Мир, кажется, шокирован новостью о том, что WhatsApp превратил любой телефон в шпионское ПО. Всё на вашем телефоне, включая фотографии, электронные письма и тексты, было доступно злоумышленникам только потому, что у вас установлен WhatsApp [1].
Эта новость меня не удивила. В прошлом году WhatsApp пришлось признать, что у них была очень похожая проблема — один видеозвонок через WhatsApp позволял хакеру получить доступ ко всем данным вашего телефона [2].
Каждый раз, когда WhatsApp приходится исправлять критическую уязвимость в своем приложении, на ее месте появляется новая. Все их проблемы безопасности работают как бэкдоры.
В отличие от Telegram, WhatsApp не является открытым исходным кодом, поэтому у специалиста по безопасности нет возможности проверить, есть ли в их коде бэкдоры. Мало того, что WhatsApp не публикует свой код, они делают прямо противоположное: WhatsApp намеренно запутывает двоичные файлы своих приложений, чтобы никто не смог их тщательно изучить.
WhatsApp и его материнской компании Facebook, возможно, даже потребовалось реализовать бэкдоры-через секретные процессы, по приказам ФБР [3]. Нелегко запустить безопасное приложение связи из США. За неделю, проведенную нашей командой в США в 2016 году, мы получили 3 попытки проникновения ФБР [4] [5]. Представьте, что 10 лет в этой среде могут принести компании, базирующейся в США.
Я понимаю, что силовые структуры оправдывают установку бэкдоров антитеррористическими усилиями. Проблема в том, что такие бэкдоры могут также использоваться преступниками и авторитарными правительствами. Неудивительно, что диктаторы, похоже, любят WhatsApp.
Отсутствие безопасности позволяет им шпионить за своими людьми, поэтому WhatsApp продолжает быть свободно доступным в таких местах, как Россия или Иран, где Telegram запрещен властями [6].
Собственно говоря, я начал работать над Telegram как прямой ответ на личное давление со стороны российских властей. Тогда, в 2012 году, WhatsApp Все еще передавал сообщения в виде обычного текста без шифрования. Это безумие. Не только правительства или хакеры, но и мобильные провайдеры и администраторы wifi имели доступ ко всем текстам переписки WhatsApp [7][8].
Позже WhatsApp добавил некоторое шифрование, которое быстро оказалось маркетинговой уловкой: ключ для расшифровки сообщений был доступен, по крайней мере, нескольким правительствам, включая Россию [9]. Затем, когда Telegram начал набирать популярность, основатели WhatsApp продали свою компанию Facebook и заявили, что “конфиденциальность была заложена в их ДНК” [10]. Если это правда, то это, должно быть, спящий или рецессивный ген.
3 года назад WhatsApp объявил, что они внедрили сквозное шифрование, поэтому “никакая третья сторона не может получить доступ к сообщениям“. Это совпало с агрессивным толчком для всех своих пользователей, чтобы создать резервную копию своих чатов в облаке. Делая этот толчок, WhatsApp не сказал своим пользователям, что при резервном копировании сообщения больше не защищены сквозным шифрованием и могут быть доступны хакерам и правоохранительным органам. Блестящий маркетинг, и в результате некоторые наивные люди отбывают срок в тюрьме [11].
Те, кто достаточно устойчив, чтобы не поддаваться постоянным всплывающим окнам, говорящим им о необходимости создавать резервные копии своих чатов, все еще могут быть прослежены рядом других уловок — начиная от доступа к резервным копиям своих контактов до невидимых изменений ключа шифрования [12]. Метаданные, сгенерированные пользователями WhatsApp — журналы, описывающие, кто, с кем и когда общался, — в больших объемах передаются во все виды агентств материнской компанией WhatsApp [13]. Кроме того, у вас есть смесь критических уязвимостей, сменяющих друг друга.
WhatsApp имеет непротиворечивую историю — от нулевого шифрования на начальном этапе до череды проблем безопасности, подходящих для целей наблюдения. Оглядываясь назад, не было ни одного дня в 10-летнем путешествии WhatsApp, когда эта служба была безопасной. Вот почему я не думаю, что простое обновление мобильного приложения WhatsApp сделает его безопасным для всех.
Чтобы WhatsApp стал сервисом, ориентированным на конфиденциальность, он должен рискнуть потерять целые рынки и столкнуться с властями в своей стране. Кажется, они к этому не готовы [14].
В прошлом году основатели WhatsApp покинули компанию из-за опасений по поводу конфиденциальности пользователей [15]. Они определенно связаны либо приказами о клятве, либо соглашениями о неразглашении, поэтому не могут публично обсуждать бэкдоры, не рискуя потерять свои состояния и свободу. Однако они смогли признать, что «они продали конфиденциальность своих пользователей» [16].
Я понимаю нежелание основателей WhatsApp предоставлять больше информации — не просто подвергать риску ваш комфорт. Несколько лет назад мне пришлось покинуть свою страну после отказа соблюдать санкционированные государством нарушения конфиденциальности пользователей ВКонтакте [17]. Это было не приятно. Но сделаю ли я что-то подобное снова? Охотно. Каждый из нас рано или поздно умрет, но мы как вид останемся на некоторое время. Вот почему я думаю, что накопление денег, славы или власти не имеет значения. Служение человечеству — единственное, что действительно имеет значение в долгосрочной перспективе.
И все же, несмотря на наши намерения, я чувствую, что мы разочаровали человечество во всей этой истории шпионских программ WhatsApp. Многие люди не могут перестать использовать WhatsApp, потому что их друзья и семья все еще на нем. Это означает, что мы в Telegram проделали плохую работу, чтобы убедить людей переключиться. Хотя за последние пять лет мы привлекли сотни миллионов пользователей, этого было недостаточно. Большинство интернет-пользователей по-прежнему находятся в заложниках империи Facebook / WhatsApp / Instagram. Многие из тех, кто использует Telegram, также находятся в WhatsApp, что означает, что их телефоны по-прежнему уязвимы. Даже те, кто полностью отказался от WhatsApp, вероятно, используют Facebook или Instagram, и оба считают, что можно хранить свои пароли в открытом виде [18] [19] (я до сих пор не могу поверить, что IT компания может сделать что-то подобное и им сойдёт это с рук).
Почти за 6 лет своего существования Telegram не имел серьезных утечек данных или недостатков безопасности, которые WhatsApp демонстрирует каждые несколько месяцев. За те же 6 лет мы раскрыли ровно ноль байт данных третьим лицам, в то время как Facebook/WhatsApp делился почти всем со всеми, кто утверждал, что они работали на правительство [13].
Мало кто за пределами фан-сообщества Telegram понимает, что большинство новых функций обмена сообщениями сначала появляются в Telegram, а затем копируются в WhatsApp до мельчайших деталей.
Совсем недавно мы стали свидетелями попытки Facebook заимствовать всю философию Telegram, когда Цукерберг неожиданно заявил о важности конфиденциальности и скорости, практически дословно цитируя описание приложения Telegram в своей речи на конференции F8.
Но нытье о лицемерии и отсутствии креативности FB не поможет. Мы должны признать, что Facebook выполняет эффективную стратегию. Посмотрите, что они сделали с Snapchat [20].
Мы в Telegram должны признать нашу ответственность в формировании будущего. Это либо мы, либо монополист Facebook. Это либо свобода и приватность, либо жадность и лицемерие. Наша команда конкурирует с Facebook в течение последних 13 лет. Мы уже победили их однажды, на рынке социальных сетей Восточной Европы [21]. Мы снова победим их на мировом рынке обмена сообщениями. Мы обязаны.
Это будет не легко. Маркетинговый отдел Facebook огромен. У нас же в Telegram, абсолютно нулевой маркетинг. Мы не хотим платить журналистам и исследователям, чтобы они рассказывали миру о Telegram. Для этого мы рассчитываем на вас — миллионы наших пользователей. Если вам нравится Telegram, то расскажете об этом своим друзьям. И если каждый пользователь убедит 3 своих друзей удалить WhatsApp и навсегда перейти в Telegram, то Вы сделаете неоценимый вклад в новую эру.
Эпоха жадности и лицемерия закончится. Эра свободы и приватности начнется. Это намного ближе, чем кажется.
Автор: Павел Дуров
Ссылки
[1] Business Insider WhatsApp was hacked and attackers installed spyware on people’s phones – May 15, 2019
[2] Security Today WhatsApp Bug Allowed Hackers to Hijack Accounts – October 12, 2018
[3] Wikipedia Gag order – United States
[4] Neowin FBI asked Durov and developer for Telegram backdoor – September 19, 0271
[5] The Baffler The Crypto-Keepers – September 17, 2017
[6] New York Times What Is Telegram, and Why Are Iran and Russia Trying to Ban It? – May 2, 2019
[7] YourDailyMac Whatsapp leaks usernames, telephone numbers and messages – May 19, 2011
[8] The H Security Sniffer tool displays other people’s WhatsApp messages – May 13, 2012
[9] FilePerms WhatsApp is broken, really broken – September 12, 2012
[10] International Business Times Respect for Privacy Is Coded Into WhatsApp’s DNA: Founder Jan Koum – March 18, 2014
[11] Slate https://slate.com/technology/2018/06/paul-manafort-how-did-fbi-access-whatsapp-messages.html – June 5, 2018
[12] AppleInsider WhatsApp backdoor defeats end-to-end encryption, potentially allows Facebook to read messages – January 13, 2017
[13] Forbes Forget About Backdoors, This Is The Data WhatsApp Actually Hands To Cops – January 22, 2017
[14] New York Times Facebook Said to Create Censorship Tool to Get Back Into China – November 22, 2016
[15] The Verge WhatsApp co-founder Jan Koum is leaving Facebook after clashing over data privacy – April 30, 2018
[16] CNET WhatsApp co-founder: ‘I sold my users’ privacy’ with Facebook acquisition – September 25, 2018
[17] New York Times Once celebrated in Russia, programmer Pavel Durov chooses exile – December 2, 2014
[18] TechCrunch Facebook admits it stored ‘hundreds of millions’ of account passwords in plaintext – March 21, 2019
[19] Engadget Facebook stored millions of Instagram passwords in plain text – 18 April, 2019
[20] Vanity Fair Snapchat is doing so badly, the feds are getting involved – November 14, 2018
[21] HuffPost Vkontakte, Facebook Competitor In Russia, Dominates – October 26, 2012
Original post — https://telegra.ph/Why-WhatsApp-Will-Never-Be-Secure-05–15