telegram) серьезно настораживал. Насколько все далеко зашло, если даже средний читатель «Хакера» уже потерял связь с реальностью после атаки маркетинг-хедкраба (на картинке)?

Крабе отаке!!1

Мы составили список мессенджеров, чтобы посмотреть, как у каждого из них обстоят дела с безопасностью. В подборку пошли как популярные, так и перспективные в плане безопасности программы. Предупреждаем, что углубляться в техническую сторону мы будем настолько, насколько это необходимо для среднего пользователя, не дальше.

Во многом мы повторили путь авторов серии статей Electronic Frontier Foundation под названием Secure Messaging Scorecard, но выбрали другие критерии — на наш взгляд, более важные.

Степень централизации

Здесь возможен один из трех вариантов:

централизованный — требует сервера, возможно заблокировать. Пример: VK, Telegram, Facebook;
федеративный — сеть из серверов, которые общаются друг с другом. Каноничные примеры: электронная почта, Jabber (XMPP), Riot Matrix;
децентрализованный (имеется в виду P2P) — каждый клиент является одновременно и сервером.

Возможность анонимной регистрации и использования

Наличие End-to-End Encryption (E2EE)

Синхронизация E2EE-чатов

Опять же эта функция пока что встречается не так часто, как хотелось бы. Ее наличие сильно упрощает жизнь.

Уведомление о необходимости проверки отпечатков E2EE

Запрет делать скриншот секретного чата

Групповые E2EE-чаты

Уведомление о необходимости проверки отпечатков E2EE в групповых чатах

Защита социального графа

Некоторые мессенджеры собирают информацию о контактах пользователя и другие данные, например кому звонил пользователь, как долго разговаривал. На эту тему есть интересная заметка.

Лицензия: формально — GPLv3. Однако важная часть разработки закрыта. Если взглянуть на репозитории, то видно, что в последнее время какое-то движение наблюдалось только в вебовой версии. Увы, в таком виде это скорее иллюзия открытости Степень централизации: централизованный Возможность анонимной регистрации и работы: нет Наличие E2EE: реализованы, но как дополнение. По умолчанию чаты не шифруются Синхронизация E2EE-чатов: нет. Секретный чат можно использовать только с одного устройства, с другого доступа к нему уже не будет Уведомление о проверке отпечатков E2EE: нет. Пользователи могут сами зайти в настройки, чтобы сравнить отпечатки Запрет на скриншоты секретных чатов: есть, но работает не на всех устройствах Групповые чаты E2EE: нет Защита социального графа: нет

Лицензия: AGPLv3 Степень централизации: централизованный Возможность анонимной регистрации и работы: нет. Кроме номера телефона, других вариантов нет Наличие E2EE: есть Синхронизация E2EE-чатов: есть Уведомление о проверке отпечатков E2EE: нет. Пользователям предлагается сосканировать QR-коды друг у друга или сравнить отпечатки Запрет на скриншоты секретных чатов: можно включить или выключить Групповые чаты E2EE: есть Уведомление о необходимости проверки отпечатков E2EE в групповых чатах: нет Защита социального графа: есть

Хоть Signal и централизованный, но код открыт и распространяется по свободной лицензии. У Signal есть поддержка групповых E2EE-чатов, защита социального графа, поддерживаются исчезающие по таймеру сообщения.

Загрузка ...

Лицензия: проприетарная Степень централизации: централизованный Возможность анонимной регистрации и работы: только по номеру телефона Наличие E2EE: есть, по умолчанию. Также есть секретные и скрытые чаты, которые обеспечивают дополнительную безопасность Синхронизация E2EE-чатов: нет. Созданный в мобильной версии секретный чат не отобразился в десктопной версии Уведомление о проверке отпечатков E2EE: нет Запрет на скриншоты секретных чатов: есть Групповые чаты E2EE: есть Уведомление о необходимости проверки отпечатков E2EE в групповых чатах: нет Защита социального графа: нет

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Заинтересовала информация, но нет возможности оплатить подписку? Тогда этот вариант для тебя! Обрати внимание: этот способ покупки доступен только для материалов, опубликованных более двух месяцев назад.

Уже подписан?

xakep.ru

Как узнать, что вас прослушивают через ваши гаджеты

Мессенджеры «читают» сообщения и сливают их

Пример выше – далеко не единственный случай, когда в рекламе появляются вещи, которых там быть не должно — ведь они обсуждались в личном диалоге. История с WhatsApp, которым пользуются почти 25 млн россиян, показательна, считают эксперты.

«Если это не совпадение, значит, WhatsApp на каком-то этапе анализирует вашу переписку и продаёт эти данные рекламным агентствам», — рассказывает Станислав Шакиров, технический директор Роскомсвободы.

По словам специалиста, уже давно известно, что мессенджер собирает метаданные и продаёт их: «Так же делает Google. Если вы в почте что-то пишете, потом это что-то может вылезти в рекламе. Стандартная практика». SEO-специалисты подтверждают это. Поисковики анализируют текст в наших письмах.

Законна ли передача личных данных из мессенджера? Вполне, ведь это прописано в политике конфиденциальности, с которой вы согласились во время установки.

WhatsApp, например, объясняет: «Мы сотрудничаем со сторонними организациями, которые помогают нам обеспечивать работу, предоставлять, совершенствовать, анализировать, настраивать, поддерживать и продвигать наши сервисы. Предоставляя информацию этим организациям, мы требуем, чтобы они использовали ваши данные в соответствии с нашими инструкциями».

Фото: depositphotos

Во всей этой истории есть только один (довольно слабый) плюс. «Передаваемая информация должна быть обезличенной, — добавляет Станислав Шакиров. — То есть, она нужна именно для “втюхивания” рекламы, а не для слежки со стороны чекистов».

Еще один мессенджер, который пользуется информацией о людях по своему усмотрению — Skype. Несколько лет назад исследовательская компания Hiese провела исследование: его авторы отправляли в приватной переписке друг с другом ссылки на файлообменные сервисы и логины/пароли.

«В результате с IP-адресов Microsoft производились попытки подключения к ресурсам с указанными доступами, — вспоминает Руслан Жафяров, технический менеджер компании UNITS. — Исследование показало, что “злоумышленниками” могут быть не только третьи лица, овладевшие информацией незаконно, но и сами корпорации».

Приложения нас подслушивают, но не всегда

iPhone начинает слушать вас после произнесения специальных команд, например «Привет, Siri». До этого микрофон не работает, система ждёт сигнала от владельца устройства, заявляли в Apple.

Та же история с голосовым помощником Google Assistant: без нужной команды он не активируется. Могут ли прослушивать нас с вами другие сервисы Google — почта, карты и так далее — неизвестно, на запрос Hi-Tech Mail.ru в компании не ответили.

В «Яндексе» заявили, что не используют в приложениях анализ голоса для рекламы.

От деталей в «Яндексе» отказались: «Не готовы это комментировать и не комментируем гипотетические модели». В пресс-службе «Одноклассников» уверяют, что камера и микрофон активируются только тогда, когда пользователь совершает с их помощью действия в соцсети. Например, звонит или записывает видео. Когда звонок завершен, они сразу отключаются.

«ВКонтакте» не имеет доступа к вашей информации, если вы это сами не разрешили. «Доступ к звонкам и SMS используется для подтверждения номера при авторизации и регистрации, — объясняют в соцсети. — Таким же образом работают другие соцсети и мессенджеры. При этом приложение не анализирует список звонков и адресатов SMS».

А вот с некоторыми приложениями для Android все не так радужно. The New York Times выяснил, что несколько игр из Google Play заражены вирусом Alphonso. Он активирует динамики и слушает звуки вокруг, чтобы узнать, какие вы смотрите телешоу. И затем продает эту информацию рекламодателям.

От пользователей прослушку не скрывают — запрашивают нужные доступы при установке

При этом, ПО от Alphonso используется не только в зараженных играх. По данным NYT, оно есть в таких приложениях как Instagram, YouTube, Uber, WhatsApp, Telegram и др. Так что в теории могут вас слушать и они, хотя это никем пока не доказано.

Но в основном пользователей подслушивают приложения, которые получили на это разрешение.

«Возможность сбора данных прописана в соглашении, которые пользователи подписывают при установке, — констатирует Илья Рожнов, эксперт компании Group-IB. — Обычно в явном виде показывается, куда имеет доступ приложение: в контакты, к смс и прочее. Увы, люди подписывают такие соглашения не глядя».

Бывает ли прослушка без разрешений?

Чтобы прослушка шла сама по себе в фоновом режиме, пользователь при установке должен дать специальное разрешение. «Без одобрения владельца телефон этого просто не позволит», — убежден Станислав Шакиров, технический директор Роскомсвободы.

Какие данные передаются и кому?

Эксперты напоминают: любое приложение может собирать любые данные. Кулинарная книга может знать ваше местоположение, счетчик калорий — лезть в телефонную книгу, а будильник — читать смс.

«Мы видели примеры, когда приложение навигации хранило записи разговоров пользователя», — вспоминают в Group-IB. — Часто о пользователях собирается очень детальная информация, включающая все возможное, от истории браузера до домашнего адреса».

В Group-IB считают, что подобные сведения собирают рекламщики для показа вам той самой таргетированной рекламы. Адвокат Ахмед Шамоян думает иначе: за непонятными третьими лицами прячутся коллекторы, спамеры, микрокредитные организации и просто мошенники.

Фото: depositphotos

Можно избежать прослушки и ее отключить

Банально, но все же — скачивайте приложения из официальных источников. В идеале лучше не устанавливать то, что запрашивает права администратора. Это может быть вирус, которому вы откроете «ворота» своими же руками.

Чем крупнее и известнее разработчик, тем скрупулезнее он относится к безопасности личных данных пользователей. И имеет для ее обеспечения более современные технические условия.

Это важно, ведь киберпреступники тоже технически подкованы. Даже если разработчик будет передавать данные людей на сервер в зашифрованном виде, злоумышленники могут перехватывать и расшифровывать эти массивы.

«Такие атаки называются MITM (Man in the middle), — объясняет менеджер компании UNITS. — Чтобы этого не случилось, разработчик должен посмотреть на свое приложение со стороны злоумышленника, найти все возможные “дыры” в безопасности, чтобы исправить их».

Важно регулярно заходить в настройки смартфона и проверять список установленных приложений, а также — предоставленные им разрешения. Там же можно их отрегулировать и отключить доступ к микрофону, если он не жизненно важен для корректной работы этого сервиса. И избавить себя от «лишних ушей».

hi-tech.mail.ru

Какие мессенджеры не прослушиваются

Выбор защищенного мессенджера

Критерии выбора защищенного мессенджера

Степень централизации

Возможность анонимной регистрации и использования

Наличие End-to-End Encryption (E2EE)

Синхронизация E2EE-чатов

Уведомление о необходимости проверки отпечатков E2EE

Запрет делать скриншот секретного чата

Групповые E2EE-чаты

Уведомление о необходимости проверки отпечатков E2EE в групповых чатах

Защита социального графа

Обзор защищённых (и не очень) мессенджеров

Telegram

Signal

Viber

WhatsApp

Briar

Вконтакте

Facebook Messenger

Wire

Jabber (OMEMO)

Riot (Matrix)

Status

Threema

Итоги

Как прослушивают мессенджеры

ПЯТЬ УГЛОВ | журнал старшеклассников

Шифруйся грамотно! Выбираем мессенджер для безопасной и приватной переписки - «Хакер»

Содержание статьи

Степень централизации

Возможность анонимной регистрации и использования

Наличие End-to-End Encryption (E2EE)

Синхронизация E2EE-чатов

Уведомление о необходимости проверки отпечатков E2EE

Запрет делать скриншот секретного чата

Групповые E2EE-чаты

Уведомление о необходимости проверки отпечатков E2EE в групповых чатах

Защита социального графа

Как узнать, что вас прослушивают через ваши гаджеты

Мессенджеры «читают» сообщения и сливают их

Приложения нас подслушивают, но не всегда

Бывает ли прослушка без разрешений?

Какие данные передаются и кому?

Можно избежать прослушки и ее отключить

Смотрите также