Не так давно новинні інтернет-видання поширили новину про дослідження захищеності популярних додатків для обміну миттєвими повідомленнями. "Дослідники" все ж рекомендують журналістам бути обережніше з подібного роду публікаціями.
Отже, новина, яка облетіла кілька інтернет-видань, свідчила (орфографія збережена):
Фейсбук Messenger і WhatsApp, що належать компанії фейсбук, отримали 73 бали зі 100 можливих і опинилися на 1-й позиції.
У список потрапили 11 компаній з 16 мессенджерами. Ключі для розшифровки такого листування зберігаються тільки у співрозмовників. Як пише цей ресурс. 2-е місце в списку Amnesty зайняли iMessage і Facetime від Apple. Цікаво, що сервіс Telegram, розроблений творцем мережі "ВКонтакте" Павлом Дуров, спочатку позиціонувався як високонадійний з точки зору конфіденційності даних продукт. Завершують рейтинг китайські QQ і WeChat. Ця функція за замовчуванням присутній у 6-ти месенджерів: WhatsApp, iMessage, FaceTime, Duo, Line і Viber. У Telegram дана функція не включена за замовчуванням, в Blackberry Messenger за нього потрібна окрема плата.
Ненадійними з точки зору технологій були визнані Blackberry Messenger (надає end-to-end шифрування тільки за додаткову плату), Hangouts від Google, Skype від Mircosoft і Snapchat -також не мають шифрування.
Видання навіть послалося на саме себе в якості дослідників, хоча дослідження проводила Amnesty International.
Шифрування даних користувачів WhatsApp (шифрування відкритим ключем).
Для того, щоб відправити повідомлення користувачу В, користувач А запрошувати у сервера месенджера відкритий ключ для користувача В. Потім користувач А використовує цей відкритий ключ для шифрування повідомлення. Після цього користувач B використовує особистий ключ, доступний тільки на його пристрої, для розшифровки отриманого повідомлення.
А ось що описано в самій схемі роботи мессенджера:
Для того, щоб спілкуватися з іншими користувачами, клієнту WhatsApp необхідно встановити зашифрований сеанс, після якого новий сеанс не створюється поки додаток, наприклад, не буде переустановлені або не зміни пристрій.
Перше що слід взяти до уваги при реалізації схеми з відкритим ключем це можливість підміни публічного ключа третьою стороною. Зловмисник, який володіє можливістю модифікувати трафік, здатний перехопити публічний ключ користувача Маша і підмінити його на свій власний публічний ключ. Це призводить до того, що користувач Петя, при спробі відправити зашифроване повідомлення Маші, насправді зашифрує його ключем атакуючого, який зможе розшифрувати і прочитати секретні дані. Привіт, атака "MiM".
Платне шифрування, на думку горе-ісследователей_
BBM Protected, про який горе-дослідники згадують як про "платному шифруванні" лише додає додатковий алгоритм FIPS 140-2 в роботу існуючого на даний момент в BBM, шифрування.
Робота BlackBerry Messenger і його версії BBM Protected
Повідомлення, відправлені між двома користувачами в BBM Protected захищені за допомогою ключа шифрування, унікального для цих двох користувачів. Цей ключ шифрування генерується в інфраструктурі підприємства, з розгорнутим BES-сервером. Сервери BlackBerry не беруть участі в цьому обміні ключами між двома пристроями. BBM Protected дозволяє забезпечувати захист інформації, що передається навіть якщо користувачі підприємства спілкуються з користувачами, що знаходяться поза ним корпоративної мережі або підключені до інших BES-серверів. Це лише коротке пояснення того, як працює BBM.
Ми не проводили загальну оцінку безпеки різних додатків обміну повідомленнями. Amnesty International рекомендує журналістам, активістам, правозахисникам і іншим особам. чиї заяви особливо можуть бути схильні до критики, проконсультуватися у експертів з питань інформаційної безпеки.
[Тут ще обов'язково необхідно додати ". Домогосподаркам, клепки в голові копі-Пастер і тим дурням, які це взагалі робили".]
Ми також не розподіляли компанії по загальній ефективності в області прав людини, або їх підходу до конфіденційності у всіх своїх продуктах і послугах.
[Самі не зрозуміли, що вони цим хотіли сказати.]
Головне питання_
Яким месенджером користуватися? Це вирішувати все-таки Вам.
Ставлення до самих себе виражається в тому, наскільки серйозно конфіденційність приватного життя і збереження корпоративної інформації усвідомлюється вами і ви прямуєте цим принципам. Якщо вам абсолютно все одно, скільки додатків для спілкування встановити на ваш мобільний пристрій, з ким вам дійсно важлива надійний зв'язок, яким способом передати корпоративну інформацію -вам неважливо з ким ви на зв'язку і які наслідки витоків інформації, від якої може залежати не просто ваша зарплата, а майбутнє в цілому-вам неважливі ви самі, ваше благополуччя і стабільність майбутнього. Вашого майбутнього.