Почему WhatsApp никогда не будет безопасен

Ниже приведен полный перевод статьи, вышедшей в Telegram-канале Павла Дурова.

Дуров про WhatsApp

Мир, кажется, шокирован новостью о том, что WhatsApp превратил любой телефон в шпионское ПО.  Всё содержимое вашего телефона, включая фотографии, электронные письма и тексты, было доступно злоумышленникам только потому, что у вас установлен WhatsApp [1].

Эта новость меня не удивила. В прошлом году WhatsApp уже приходилось признавать очень похожую проблему — было достаточно одного видеозвонка через WhatsApp, чтобы хакер мог получить доступ ко всем данным на вашем телефоне [2].

Каждый раз, когда WhatsApp исправляет критическую уязвимость в своём приложении, на её месте появляется новая. Причём все их проблемы безопасности отлично подходят для слежки, выглядят и работают как бэкдоры.

В отличие от Telegram, у WhatsApp исходный код закрыт, поэтому его невозможно проверить на наличие бэкдоров. Мало того, что WhatsApp не публикует свой код, они делают обратное: WhatsApp намеренно обфусцирует код своих приложений, чтобы никто не смог его тщательно изучить.

От WhatsApp и его материнской компании Facebook могут даже потребовать реализацию бэкдоров — с помощью секретных действий, таких как приказ от ФБР о неразглашении [3]. Запустить сервис для приватного общения, находясь при этом в США, нелегко. За 2 недели, которые наша команда провела в США в 2016 году, было осуществлено 3 попытки выхода с нами на связь со стороны ФБР [4][5]. Представьте себе, как 10 лет в этой среде могут навредить американской компании.

Я понимаю, что агентства безопасности оправдывают создание бэкдоров антитеррористическими мерами. Проблема в том, что такие бэкдоры используют преступники и авторитарные правительства. Неудивительно, что диктаторам нравится WhatsApp. Его бреши в безопасности позволяют им шпионить за своими людьми, поэтому WhatsApp продолжает быть доступен в таких странах, как Россия или Иран, где Telegram запрещён властями [6].

По сути, я начал работать над Telegram в ответ на личное давление со стороны российских властей. Тогда, в 2012 году, WhatsApp всё ещё передавал сообщения в незашифрованном виде. Это было безумие. Не только правительства или хакеры, но даже мобильные провайдеры и администраторы Wi-Fi точек могли получить доступ ко всем сообщениям WhatsApp [7][8].

Позже WhatsApp добавит немного шифрования, но довольно быстро выяснится, что это было всего лишь маркетинговым ходом: ключ для расшифровки сообщений сделали доступным как минимум нескольким правительствам, включая российское [9]. В тот момент, когда Telegram начал набирать популярность, основатели WhatsApp продали свою компанию Facebook и объявили, что «Приватность заложена у них в ДНК» [10]. Если это правда, то, должно быть, этот ген спящий или рецессивный.

3 года назад WhatsApp анонсировал внедрение end-to-end шифрования, благодаря которому «третьи лица не смогут получить доступ к сообщениям». Одновременно с этим началась агрессивная пропаганда сохранения резервных копий чатов в облако. При этом WhatsApp не сообщал пользователям, что резервные копии не защищены end-to-end шифрованием и могут быть доступны хакерам и стражам правопорядка. Превосходный маркетинг, в результате которого некоторые наивные люди попали в тюрьму [11].

Тех, кто не пал жертвой постоянно всплывающих окон, уведомляющих о необходимости резервного копирования чатов, всё равно можно отследить с помощью других приёмов — от доступа к резервным копиям собеседников до незаметной подмены ключей шифрования в чатах [12].

Большие объёмы метаданных, сгенерированных пользователями WhatsApp — логи, описывающие, кто, с кем и когда общался, — передаются различным агентствам материнской компанией WhatsApp [13].  Вдобавок к этому, мы имеем целую смесь критических уязвимостей, где одна превосходит другую.

История WhatsApp логична — от полного отсутствия шифрования по началу до уязвимостей, которые странным образом подходят для слежки. Оглядываясь назад, можно заметить, что за весь 10-летний путь WhatsApp не было ни дня, когда сервис был безопасен. Поэтому я не думаю, что одни обновления приложений сделают WhatsApp безопасным хоть для кого-нибудь. Стать сервисом, ориентированным на приватность, для WhatsApp означает потерю некоторых рынков и разногласия с властями в их родной стране. По всей видимости, они к этому не готовы [14].

В прошлом году основатели WhatsApp покинули компанию из-за сомнений по поводу приватности пользователей [15]. Они однозначно связаны или договорами о неразглашении, или нежеланием обсуждать бэкдоры публично без риска потерять деньги и свободу. Правда, они всё же смогли признать, что «продали приватность своих пользователей» [16].

Я могу понять нежелание основателей WhatsApp раскрывать больше подробностей — весьма не просто рисковать своим комфортом. Несколько лет назад мне пришлось покинуть свою страну после отказа от вмешательства со стороны правительства в приватность пользователей ВКонтакте [17]. Это было неприятно. Но сделал бы я что-то такое снова? Однозначно. Каждый из нас когда-нибудь умрёт, но как вид мы ещё просуществуем какое-то время. Поэтому мне кажется, что стремление к богатству, славе или власти не столь важно. Служить человечеству — это единственное, что имеет значение в долгосрочной перспективе.

И тем не менее, несмотря на наши намерения, я чувствую, что мы подвели человечество со всей этой историей о шпионском ПО через WhatsApp. Многие не могут перестать использовать WhatsApp, потому что их друзья и семья всё ещё там. Это означает, что Telegram плохо справился с задачей заставить людей перейти оттуда. И хотя мы уже привлекли сотни миллионов пользователей за последние пять лет, этого не было недостаточно. Большинство интернет-пользователей всё ещё в заложниках у империи Facebook/WhatsApp/Instagram. Многие из тех, кто использует Telegram, также есть и в WhatsApp, что означает, что их данные их устройств всё ещё в опасности. Даже те, кто полностью отказался от WhatsApp, скорее всего, используют Facebook или Instagram, оба из которых считают, что нет ничего страшного в хранении паролей в виде простого текста [18][19] (я всё ещё не могу поверить, что технологическая компания могла сделать такое, и спокойно жить дальше).

За почти 6 лет существования у Telegram не было каких-либо серьёзных утечек данных или дыр в безопасности, которые обнаруживаются в WhatsApp каждые несколько месяцев. За 6 лет, мы не выдали ни одного байта информации третьим лицам, в то время, как Facebook и WhatsApp делятся данными, практически со всеми, кто совсем не скрывает, что работает на правительство [13].

Мало кто за пределами фан-сообщества Telegram понимает, что большинство новых функций мессенджеров сперва появляются в Telegram, и только после этого копируются в WhatsApp до мельчайших деталей. Совсем недавно мы стали свидетелями попытки Facebook заимствовать всю философию Telegram. Цукерберг внезапно заявил о важности конфиденциальности и скорости, практически дословно цитируя описание приложения Telegram в своей речи на конференции F8.

Но нытье о том, что Facebook лицемерная и не творческая компания не поможет. Мы должны признать, что стратегия Facebook эффективна. Посмотрите, что они сделали со Snapchat [20].

Мы в Telegram должны признать нашу ответственность за формирование будущего. Либо мы, либо монополист Facebook — либо свобода и приватность, либо жадность и лицемерие. Наша команда конкурирует с Facebook  уже 13 лет. Однажды мы уже победили их на рынке социальных сетей Восточной Европы [21]. И мы снова победим их, на этот раз на мировом рынке обмена сообщениями. Мы должны это сделать.

Сделать это будет не просто. Маркетинговый отдел Facebook огромен. Telegram не занимается маркетингом вообще. Мы не хотим платить журналистам и исследователям, чтобы они рассказывали миру о Telegram, мы рассчитываем на вас — миллионы наших пользователей. Если вам нравится Telegram, вы расскажете об этом своим друзьям. И если каждый пользователь Telegram убедит трёх своих друзей удалить WhatsApp и навсегда перейти в Telegram, то Telegram станет уже популярнее, чем WhatsApp.

Эпоха жадности и лицемерия закончится, начнётся эра свободы и приватности. И она намного ближе, чем кажется.

Источники

[1] Business Insider WhatsApp was hacked and attackers installed spyware on people’s phones15 мая 2019

[2] Security Today WhatsApp Bug Allowed Hackers to Hijack Accounts12 октября 2018

[3] Wikipedia Gag order – United States

[4] Neowin FBI asked Durov and developer for Telegram backdoor19 сентября 2017

[5] The Baffler The Crypto-Keepers17 сентября 2017

[6] New York Times What Is Telegram, and Why Are Iran and Russia Trying to Ban It?2 мая 2019

[7] YourDailyMac Whatsapp leaks usernames, telephone numbers and messages19 мая 2011

[8] The H Security Sniffer tool displays other people’s WhatsApp messages13 мая 2011

[9] FilePerms WhatsApp is broken, really broken12 сентября 2012

[10] International Business Times Respect for Privacy Is Coded Into WhatsApp’s DNA: Founder Jan Koum18 марта 2014

[11] Slate https://slate.com/technology/2018/06/paul-manafort-how-did-fbi-access-whatsapp-messages.html5 июня 2018

[12] AppleInsider WhatsApp backdoor defeats end-to-end encryption, potentially allows Facebook to read messages13 января 2017

[13] Forbes Forget About Backdoors, This Is The Data WhatsApp Actually Hands To Cops22 января 2017

[14] New York Times Facebook Said to Create Censorship Tool to Get Back Into China22 ноября 2016

[15] The Verge WhatsApp co-founder Jan Koum is leaving Facebook after clashing over data privacy30 апреля 2016

[16] CNET WhatsApp co-founder: ‘I sold my users’ privacy’ with Facebook acquisition25 сентября 2018

[17] New York Times Once celebrated in Russia, programmer Pavel Durov chooses exile2 декабря 2014

[18] TechCrunch Facebook admits it stored ‘hundreds of millions’ of account passwords in plaintext21 марта 2019

[19] Engadget Facebook stored millions of Instagram passwords in plain text18 апреля 2019

[20] Vanity Fair Snapchat is doing so badly, the feds are getting involved14 ноября 2018

[21] HuffPost Vkontakte, Facebook Competitor In Russia, Dominates26 октября 2016

Подписывайтесь на наши каналы в Telegram, чтобы всегда знать о последних новостях Telegram и TON.