Прослушать каждого: рейтинг надежности мобильных мессенджеров
21.01.2015 16:48

На прошлой неделе советник главы СБУ Маркиян Лубкивский рекомендовал не пользоваться в зоне проведения АТО «мобильной рацией» Zello, поскольку персональные данные пользователей этого сервиса могут попасть в руки российских спецслужб и террористов.

«Российские спецслужбы обладают значительными объемами актуальной технической информации о пользователях упомянутого сервиса - имя, данные из профилей, другие псевдонимы, которые авторизовались с одного телефонного терминала; IMEI мобильных терминалов, их IP-адреса и т.д.», - объяснил Лубкивский.

По его словам, СБУ получила от одного из бывших боевиков доказательства того, что террористы могут идентифицировать пользователей интернет-сервиса Zello и находить патриотов для расправы. Заявление Лубкивского вызвало в среде IT-специалистов активное обсуждение вопроса, насколько защищены от прослушки другие рации и мессенджеры. 

ЛІГАБізнесІнформ опросила четверых специалистов в области кибербезопасности и выяснила, какие мессенджеры наиболее защищены от прослушки и воровства данных пользователей. На основании характеристик, которые опрошенные эксперты дали каждому из приложений, ЛІГАБізнесІнформ составила их сводный рейтинг.

Все эксперты сошлись во мнении, что безопаснее всего общаться с помощью мессенджеров RedPhone, WhatsApp и Telegram. Немного хуже защищены данные у Skype и Facebook Messenger. Viber и Zello замыкают рейтинг надежности.

Соавтор приложения для борьбы со спамом NumBuster Евгений Гнутко подробно расписал, как «мобильная рация» и любое другое мобильное приложение для коммуникаций по умолчанию «видит» и «анализирует» содержимое контакт-листа пользователя.

«Неважно, что это - WhatsАpp, Viber, клиент Facebook, клиент ВКонтакте, Zello и т.д.: они все имеют доступ к вашим контактам, именам и номерам телефонов, - пишет Гнутко. - Все перечисленное в любой момент из админки нарисует географический и социальный охват любого сегмента своей аудитории. Особенно если это задача не единомоментная, а поставлена систематически».

Все перечисленное в любой момент из админки нарисует географический и социальный охват любого сегмента своей аудитории. Особенно если это задача не единомоментная, а поставлена систематически

Таким образом спецслужбы, получив доступ к «админке» (т.е. к управляющему оборудованию или ПО на стороне сервиса), могут извлечь полный профиль пользователя, включая данные о его контактах, устройствах, историю активности в онлайне и карту перемещений.

По информации Гнутко, ряд сервисов, которые принято считать на 100% "западными", на самом деле таковыми не являются: команда поддержки, разработчики или серверы расположены в России.

«Официальный мобильный клиент Facebook контролируется российской группой поддержки. Все сведения выдадут по запросу локальных спецслужб. Обязаны. Использование любого неофициального клиента ничего не решит», - поясняет Гнутко.

Кроме мессенджера Facebook в зону риска, по его мнению, попадают Viber и 4Talk.

«Viber - группы разработчиков РФ + Минск, фаундер - белорус, офис в Москве есть, прописка юрика - Израиль, инвестор - Япония, - рассказывает Гнутко. - 4Talk - отличный продукт, удобный, быстрый. Разработан и администрируется в Москве».

Руководитель департамента информационной безопасности одного из отечественных банков не согласен с Гутко, что наличие офиса, технического персонала или серверов на территории РФ автоматически компрометирует приложение.

«Российская команда Viber вовсе не означает, что данные регулярно сливаются в ФСБ. Любое изъятие информации спецслужбами - это удар по репутации компании и стоимости акций. А ведь Viber работает не только в постсоветском пространстве, но и в странах Запада. Поэтому компания, скорее всего, будет сопротивляться «выемкам», как сопротивлялся Дуров во время Евромайдана.

В то же время специалист по кибербезопасности считает, что спецслужбы страны-агрессора - не единственный источник угроз.

«Если объект слежки особо ценен, для взлома его канала коммуникаций могут написать индивидуальный вирус или эксплойт. Здесь на передний план выходит не наличие персонала или серверов в России, а защищенность самого сервиса от перехвата и атак извне».

С ним согласен руководитель центра управления инцидентами инфобезопасности компании Crytek Ukraine Дмитрий Коржевин.

«В идеале вся передаваемая информация, включая ссылки, файлы, чаты, аудио- и видеозвонки, должна шифроваться с использованием стойких криптоалгоритмов. Для шифрования должен использоваться ключ, доступ к которому есть только у вас и вашего собеседника. У провайдера и компании, предоставляющей услугу защиты передаваемой информации, не должно быть доступа к ключам шифрования данных. Кроме того, код приложения должен быть доступен для независимого аудита».

Тезис о важности стороннего аудита подтверждает и Павел Ткачев, независимый эксперт в области кибербезопасности. По его мнению, в открытом доступе должен быть исходный код не только приложения, но и алгоритма шифрования, который в нем применяется.

«Если мессенджер использует закрытый протокол, нет никакой гарантии, что он действительно защищен».

Еще одна слабая сторона архитектуры - централизованный сервер, хранящий пересылаемую информацию. По мнению Ткачева, сервер коммуникационного сервиса должен выполнять исключительно функции адресации. Однако ряд популярных сервисов (например, Skype) сохраняет на сервере недоставленные сообщения, которые доставляет, когда адресат подключается к сети.

Вся передаваемая информация должна шифроваться с использованием стойких криптоалгоритмов. У провайдера не должно быть доступа к ключам шифрования данных

Все опрошенные эксперты признают, что у каждого из популярных коммуникационных сервисов были прецеденты с обнаружением крупных «дыр» в безопасности.

В то же время в качестве приложения с архитектурой, наиболее устойчивой к взлому, специалисты назвали RedPhone. Однако этот мессенджер существует только для платформы Android и не так удобен в пользовании, как массовые Skype или Viber. 

Не забывайте главный принцип защиты информации: даже самая стойкая архитектура или криптоалгоритм не спасают от дурака или предателя. Очень часто намного проще и дешевле завербовать информатора, чем взламывать систему связи.