Какую информацию хранят на своих серверах мессенджеры. Используем мессенджеры с шифрованием для безопасного общения

01.11.18. Десктопные версии Signal и Telegram хранят информацию в незашифрованном виде. Дуров объяснил почему

За последнюю неделю исследователи в сфере информационной безопасности обнаружили, что оба самых защищенных мессенджера Signal и Telegram сохраняют сообщения на компьютере пользователя в незашифрованном виде. Signal делает это при обновлении версий десктоп приложения (чтобы импортировать сообщения в новую версию), а Телеграм - просто хранит все чаты без шифрования в базе SQLite, в которой прочесть их сложно но можно. Павел Дуров сразу же отреагировал на это открытие в своем телеграм-канале и объяснил, что это не бага, а фича (точнее нормальное положение дел). Ведь, если злоумышленники получат доступ к вашему компьютеру, они все равно смогут прочитать ваши сообщения. Правда, Павел не упомянул, что так просто прочитать сообщения им помешало бы незнание пароля, который можно установить в десктоп-версии Телеграм.

2018. Сверхзащищенный мессенджер Signal «тайно» сохраняет историю и ключи шифрования открытым текстом

Исследователь в области информационной безопасности Мэтью Сюиш поделился открытием, что один из самых защищенных крипто-мессенджеров Signal «подложил» своим пользователям «свинью» впечатляющих размеров. Мессенджер в процессе миграции от расширения для Chrome до полноценного десктопного клиента экспортирует сообщения пользователя в незашифрованные текстовые файлы. Никаких предупреждений о том, что информация расшифровывается и сохраняется на диск, программа не выводит. Этот момент и является ключевым для угрозы утечки конфиденциальных данных. Самое плохое же в этой ситуации - незашифрованные сообщения остаются на диске даже после завершения апгрейда, и удалять их придется вручную, если, конечно, пользователь вообще догадается…

Skype запустил систему оконечного шифрования (end-to-end) для всех пользователей Skype на Windows Desktop, Android, iOS, Mac и Linux. Чтобы начать зашифрованную беседу, нужно выбрать пользователя из списка контактов и нажать «Начать личную беседу». Для этого у обоих собеседников должна стоять последняя версия Skype. Все сообщения и звонки в личной беседе зашифрованы до её завершения. Зашифрованный чат доступен пользователю только на том устройстве, на котором он его начал: если он перейдёт с компьютера на смартфон, ему придётся начать новую беседу, все переданные и полученные сообщения и файлы при этом останутся на компьютере.

2018. Сбербанк запустил собственный мессенджер

Сбербанк добавил в свое мобильное приложение «Сбербанк Онлайн» собственный мессенджер Диалоги . Зачем банку свой мессенджер? Дело в том, что кроме передачи сообщений в нем можно очень просто переводить деньги. Мессенджер расчитан только на клиентов Сбербанка: номер телефона привязан к карте «Сбербанка». Отмечается, что переписка защищена технологиями «Сбербанка». Интересно, что в декабре 2017 ходили слухи, что Сбербанк переговоры о покупке разработчика мессенджера для корпоративных коммуникаций Dialog. Но чем закончились переговоры - неизвестно.

2017. Защищенный мессенджер Threema получил десктопную версию

Threema объявила о выпуске десктопной версии своего защищенного мессенджера Threema, с помощью которого сервисом можно пользоваться и на настольном компьютере. Как и мобильная версия, веб-клиент Threema обеспечивает высокий уровень защиты информации и максимально ограничивает любые некритические сценарии взаимодействия с данными. В частности, вместо использования сервера для синхронизации сообщений, Threema устанавливает прямое зашифрованное соединение между браузером и мобильным устройством с помощью протокола SaltyRTC. Таким образом, сообщения могут быть синхронизированы без необходимости их обработки сервером. Если браузер и мобильное устройство подключены к одной и той же сети, то данные не покинут ее пределы.

2016. В Facebook Messenger появилось end-to-end-шифрование

В Facebook Messenger появились «секретные» чаты с end-to-end-шифрованием. Начать «секретный» чат можно из меню создания нового сообщения, нажав на кнопку «Secret». После этого мессенджер предложит выбрать, с кем из пользователей нужно начать шифрованную переписку. «Секретные» чаты доступны только на тех устройствах, на которых они были открыты в первый раз. Кроме того, есть возможность добавлять таймер к сообщениям - после истечения указанного отрезка времени они удаляются. При этом в таких чатах недоступна отправка GIF-файлов и видео, однако есть возможность отправлять изображения и стикеры. У каждого участника переписки приложение Messenger должно быть обновлено до последней версии.

2016. Дуров и Сноуден поспорили о защищённости Telegram и WhatsApp

Создатель мессенджера Павел Дуров и бывший сотрудник ЦРУ Эдвард Сноуден поспорили в Твиттере о защищенности мессенджеров. Началось все с того, что Сноуден не рекомендовал пользоваться новым мессенджером (потому что он хранит переписку на сервере), а потом заявил что - надежнее Telegram, т.к. по-умолчанию обеспечивает end-to-end шифрование. Конечно, Павел не смог пройти мимо такого, и возразил, что в Telegram такое-же шифрование можно при желании включить, а вот WhatsApps вынуждает юзеров использовать внешние сервисы для хранения переписки. В итоге, оба согласились, что если пользователь - невнимательный или просто не заботится о конфиденциальности информации - он может в любом мессенджере ее потерять.

2016. Viber начал шифровать сообщения и запустил секретные чаты

Вслед за Telegram и WhatsApp, самый популярный мессенджер в нашей стране вводит end-to-end шифрование. Теперь все голосовые звонки, личные и групповые чаты, а также пересылаемые файлы будут полностью защищены. При этом сервис не видит содержание сообщений и не хранит архивов переписки. Переписку, зашифрованную таким образом, не смогут запросить у компании даже спецслужбы. В течение нескольких недель технология заработает на всех устройствах, на которых версия Viber будет обновлена до 6.0 – это относится и к мобильному, и к десктопному приложениям. Новая версия Viber также получила «секретные чаты» с доступом лишь по четырёхзначному пин-коду или по отпечатку пальца (версия под iOS), так что чуть-чуть решает и проблему потери смартфона его владельцем.

2016. Мессенджер WhatsApp включил полное шифрование сообщений

Мессенджер (принадлежащий Facebook) включил функцию оконечного шифрования для всех пользователей своего мессенджера. Для реализации шифрования в WhatsApp используется библиотека мессенджера Signal, который считается одним из самых безопасных в мире. Использование этой библиотеки гарантирует, что на промежуточном сервере данные не только не могут быть расшифрованы, но там также не хранится какая-либо информация метаданных, по которой можно идентифицировать собеседников. Шифрование применяется ко всему пересылаемому содержимому, включая, чаты, групповые чаты, фотографии, вложения, голосовые заметки, а также голосовые вызовы. Для создания защищенного канала необходимо отсканировать QR-код с одного телефона другим. Подобная технология оконечного шифрования используется в мессенджере Telegram Павла Дурова, однако в нём она работает только в так называемых «секретных чатах», рассчитанных на двух собеседников.

2015. В России появился собственный защищенный бизнес-мессенджер

На днях на Хабре появился хороший сравнительный анализ безопасности современных мессенджеров. Наиболее защищенными признаны Telegram, Signal, Tox, Jabber. Но если для вас важным параметром безопасности мессенджера является его отечественное происхождение и размещение, то обратите внимание на новинку - бизнес-мессенджер Avirton . Он разработан в России и все его сервера расположены на территории РФ, так что даже государственные органы смогут пользоваться мессенджером, не опасаясь утечек. Для шифрования данных применяется технология AES (используемая в качестве стандарта правительством США). Что касается финансовой безопасности проекта, то Avirton уже привлек более $1 млн от частных инвесторов и рассчитывает на дополнительные инвестиции в $5 млн и получение оценки бизнеса в $30 млн до конца года.

2015. Facebook запустила корпоративный мессенджер

В начале этого года Facebook запустила бизнес-версию своей социальной сети - Facebook at Work . Смысл в том, что сотрудники одной компании могут получить рабочие аккаунты (отдельные от персональных) и организовать совместную работу на закрытой страничке компании, подобно как это делается, например, в живой ленте Битрикс24. Теперь же для компаний, использующих Facebook for Work стал доступен мобильный мессенджер Work Chat , который позволит безопасно общаться в режиме реального времени, не прибегая к использованию потребительских мессенджеров, аля WhatsApp или Viber. Помимо обмена текстовыми сообщениями Work Chat позволяет обмениваться фотографиями, файлами и видео. Можно создавать индивидуальные или групповые чаты. Вместо списка контактов в приложении используется каталог сотрудников. Пока доступна версия мессенджера только для Android, скоро ожидается версия для iPhone.

2015. Разработчики Tor выпустили защищенный мессенджер

Разработчики браузера Tor выпустили мессенджер Tor Messenger , в основе которого лежит та же технология анонимизации пользователей. Он работает на Windows, OS X, Linux и поддерживает большое количество сервисов, включая AOL, Twitter, Yahoo Messenger, Google Talk, Facebook, Jabber, ICQ и IRC. В сети Tor на пути от пользователя к серверу и обратно проходит через несколько узлов. Принцип анонимизации заключается в том, что информация об адресе предыдущего узла на каждом новом узле, куда пришли данные, отсутствует. Таким образом, теоретически, никто не может узнать, откуда пришел запрос на сервер, то есть откуда и с какого ПК человек выходил в сеть.

2015. ViPNet Connect от «Инфотекс» обеспечит конфиденциальность мобильных коммуникаций

Компания «Инфотекс», российский разработчик программных, программно-аппаратных VPN-решений и средств криптографической защиты информации, объявила о выпуске нового приложения для мобильных устройств ViPNet Connect. Новинка позволит корпоративным пользователям обмениваться важной бизнес-информацией по защищенным каналам с помощью чата, а также при голосовых вызовах. ViPNet Connect представляет собой альтернативу использованию в корпоративных целях мессенджеров публичных сервисов Skype, Facebook, «ВКонтакте», WhatsApp, Viber и др., которые несут множество рисков для безопасности организации. Приложение ViPNet Connect реализует информационный обмен между пользователями через защищенную ViPNet-сеть, исключая возможность перехвата конфиденциальной и навязывания ложной информации. Важным отличием программного комплекса ViPNet Connect от известных мессенджеров является возможность обеспечения защиты точка-точка, без задействования промежуточных серверов при передаче конфиденциальных данных, указали в компании.

2008. Cisco защитит унифицированные коммуникации

SIP-защита для унифицированных коммуникаций состоит в использовании протокола SIP в межсетевом экране Cisco IOS Firewall для защиты голосовой связи. Это новшество позволит компаниям принять концепцию распределенного предприятия, повысить производительность труда и минимизировать угрозы, связанные с передачей голоса. Это обновление превращает сетевые решения CISCO Self-Defending Network (самозащищающаяся сеть) в более широкое системное решение, обеспечивающее общую защиту сетей, а также самых разных оконечных устройств, приложений и контента.

2007. Компания Skype стремится повысить безопасность своего ПО

Популярный оператор пиринговой IP-телефонии Skype планирует заключить соглашение о сотрудничестве с компанией, специализирующейся на защите сетей мгновенных сообщений, FaceTime Communications. По данным информационного издания Silicon, Skype таким образом попытается дать больше инструментов контроля над сеансами IP-телефонии с тем, чтобы продвинуть свои услуги в бизнес-секторе. Ожидается, что за этим соглашением последуют ряд других, аналогичных сделок. Намерение Skype сделать свое ПО общедоступным инструментом делового общения, потребовало изменить отношение к проблемам IT-менеджеров предприятий, которые оказались не в состоянии контролировать трафик популярной телефонной системы. По официальным данным Skype приблизительно 30% из 171 млн. зарегистрированных пользователей принадлежат миру бизнеса.

2006. Безопасная система мгновенных сообщений NTT

Инженеры корпорации NTT Communications разработали систему передачи мгновенных сообщений, способную в соответствии с юридическими требованиями, включая Sarbanes-Oxley Act, регистрировать и архивировать передаваемую информацию, а также взаимодействовать с другими подобными системами. В ее основе - сервер, через который передаются все сообщения, где также сохраняются их копии. Для предотвращения несанкционированного перехвата информации и спуффинга связь между сервером и IM-клиентами осуществляется с использованием технологии Transport Layer Security. Решение NTT отличается от других систем, в которых серверы применяются только для организации связи между различными клиентами. Использование центрального сервера позволяет устанавливать политики, определяющие дисциплину связи пользователей и типы передаваемых файлов. Предусмотрена работа с клиентским ПО для ПК с ОС Windows и для сотовых телефонов с Java iAppli, а также с Web-интерфейсами.

Парадоксально, но факт: при всем разнообразии мессенджеров выбирать их обычно не приходится - люди просто пользуются тем же, чем их друзья и знакомые. Но что, если секретность действительно важна? В этой статье мы пройдемся по списку современных мессенджеров и посмотрим, какие гарантии защиты есть у каждого из них.

Не так давно я заглянула наткнулась на опрос «Какой мессенджер вы считаете самым надежным?». Самый популярный ответ (Telegram) меня насторожил. Тогда я поняла, что все это зашло слишком далеко и пользователи уже потеряли связь с реальностью после атаки маркетинг-хедкраба (на картинке).

Я решила составить список мессенджеров и посмотреть, как у каждого из них обстоят дела с безопасностью. В список пошли как популярные, так и перспективные в плане безопасности программы. Сразу предупреждаю, что углубляться в техническую сторону мы будем настолько, насколько это необходимо для среднего пользователя, не дальше.

Критерии выбора защищенного мессенджера

Распространяется ли исходный код мессенджера на условиях одной из свободных лицензий? Если да, то ведется ли разработка открытым методом? Насколько тесно разработчики взаимодействуют с сообществом? Принимают ли pull request’ы? Все это важно учитывать при выборе.

Степень централизации

Здесь возможен один из трех вариантов:

Возможность анонимной регистрации и использования

Для некоторых сервисов телефон может понадобиться только для защиты от спама при регистрации, соответственно, очень просто использовать сервисы аренды номеров для SMS.

В остальных случаях мессенджер плотно привязан к телефону. Это плохо тем, что если не включена двухфакторная аутентификация, то при получении доступа к этому номеру можно зайти в аккаунт и слить все данные. Но даже если двухфакторка включена, все равно остается возможность удалить все данные с аккаунта. Ну и конечно, это, считай, регистрация по паспорту (используем реалии РФ, других не завезли).

Но не все так плохо. Есть мессенджеры, которые позволяют регистрироваться с использованием почтового ящика или учетной записи в социальной сети. Есть и такие, где учетную запись можно создать в самом мессенджере без привязки к чему-то.

Наличие End-to-End Encryption (E2EE)

Некоторые мессенджеры имеют такую функцию по умолчанию, в других ее можно включить, но есть и те, где сквозного шифрования просто нет.

Синхронизация E2EE-чатов

Опять же эта функция пока что встречается не так часто, как хотелось бы. Ее наличие сильно упрощает жизнь.

Уведомление о необходимости проверки отпечатков E2EE

При старте E2EE-чатов некоторые мессенджеры предлагают проверить отпечатки собеседников, другие не предлагают это открыто. Но не все мессенджеры имеют функцию проверки отпечатков.

Запрет делать скриншот секретного чата

Не самая полезная функция, потому что для обхода запрета достаточно, например, иметь под рукой второй телефон.

Групповые E2EE-чаты

Групповые E2EE-чаты обычно не такая уж необходимая функция, но весьма удобная. Правило «больше двух - говори вслух» стоит оставить для детей.

Уведомление о необходимости проверки отпечатков E2EE в групповых чатах

При добавлении нового собеседника, с которым не сверены отпечатки, в секретный групповой чат не все мессенджеры предлагают проверить его отпечатки. Из-за такого упущения теряется смысл секретных чатов.

Защита социального графа

Некоторые мессенджеры собирают информацию о контактах пользователя и другую метаинформацию, например кому звонил пользователь, как долго разговаривал. На эту тему есть .

Мы выбрали лишь часть критериев, которые могут сыграть роль при выборе мессенджера. Существуют и другие, но не всегда они связаны с безопасностью. Группа ученых из европейских университетов неплохо разложила все по полочкам в работе Obstacles to the Adoption of Secure Communication Tools (). Также всегда полезно знакомиться с результатами независимого аудита, если они есть. Например, в случае с Signal такой аудит проводился ().

Обзор защищённых (и не очень) мессенджеров

Telegram

Мессенджер, созданный командой Павла Дурова, построен на технологии шифрования переписки MTProto. На данный момент частично заблокирован на территории России, но эта блокировка - отдельная тема для разговора.

Мессенджер неоднозначный. Вокруг него много шума, но оправдан ли он? Доступа к исходникам нет, чаты по умолчанию не шифруются, нет защиты социального графа (все твои контакты хранятся на серверах Telegram), нет групповых E2EE-чатов, E2EE-чаты не поддерживаются в настольной версии программы, только в мобильной, мессенджер централизованный, сообщения хранятся на сервере (и они, как уже было отмечено, не зашифрованы), и при всем этом отсутствует возможность анонимной регистрации.

Если ты хочешь использовать Telegram, то для защиты переписки не забывай создавать секретные чаты. В мобильной версии для этого нужно выбрать команду New Secret Chat. Из настольных версий секретные чаты поддерживают только некоторые (например, один из двух клиентов для macOS).

В секретном чате сообщения шифруются и не хранятся на серверах мессенджера. Также нельзя сделать скриншот секретного чата, но ничто не мешает сфотографировать такой чат с экрана.

• Лицензия: формально - GPLv3. Однако важная часть разработки закрыта. Если взглянуть на репозитории, то видно, что в последнее время какое-то движение наблюдалось только в вебовой версии. Увы, в таком виде это скорее иллюзия открытости
• Степень централизации: централизованный
• нет
• Наличие E2EE: реализованы, но как дополнение. По умолчанию чаты не шифруются
• Синхронизация E2EE-чатов: нет. Секретный чат можно использовать только с одного устройства, с другого доступа к нему уже не будет
• нет. Пользователи могут сами зайти в настройки, чтобы сравнить отпечатки
• есть, но работает не на всех устройствах
• Групповые чаты E2EE: нет
• Защита социального графа: нет

Signal

Мессенджер Signal разработан американским стартапом Open Whisper Systems, где, кроме двоих основателей, работает всего несколько человек. Для шифрования сообщений используется созданный специально для него криптографический протокол - Signal Protocol. Он применяется для сквозного (end-to-end) шифрования звонков (голосовых и видео), а также обычных сообщений. Протокол Signal с тех пор стали использовать и другие мессенджеры: WhatsApp, Facebook Messenger, Google Allo.

Казалось бы, в этом случае любой мессенджер может стать таким же безопасным, как и Signal. Но, как показывает практика, - нет. В отличие от Signal, где шифрование включено по умолчанию, в этих мессенджерах оно выключено. Для его включения в Facebook Messenger нужно активировать Secret Conversations, а в Google Allo - режим инкогнито (Incognito Mode).

Помимо этого, Signal децентрализованный, а его исходные коды открыты. Есть поддержка групповых E2EE-чатов, есть защита социального графа, поддерживаются .

Однако не стоит путать защиту с анонимностью. Signal не анонимен: при регистрации нужно указывать номер телефона, к которому мессенджер и привязывается. Что касается исчезающих сообщений, то эта фишка встречается и в других мессенджерах, например в Viber и Telegram (в меню секретного чата нужно выбрать команду Set self-destruct timer).

• Лицензия: AGPLv3
• Степень централизации: децентрализованный
• Возможность анонимной регистрации и работы: нет. Кроме номера телефона, других вариантов нет. Использование временного приведет к тому же результату, что и в случае с Telegram
• Наличие E2EE: есть. Используется - специально разработанный для этого мессенджера протокол шифрования сообщений
• Синхронизация E2EE-чатов: есть
• Уведомление о проверке отпечатков E2EE: нет. Пользователям предлагается сосканировать QR-коды друг у друга или сравнить отпечатки
• Запрет на скриншоты секретных чатов: можно включить или выключить
• Групповые чаты E2EE: есть
• нет
• Защита социального графа: есть

Viber

Viber - интересный мессенджер. С одной стороны, он проприетарный, централизованный, привязывается только к номеру телефона, не обеспечивает защиту социального графа. С другой стороны, сквозное шифрование основано на протоколе Signal и включено по умолчанию, даже в настольной версии. Для дополнительной безопасности существуют секретные чаты с возможностью общаться группой.

Секретные чаты позволяют настроить таймер самоуничтожения для каждого сообщения: оно будет удалено через установленное время после просмотра - как с твоего устройства, так и со всех устройств получателей. Сообщения секретного чата защищены от пересылки, а скриншоты или запрещены, или оставляют уведомление на экране чата.

Для перехода в секретный чат нужно открыть чат с пользователем и выбрать из его меню команду «Перейти в секретный чат». Такой чат будет отмечен замком.

Дополнительно Viber позволяет создавать скрытые секретные чаты - они не будут отображаться в общем списке. Чтобы получить доступ к скрытому чату, нужно ввести установленный ранее PIN-код. Это дополнительная защита на тот случай, если телефон попадет в чужие руки.

• Лицензия: проприетарная
• Степень централизации: централизованный
• Возможность анонимной регистрации и работы: только по номеру телефона
• Наличие E2EE: есть, по умолчанию. Также есть секретные и скрытые чаты, которые обеспечивают дополнительную безопасность
• Синхронизация E2EE-чатов: нет. Созданный в мобильной версии секретный чат не отобразился в десктопной версии
• Уведомление о проверке отпечатков E2EE: для проверки отпечатков предлагается совершить звонок собеседнику, сообщить свой идентификатор, после чего подтвердить его корректность, но уведомления, что это необходимо для обеспечения собственной безопасности, нет
• Запрет на скриншоты секретных чатов: есть
• Групповые чаты E2EE: есть
• Уведомление о необходимости проверки отпечатков E2EE в групповых чатах: нет
• Защита социального графа: нет

WhatsApp

WhatsApp использует Signal Protocol, но это само по себе не дает никаких гарантий. Конечно, этот мессенджер интересен тем, что не хранит твои сообщения на своих серверах. Вместо этого сообщения хранятся на телефоне (а также в облачных сервисах, с которыми он синхронизирован, например iCloud). Также E2EE используется по умолчанию с поддержкой групповых чатов.

Однако хоть WhatsApp и не получает самой переписки, его владельцы имеют доступ к метаданным, в том числе собирают телефонные номера из адресной книги, время отправки сообщений и звонков и так далее. Представь, что в 2:30 ты звонил в «секс по телефону» и твой разговор длился 24 минуты. Ну да, никто не узнает, как конкретно шла беседа, но это в данном случае не очень-то и нужно.

Кроме этого, WhatsApp собирает тонны информации о пользователе: модель его телефона, ОС, информацию, полученную от браузера, IP-адрес, мобильный номер и так далее.

Добавь к этому проприетарный код, и ты получишь далеко не самый лучший с точки зрения анонимности вариант. Может, никто и не перехватит твои сообщения, но сам мессенджер будет знать о тебе многое.

• Лицензия: проприетарная
• Степень централизации: централизованный
• Возможность анонимной регистрации и работы: только по номеру телефона
• Наличие E2EE: по умолчанию
• Синхронизация E2EE-чатов: есть
• Уведомление о проверке отпечатков E2EE: есть только в случае смены ключа собеседником. Чтобы уведомление пришло, необходимо зайти в настройки и включить эту функцию. При старте чата никаких уведомлений нет
• Запрет на скриншоты секретных чатов: нет
• Групповые чаты E2EE: есть
• Уведомление о необходимости проверки отпечатков E2EE в групповых чатах: нет
• Защита социального графа: нет

Наличие сквозного шифрования - еще не гарантия того, что переписка не будет перехвачена. Его можно обойти либо проэксплуатировать какую-то уязвимость, как это уже было в случае с WhatsApp.

Briar

Briar - не очень популярный мессенджер, и готов поспорить, что далеко не все наши читатели знают о его существовании. Однако он хорош: основан на технологии децентрализованных сетей (mesh), может работать по Bluetooth или Wi-Fi либо через интернет, но в таком случае он подключится через Tor.

Исходники Briar открыты, есть возможность анонимной регистрации и использования, а чаты шифруются по умолчанию, причем не хранятся на серверах Briar (то есть твои сообщения в зашифрованном виде хранятся только на твоем телефоне). Есть защита социального графа (никто никому не сливает твою адресную книгу), есть групповые E2EE-чаты, но нет синхронизации E2EE-чатов между устройствами, поскольку нет возможности использовать одну и ту же учетку на разных устройствах.

На фоне всех остальных мессенджеров Briar выглядит очень неплохо, если нужна анонимность общения. Но у него есть и недостатки: нет версии для iPhone, нет возможности голосовых звонков. Если с отсутствием звонков еще можно мириться, то без версии для одной из крупных платформ круг общения окажется еще более узким.

• Лицензия: GPLv3
• Степень централизации: децентрализованный
• Возможность анонимной регистрации и работы: есть
• Наличие E2EE: есть, по умолчанию
• Синхронизация E2EE-чатов: нет
• Уведомление о проверке отпечатков E2EE: при добавлении контакта необходимо сосканировать QR-код собеседника с экрана его телефона, другого варианта добавить его нет. Считаем, что уведомление есть
• Запрет на скриншоты секретных чатов: есть
• Групповые чаты E2EE: есть
• Уведомление о необходимости проверки отпечатков E2EE в групповых чатах: в групповой чат можно добавить только собеседника из тех, чьи QR-коды уже проверены. Также считаем, что уведомление есть
• Защита социального графа: есть

ТамТам

При создании «ТамТама» никто не делал упор на безопасность, и об этом нужно помнить. Внимание к нему может привлечь разве что возможность регистрации через почту Google или «Одноклассники». Однако шифрование сообщений не поддерживается (или разработчики об этом не сообщают), и нет защиты социального графа. То есть, как бы ты ни регистрировался, без дополнительных мер все равно будет понятно, кто ты. В общем, даже как замена для «Телеграма» этот мессенджер не годится, несмотря на все чаяния его разработчиков.

• Лицензия: проприетарная
• Степень централизации: централизованный
• Возможность анонимной регистрации и работы: возможна регистрация с использованием почты Google или через «Одноклассники»
• Наличие E2EE: нет
• Защита социального графа: нет

Вконтакте

Снова проходим мимо: вряд ли кому-то в здравом уме придет в голову мысль использовать «Вконтакте» как средство для анонимного общения. Сообщения хранятся на серверах соцсети, не шифруются, регистрация только по номеру телефона - в общем, полный набор того, чего мы тут пытаемся избежать.

• Лицензия: проприетарная
• Степень централизации: централизованный
• Возможность анонимной регистрации и работы: только по номеру телефона
• Наличие E2EE: нет
• Защита социального графа: нет

Facebook Messenger

Мессенджер, прилагающийся к Facebook, построен на основе открытого протокола MQTT. На всякий случай напомню, что это именно протокол обмена сообщениями - не путать с протоколом шифрования. После того как на мобильных телефонах Messenger выселили в отдельное приложение, у пользователей Facebook оставалось мало выбора, кроме как установить еще и его. Однако регистрироваться в «Мессенджере» можно и без аккаунта в FB.

Если сравнивать чаты «Вконтакте» и Facebook Messenger, то второй оказывается на голову выше. Во-первых, можно регистрироваться с анонимной почтой. Во-вторых, поддерживаются E2EE-чаты, но не по умолчанию. Для включения шифрования сообщений нужно активировать Secret Conversations.

Однако помни, что Facebook собирает очень много всевозможной информации о пользователе, поэтому вряд ли подойдет для анонимного общения. Также не поддерживается синхронизация E2EE-чатов и многого другого (см. выше). Если тебе интересно, какую информацию собирает Facebook, прочитай (если у тебя нет аккаунта, то можно ).

Wire

Wire - один из наиболее анонимных мессенджеров. В его основе - протокол Wire Swiss, основанный на Signal. Чем он хорош? Во-первых, есть возможность анонимной регистрации. Во-вторых, по умолчанию поддерживается сквозное шифрование с возможностью синхронизации зашифрованных чатов. В-третьих, есть защита социального графа, поддерживаются групповые зашифрованные чаты (до 128 человек) и безопасные конференц-звонки (до 10 человек). Что-то подобное мы видели в Briar, но у Wire еще и огромный выбор поддерживаемых платформ: Android, iOS, Windows, macOS, Linux.

Должна быть ложка дегтя? Она есть: мессенджер платный и стоит шесть евро в месяц (четыре при оплате за год). Разработчики утверждают, что это плюс: подобная бизнес-модель - это хоть какая-то гарантия того, что на твоих данных не попытаются заработать. С другой стороны, денежные транзакции плохо ладят с анонимностью. Зато есть пробный период на месяц!

• Лицензия: GPLv3
• Степень централизации: централизованный
• Возможность анонимной регистрации и работы: есть. С помощью почты
• Наличие E2EE: есть, по умолчанию
• Синхронизация E2EE-чатов: есть
• Уведомление о проверке отпечатков E2EE: нет, но возможность есть
• Запрет на скриншоты секретных чатов: нет
• Групповые чаты E2EE: есть
• Уведомление о необходимости проверки отпечатков E2EE в групповых чатах: есть. Если один из пользователей отправляет в секретный групповой чат сообщение с устройства, которое не верифицировано у другого пользователя, то, когда второй попытается отправить сообщение, перед ним появится предупреждение о том, что у первого новое устройство
• Защита социального графа: есть

Jabber (OMEMO)

Если старина Jabber и выбивается из компании современных мессенджеров с веселыми стикерами и голосовыми звонками, то в плане приватности он по-прежнему во многом незаменим. Он федеративный, поддерживает анонимную регистрацию, E2EE-шифрование (правда, нужно расширение OMEMO), в том числе групповое.

Да, возможности не поражают воображение, но Jabber проверен временем и к тому же имеет реализации на всех возможных платформах. ChatSecure для iOS, Conversations - для Android, Pidgin - для Linux и так далее, список огромен.

Riot (Matrix)

Чего создателям этого мессенджера не занимать, так это умения придумывать крутые названия. Собственно, Matrix - это протокол коммуникации, а Riot - это клиентское приложение (бывают и - в том числе для консоли). Использовать можно как вебовый вариант, так и программы для iOS и Android.

В целом это еще один малоизвестный федеративный мессенджер с поддержкой и синхронизацией чатов E2EE, в том числе групповых. Регистрация анонимная, без привязки к номеру мобильного телефона или почте. Поддерживается голосовая связь и видеозвонки.

Шифрование переписки в Riot можно включить или выключить - индикатором этого служит значок замочка рядом с полем отправки сообщения. Также если в секретном групповом чате появится пользователь, чьи устройства не верифицированы другими пользователями, собеседники увидят уведомление об этом при попытке отправить сообщение.

В целом Matrix выглядит как интересный вариант, смутить может только его новизна в сочетании с тем, что протокол свой.

• Лицензия: Apache
• Степень централизации: федеративный
• Возможность анонимной регистрации и работы: есть
• Наличие E2EE: есть, по выбору пользователя
• Синхронизация E2EE-чатов: есть
• Уведомление о проверке отпечатков E2EE: есть
• Запрет на скриншоты секретных чатов: нет
• Групповые чаты E2EE: есть
• Уведомление о необходимости проверки отпечатков E2EE в групповых чатах: есть
• Защита социального графа: есть

Status

Status - это нечто большее, чем просто мессенджер. Конечно, его можно использовать только для общения, но это все равно что ставить Windows ради «Блокнота». Да и общаться здесь не очень-то удобно, даже картинку не отправишь, не говоря уж про такую роскошь, как стикер. Зато прямо в чате есть возможность отправить ETH и создать запрос на его получение.

Приложение пока находится на стадии бета-теста. Да, без глюков пока никак. Установила на два телефона (Samsung и Android). На одном из телефонов приложение работало нормально, на втором постоянно слетала авторизация и приходилось вводить пароль при каждом обращении к мессенджеру (считай, после каждой блокировки экрана) - не очень-то удобно.

Иногда не знаешь, баг перед тобой или никак не объясненная фича. Когда я создала аккаунты на обоих телефонах (для этого ничего не нужно - просто вводи имя) и сосканировала QR-код на экране одного телефона другим, на втором отобразилось совершенно другое имя, которое я видела впервые, - Puny Moral Gonolek. Только после добавления пользователя в контакты имя стало нормальным. При этом имя первого собеседника всю дорогу отображается нормально.

Поскольку есть возможность анонимной регистрации и все чаты шифруются по умолчанию, можно считать, что каждый чат в Status - секретный. Есть и синхронизация секретных чатов, но синхронизироваться будут только входящие сообщения, а вот отправленные с одной учетной записи, но с разных устройств - нет.

Еще один возможный недостаток: сообщения хранятся и на телефоне, и на сервере мессенджера, но разработчики уверяют, что в зашифрованном виде. Зато твоя книга контактов не сливается на серверы мессенджера, что нынче дорогого стоит. В общем, безопасность здесь есть, а возможность перевода криптовалюты, вероятно, кого-то порадует. Но Status пока что скорее интересная диковинка, чем рабочий инструмент.

• Лицензия: MPLv2
• Степень централизации: децентрализованный
• Возможность анонимной регистрации и работы: есть
• Наличие E2EE: по умолчанию
• Синхронизация E2EE-чатов: частичная (см. описание)
• Уведомление о проверке отпечатков E2EE: есть (чтобы начать диалог с пользователем, необходимо ввести его идентификатор или сосканировать с экрана смартфона)
• Запрет на скриншоты секретных чатов: нет
• Групповые чаты E2EE: нет
• Защита социального графа: есть

Threema

Threema - проприетарный централизованный мессенджер, серверы которого находятся в Швейцарии. Кроме текстового общения, пользователям доступны голосовые звонки, возможность отправлять свое местоположение, голосовые сообщения и файлы. Поддерживаются групповые чаты до 50 человек.

Сообщения здесь шифруются полностью и децентрализованным способом на устройствах пользователя, а не на сервере Threema. Сервер скорее играет роль коммутатора: сообщения пересылаются через него, но не хранятся постоянно. Подробно о том, какие данные хранятся и как долго, ты можешь прочитать в .

Для регистрации не нужно указывать данные, которые могут способствовать установлению личности, - ни номер телефона, ни email. При первом запуске программы случайным образом генерируется идентификатор пользователя, на его основе будет сгенерирован QR-код. Все это обеспечивает анонимность общения.

Чтобы начать диалог с собеседником, необходимо ввести его идентификатор. В Threema есть три уровня доверия личности пользователя. Наивысший будет при сканировании идентификатора с экрана смартфона, а самый низкий - при вводе его вручную. Где-то посередине находится синхронизация контактов. Уровень проверки каждого контакта отображается в виде точек рядом с именем.

В отличие от WhatsApp или, например, Facebook Messenger Threema не регистрирует, кто и с кем общается, и не хранит адресную книгу пользователя на своих серверах. Все сообщения на устройствах пользователя хранятся в зашифрованном виде. Способ шифрования зависит от устройства. В iOS используется функция iOS Data Protection, в Android и Windows Phone - AES-256. Шифруются сообщения, изображения и другие данные, передаваемые между пользователями. Дополнительная информация доступна в whitepaper ().

В общем, Threema оставляет неплохое впечатление. Сообщения не могут быть расшифрованы - даже по решению суда, так как хранятся только на телефоне и Threema не имеет доступа к секретным ключам пользователей. Серверы Threema знают только, кто отправляет сообщение и кому, но они не логируют эту информацию и не могут расшифровать содержимое сообщения.

Переходим к минусам. Во-первых, это необходимость разово заплатить. 2,6 евро разово - не бог весть что, но сам факт оплаты может быть нежелательным. Также отсутствие синхронизации и хранения сообщений означает, что сохранить историю ты можешь только сам, сделав бэкап.

• Лицензия: проприетарная для приложений, AGPLv3 для веб-клиента
• Степень централизации: централизованный
• Возможность анонимной регистрации и работы: есть. Можно создать учетную запись без привязки к номеру телефона или почте. Пользователю присваивается уникальный ID, который можно сменить
• Наличие E2EE: есть, по умолчанию
• Синхронизация E2EE-чатов: нет: для каждого устройства генерируется отдельный ID
• Уведомление о проверке отпечатков E2EE: есть. Сообщения в групповых чатах отправляются каждому собеседнику индивидуально, а диалог можно начать только с тем, чей идентификатор подтвержден
• Запрет на скриншоты секретных чатов: нет
• Групповые чаты E2EE: есть
• Уведомление о необходимости проверки отпечатков E2EE в групповых чатах: есть
• Защита социального графа: есть. Адресная книга по умолчанию не загружается на сервер, но при желании пользователь может разрешить доступ к ней

Итоги

Проблема с подобными приложениями состоит не в шифровании, а в протоколировании метаданных. Какой из мессенджеров лучше, вы узнаете из блока на следующей странице. Сам Сноуден рекомендует программу Signal. Его выбор необычайно хорош - к такому же мнению пришли и исследователи проблем безопасности из Оксфордского, Квинслендского университетов и университета Макмастера.

И все же сегодня и WhatsApp, и Facebook делают ставку не только на собственные приложения, но и на протокол Signal. Благодаря этому данные полностью и надежно шифруются по принципу end-to-end (сквозное шифрование). В Face­book Messenger вам придется, однако, сначала активировать эту функцию в меню «Я | Секретные переписки».

Оптимизация. В Facebook Messenger сквозное шифрование сначала необходимо задействовать через пункт «Секретные переписки»

У WhatsApp и Facebook сами сообщения не могут быть отслежены, однако Face­book целиком сохраняет метаданные. В связи с этим мы рекомендуем склонить всех своих знакомых к переходу на приложение Signal. И все же, несмотря на предостережения, многие спокойно могут продолжать пользоваться WhatsApp и другими приложениями.

В WhatsApp необходимо дополнительно убедиться, чтобы как можно меньше информации проходило через серверы компании. Для этого зайдите в настройки приложения и отключите в разделе «Приватность» первые три опции. Не забудьте избавиться и от «Отчетов о прочтении». Так на серверы WhatsApp попадет минимальное количество метаданнных.

Если вам повезет, вы сможете уговорить собеседников, с которыми вы общаетесь чаще всего, перейти на использование приложения Signal. По отношению к безопасности и приватности на данный момент у него нет конкурентов. Существуют версии программы для iOS и Android. В ближайшее время разработчики планируют выпустить обновление, в котором интерфейс в плане удобства использования ориентирован на WhatsApp.

Избавляемся от прослушки

Для повседневных разговоров с использованием смартфонов не обязательно покупать криптофон, который по умолчанию шифрует беседу. В большинство мессенджеров уже интегрировано приложение для бесплатных звонков. Его преимущество заключается не только в шифровании, а еще и в том, что его использование не будет стоить вам ни копейки.

Все, что вам требуется, - это подключение к Интернету. Однако не забывайте, что при этом расходуется примерно 1 Мбайт трафика в минуту. Если разговаривать таким способом в среднем час в день, в месяц у вас уйдет 1,8 Гбайт. Для долгих бесед советуем пользоваться открытыми сетями Wi-Fi.

Впрочем, с помощью одного трюка вы можете сократить расход трафика. В разделе «Настройки | Данные» поставьте флажок рядом с опцией «Экономия данных». Теперь в приложении не будет использоваться технология HD-Voice, при этом качество звонка ухудшится, но потреб­ление трафика понизится.

Если применить все советы, представленные в данной статье, вы практически идеально убережете свою информацию от атак. В большинстве случаев после этого даже у секретных служб не останется шансов добраться до ваших данных.

Понятно, что стопроцентной защиты не существует. Но теперь для просмотра потребуется приложить неимоверные усилия, поскольку данные оптимальным образом зашифрованы и защищены, даже когда разведки Великобритании и США проводят полномасштабную слежку.

Самый безопасный мессенджер

> WhatsApp После поглощения сервисом Facebook базы данных компаний все сильнее объединяются. В будущем информация всех пользователей WhatsApp будет автоматически синхронизироваться с Facebook, что позволит этой службе создавать точные профили. При этом сам мессенджер в принципе очень надежен. Внедрение сквозного шифрования для всех клиентов и видео- и аудиотелефонии было встречено на ура.

> Signal Самым безопасным мессенджером на данный момент является Signal. Отличное шифро­вание и оптимальные профили приватности: приложение сохраняет лишь момент регистрации и последнего использования. Разработчикам, однако, еще нужно серьезно поработать над удобством обслуживания.

> Threema Гораздо комфортнее работать со швейцарским продуктом Threema. Полное шифрование, незначительный сбор информации и качественная помощь пользователю объясняют звание лучшего мессенджера.

Нюанс: пока у этого приложения еще слишком мало фанатов. Но ситуация может измениться: после выборов в США был зарегистрирован прирост пользователей почти на 40 процентов.

Фото: компании-производители; vchalup, tashatuvango, Scanrail, Oleksandr Delyk, 2nix/Fotolia.com

Все крупные и не очень корпорации сотрудничают с правоохранительными органами, подчиняясь законодательству стран, в которых они работают. Google, Apple, Facebook, Skype, WhatsApp, Viber и многие другие соцсети и мессенджеры делятся с властями некоторым количеством пользовательских данных. Кто-то сливает больше, кто-то меньше, но горькая правда в том, что это делают все.

Показательные борцы за свободу не моргнув глазом выдадут все ваши секреты. Например, создатели популярного мессенджера Viber, которых, согласно российскому законодательству, обязали перенести серверы на территорию РФ, выполнили требования властей в конце прошлого года. Официально такой шаг объясняют необходимостью хранения персональных данных на серверах внутри страны, но все мы знаем истинные мотивы: дело в желании спецслужб получить доступ к переписке.

Под «легче» в данном случае понимается то, что для слежки даже не требуется взаимодействие с операторами сотовых сетей: все необходимые инструменты имеются в распоряжении соответствующих органов. Это же касается WhatsApp, Skype и других мессенджеров, не говоря уже об обычных СМС. Более того, читать вашу переписку могут не только спецслужбы, но и конкуренты, враги и вообще любой, кто воспользуется услугами специальных сервисов. Стоят они недорого и легко гуглятся по запросу «распечатка СМС».

Под любой нашей статьёй на тему СМС предприимчивые дельцы предлагают свои услуги

Когда правоохранительные органы не могут добыть нужные им данные с помощью имеющихся рычагов давления, они идут на радикальные меры. Буквально в начале марта за отказ сотрудничать с полицией Бразилии был задержан вице-президент латиноамериканского отделения Facebook. Предметом споров стала информация о пользователях соцсети, якобы причастных к распространению наркотиков.

В декабре 2015-го бразильский суд заблокировал на территории страны WhatsApp (принадлежит Facebook) после отказа предоставить информацию о переписке предполагаемых преступников. В итоге пострадали все: полиция отключила около 100 миллионов местных пользователей, вызвав бурную реакцию в соцсетях и негодование главы Facebook Марка Цукерберга (Mark Zuckerberg).

Ещё более показательным в борьбе за неприкосновенность персональных данных является противостояние и ФБР, которое пока так и не получило своей развязки. Спецслужбы говорят о предотвращении терактов и обеспечении национальной безопасности, не желая признавать, что таким способом преступность не победить. Главный же юрисконсульт Apple на слушаниях в конгрессе заявил, что, даже если бы у спецслужб появилась возможность взломать любой iPhone, преступники в любом случае нашли бы способы тайной коммуникации, и привёл в качестве примера мессенджер Telegram.

Против лома есть приём

Представитель Apple прав: способов защищённой переписки существует масса и придуманы они далеко не вчера. Детище Павла Дурова Telegram первым приходит на ум из-за своей популярности и невзламываемой репутации: назначенную ещё в далёком 2013-м награду в 200 000 долларов за взлом зашифрованной переписки Telegram до сих пор никто не получил.

Такая неуязвимость объясняется самим принципом работы защищённых мессенджеров вообще и Telegram в частности. В последнем используется специально разработанный протокол MTProto и двухслойное шифрование с 256-битным AES-ключом: они обеспечивают высокую скорость и надёжность. А ещё в Telegram, помимо обычных чатов, есть так называемые секретные (Secret Chats). В них переписка шифруется без участия сервера, а все сообщения пересылаются напрямую с устройства отправителя на устройство получателя (peer-to-peer). Даже если предположить, что данные удастся перехватить, расшифровать их без ключей, хранящихся на устройствах участников беседы, будет просто невозможно.

Ещё одно преимущество P2P-передачи состоит в том, что работу мессенджера нельзя заблокировать: когда нет серверов, блокировать просто-напросто нечего.

Правительства авторитарных стран часто грешат блокировками неугодных сервисов. Например, все знают о заблокированном почти на всей территории Китая Facebook. В октябре прошлого года из-за отказа предоставить возможность слежки за пользователями оказался сначала частично, а затем и полностью заблокированным в Иране. Избежать подобных ситуаций можно с помощью P2P-связи, реализовать которую Павел Дуров пообещал после этого инцидента.

Аналогичный подход используется в различных защищённых мессенджерах с end-to-end-шифрованием. Способ передачи ключей может отличаться, но принцип остаётся неизменным: информация пересылается напрямую с устройства на устройство без участия промежуточных серверов.

Что-то подобное, возможно, скоро появится и в Facebook Messenger. Журналисты издания The Information раскопали в коде iOS-приложения довольно любопытные комментарии. Они указывают на некий аналог Apple Pay, позволяющий оплачивать товары и отправлять деньги пользователям, а также сопутствующую этому функциональность секретных чатов. О способе реализации таких бесед пока сложно судить: Facebook может пойти по пути Telegram и внедрить шифрование, а может просто добавить возможность скрывать отдельные переписки и контакты. Во всяком случае, даже если решение будет принято в пользу первого варианта, привлечь пользователей и доказать им, что секретные чаты в Messenger действительно безопасны, окажется не так уж просто.

Как же быть

Тем, для кого надёжность канала коммуникации играет не последнюю роль, стоит обратить внимание на защищённые мессенджеры с упомянутым шифрованием. Пригодятся они не только параноикам, но и всем, кто связан с бизнесом и имеет доступ к любой мало-мальски важной информации, не предназначенной для чужих глаз. Доступных решений существует огромное количество, но мы не станем рассматривать их все, а остановимся на трёх наиболее удобных.

Секретные чаты Telegram

Благодаря широкому распространению мессенджера секретные чаты можно назвать идеальным вариантом. Они гарантируют безопасность пересылаемой информации, имеют функцию самоуничтожения сообщений (включая фото и файлы) через определённое время и не позволяют пересылать переписку другим людям. Для большей безопасности с одним пользователем можно создать несколько бесед и обсуждать в них различные темы.

Создать секретный чат просто: жмём иконку New Message → New Secret Chat и выбираем нужный контакт. Начать переписку можно будет, как только человек появится в Сети. Из-за отсутствия промежуточных серверов отправить сообщение в офлайн нельзя. При этом все неотправленные сообщения хранятся только на вашем устройстве. Понять, что чат секретный, а не обычный, можно по иконке замка рядом с именем контакта.

В отличие от Telegram, изначально заточен под максимальную безопасность. Мессенджер также довольно популярен в своей нише, бесплатен и имеет клиенты для всех десктопных и мобильных платформ. Confide использует end-to-end-шифрование и не хранит сообщения нигде, кроме устройств отправителя и получателя. Более того, мессенджер даже не отображает текст полученного сообщения целиком, а разбивает его на блоки и показывает по частям при наведении курсора или касании пальцем. Прочитанные сообщения сразу же уничтожаются. Тех, кто захочет сохранить содержимое с помощью скриншота экрана, будет ждать неудача: текст мгновенно удалится, а отправитель получит уведомление о провалившейся попытке собеседника.

Аккаунт в Confide привязывается к email, после регистрации можно подключить свои соцсети и разрешить доступ к контактам. Если у кого-то из ваших знакомых установлено приложение, вы сможете безопасно переписываться, отправлять фото и документы.

А это приложение уже для настоящих параноиков. Оно платное, не такое удобное, имеет менее дружелюбный интерфейс, но ещё больше повёрнуто на безопасности и работает только с прямым шифрованием. Здесь не используется ни номер телефона, ни email. Для работы Threema нужна пара ключей, которые вы сами сгенерируете при первом запуске: один из них приватный и хранится на вашем устройстве, другой - публичный и отправляется вашему собеседнику. После этого вам присвоят идентификатор, по которому вас можно найти. Добавить контакт можно и по email или телефону (если человек привязал их к аккаунту), а также с помощью сканирования QR-кода при личной встрече (это самый безопасный вариант).

Threema позволяет обмениваться не только текстовыми сообщениями, но и фото, видео, документами и геометками. Есть приложения для iOS, Android и Windows Phone.

Signal

А что вы думаете по поводу защищённых мессенджеров: стоит ли переходить на них или это только для параноиков? Расскажите, пользуетесь ли вы безопасными чатами, и если да, то каким отдали предпочтение и почему.

Любой мессенджер можно взломать, но с некоторыми это происходит чаще. С какими именно, рассказали в компании Solar Security. Вот самые интересные факты из их исследования.

Что не так с мессенджерами на Android?

Исследование Solar Security показало, что самые проблемные места приложений-мессенджеров для платформы Android - это слабые алгоритмы хеширования, небезопасные реализации SSL, использование пустых паролей, слабые алгоритмы шифрования и небезопасные алгоритмы дополнения при шифровании.

Что это значит для нас ? Все это повышает риски компрометации хранимой на устройстве информации, а значит, увеличивает риск угона логинов и паролей пользователя, да и всей его переписки тоже. Достаточно подхватить трояна на смартфон и вот уже друзья удивляются, почему вы просите одолжить денег или пересылаете странные ссылки.

Но и это еще не все . Небезопасная реализация SSL приводит к тому, что при установлении защищенного соединения приложение проверяет не все параметры сертификата, а значит, его легко подменить и перехватить данные, передаваемые через мессенджер.

Что это значит для нас? Если вы по-прежнему используете общественный Wi-Fi (а почему это лучше не делать, вы можете прочитать ), нехорошие люди могут воспользоваться этой уязвимостью, чтобы пропустить через себя весь трафик между мессенджером жертвы и сервером, а значит, все ваши сообщения будет читать кто-то еще.

С iOS-версиями мессенджеров все тоже непросто

Те же уязвимости чаще всего встречаются и в приложениях для обмена сообщениями под платформу iOS - слабый алгоритм хеширования и шифрования, небезопасная реализация SSL.

Но уязвимости самого приложения, ослабляющие защищенность хранимой и обрабатываемой информации, для платформы iOS менее опасны. Если, конечно, вы не балуетесь джейлбрейком.

В итоге самым защищенным мессенджером оказался…

Больше всего баллов в исследовании Solar Security набрал мессенджер Signal, причем в версии для Android. Он, конечно, не сравним по аудитории с такими монстрами как WhatsApp или Viber, но зато в нем не нашли серьезных уязвимостей, а значит, можно утверждать, что он не по зубам троянам или известным эксплойтам, а данные пользователей в нем — как в швейцарском банке. Не зря его Сноуден рекомендует, в общем. С версией под iOS все немного хуже, тут Signal на четвертом месте, но отставание невелико.

В приложениях Facebook Messenger, Slack, Telegram, Skype, Viber и WhatsApp для Android был обнаружен схожий набор уязвимостей, однако в Facebook Messenger и Slack эти уязвимости встречались реже, и это позволило включить их в тройку лидеров. Этим обусловлены более высокие баллы Facebook Messenger и Slack - 1,8 и 1,7 баллов соответственно.

Хорошее качество кода продемонстрировал Facebook Messenger и в версии для iOS, вслед за ним в рейтинге самых защищенных мессенджеров для «айфонов» идут Viber и Skype - впрочем, с не самыми высокими баллами за защищенность.

А этими мессенджерами лучше не пользоваться

Настоящими лузерами стали китайские мессенджеры QQ International и WeChat. Оба приложения разрабатываются компанией Tencent Holdings, которая делает это явно спустя рукава — число обнаруженных уязвимостей в них очень велико.

Как оценивали мессенджеры

Анализ безопасности кода осуществлялся автоматически, с помощью решения Solar inCode — специального программного продукта для проверки безопасности приложений. Проанализировав приложения, Solar inCode формировал отчеты, в которых оценивался общий уровень защищенности приложения по пятибалльной системе, приводился список обнаруженных закладок, уязвимостей и ошибок, ранжированных по уровню критичности.