Спецпроекты

WhatsApp, Signal и Telegram с треском провалили банальнейший тест на безопасность

Безопасность Пользователю Интернет Интернет-ПО Техника Маркет

WhatsApp, Signal и Telegram «сливают» номера телефонов своих пользователей (а в случае Telegram даже и тех кто в нем не зарегистрирован), что позволяет вытащить всю информацию из их профилей. Она впоследствии может использоваться злоумышленниками для создания поддельных аккаунтов с целью мошенничества, но виноваты в этом будут не только мессенджеры, но и сами пользователи.

Небезопасные мессенджеры

Мессенджеры WhatsApp, Signal и Telegram, известные своими современными технологиями безопасности, не обеспечивали должный уровень защиты личной информации своих пользователей. Об этом сообщили исследователи из Вюрцбургского университета, протестировавшие сервисы на предмет доступа к частной информации совместно с коллегами из Дармштадтского технического университета (оба вуза находятся в Германии).

В своем отчете авторы эксперимента указали, что все три мессенджера, входящие, по версии профильного ресурса TechRadar и разработчика антивирусных решений Avg, в пятерку самых защищенных , раскрывают персональные данные пользователей через сервисы поиска контактов по номерам телефонов, хранящихся в адресной книге. Связано это, по мнению исследователей, с тем, что любой из этих мессенджеров при первом запуске на мобильном устройстве для своей корректной работы запрашивает доступ к контактам владельца гаджета. Получив его, в дальнейшем они с определенной периодичностью загружают список контактов на серверы компании-разработчика.

Какие данные были в открытом доступе

По словам авторов исследования, для парсинга всех трех мессенджеров они использовали совсем небольшое число ресурсов, но даже с их помощью они получили доступ к значительным объемам данных. К примеру, в ходе своего эксперимента при помощи сервиса поиска контактов они просканировали 10% номеров пользователей WhatsApp в США и заодно 100% номеров пользователей Signal, который, как известно, является любимейшим мессенджером Эдварда Сноудена (Edward Snowden). В 2015 г. он заявил, что ежедневно пользуется этим приложением (очевидно, для связи с журналистами).

mess600.jpg
Высокая популярность сервисов для общения вовсе не означает, что они полностью безопасны

В распоряжении исследователей оказались все данные, которые люди выкладывают в своих профилях. Среди них были фотографии аккаунта, никнеймы, статусы, последние дата и время подключения к сервису и т. д.

Анализ данных позволил составить определенную статистику о поведении пользователей. Например, большинство из них не меняют настройки конфиденциальности, оставляя их такими, какими они были при регистрации в мессенджере, а базовые установки в большинстве такого рода сервисов не обеспечивают эту самую конфиденциальность.

Исследователи обнаружили также, что около 50% пользователей WhatsApp в США имеют общедоступное фотографию своего аккаунта. Более того, а 90% не скрывают информацию, которую они разместили в разделе «О себе» (About).

Эксперты отметили и тот факт, что 40% пользователей Signal, изначально позиционировавшегося как самый безопасный мессенджер и нацеленного на тех, кого беспокоит приватность, имеют полностью открытые профили в WhatsApp.

Telegram же и вовсе отличился от двух своих конкурентов. Исследователи смогли с его помощью получить номера телефонов даже тех людей, кто не зарегистрирован в этом мессенджере, но есть в списках контактов пользователей, имеющих аккаунт в нем.

Чем это может грозить

Даже с учетом того, что в пользовательских профилях мессенджеров нет действительно важной информации, которую нельзя раскрывать третьим лицам (номера банковских карт, паспортные данные и др.), доступные сведения могут использоваться злоумышленниками в своих целях. В мессенджерах нет строгих правил регистрации, что позволяет им создавать в них множество аккаунтов с украденной информацией, например, для мошеннических действий. Подобное часто встречается и в социальных сетях – киберпреступник создает клона чьей-либо страницы и начинает, к примеру, выпрашивать деньги у тех людей, кто присутствует в списке друзей владельца подлинного профиля.

Как защититься от сканирования

Авторы исследования заявили, что тип информации, который хакеры или злоумышленники могут получить о том или ином пользователе сервиса, зависят от самого пользователя. Точнее, они зависят от настроек конфиденциальности, которые он выбрал.

Также определенное влияние на распространение личных данных оказывают и сами мессенджеры. Так, если WhatsApp и Telegram передают на свои серверы весь список контактов, то Signal отправляет вместо него лишь короткие хеши номеров телефонов, что затрудняет поиск информации. Тем не менее, исследование немецких специалистов показало, что вывести телефонные номера из хеш-значений при помощи специальных инструментов можно за миллисекунды.

Мессенджеры «сдают» своих пользователей

WhatsApp, Signal и Telegram нельзя считать по-настоящему надежными средствами общения. В каждом из них есть уязвимости, позволяющие без особого труда добраться до тех или иных сведений, для посторонних глаз не предназначенных.

Например, в августе 2020 г. CNews сообщал об обнаружении элементарнейшего способа перехвата чужих сообщений в Telegram при помощи контакта «Избранное». На момент публикации материала уязвимость была устранена.

В июне 2020 г. стало известно, что некоторые номера телефонов, привязанных к пользовательским профилям в WhatsApp, в течение длительного времени находились в открытом доступе и даже попали в поисковую выдачу Google. В общей сложности при помощи Google можно было найти до номера около 300 тыс. пользователей мессенджера, и эта проблема тоже была глобальной.

Но сильнее других отличился Signal. В октябре 2018 г. выяснилось, что при переходе с Signal в виде расширения для браузера Chrome на настольную его версию (Signal Desktop) мессенджер выкладывает на диск пользовательского устройства всю переписку в незашифрованном виде, причем вместе со всеми вложениями. Приложение затем автоматически ре-импортирует все эти диалоги, однако в определенный период все, что должно быть зашифровано, лежит на диске в plaintext. Это позволяет скопировать любую информацию из любой переписки без необходимости ее дешифровки.