Андрей Смирнов
Время чтения: ~15 мин.
Просмотров: 2

WhatsApp безопасность

Почему WhatsApp никогда не станет безопасным

Статьи

0aeca53b0fb1b4374c52a.jpg

Защита Ватсап при помощи пин-кода

Часто бывает, что твой смартфон кочует из рук в руки родственников или друзей, пока они смотрят на нем какие-нибудь видео или твои фотографии. Племянники играют в игрушки, смотрят мультики в ютубе — да что угодно, где всплывающие личные сообщения будут крайне неуместны.

Для того, чтобы скрыть переписку, установив особый код, скачай стороннюю утилиту. Для Андроида — это приложение WhatsAppLock.

Посмотри также инфу про то, как читают чужую переписку в Whatsapp без доступа к телефону.kak-zawitit1ш.jpg

Используйте веб-версию более эффективно

Веб-версия WhatsApp позволяет удобнее читать и отправлять сообщения вашим коллегам, друзьям и родственникам. Все что вам для этого потребуется — прочитать QR-код с помощью вашего телефона. После этого все сообщения станут доступны на компьютере через браузер.

WhatsApp Web - не забывайте отключаться, когда уходите от компьютера

Когда вы покидаете компьютер, не забывайте разорвать соединение, чтобы никто не смог прочесть ваши личные сообщения на компьютере после того, как вы уйдете. Это особенно важно, если вы подключались на чужом компьютере.

WhatsApp для Android - разрыв всех соединений с веб-версией

Разорвать соединения можно прямо с телефона в разделе WhatsApp Web.

Защита через настройки

Как уже говорилось, в настройках Ватсапа нет практически никаких функций для защиты переписки от любопытных. Но кое-что всё-таки предпринять можно. Например, вы можете настроить, кто видит ваш статус в сети. Часть пользователей не сможет понять, в онлайне вы сейчас или нет. Ещё можно скрыть время последнего захода в сеть. Самая полезная возможность – отключить сообщения о прочтении чужих сообщений. Ваши абоненты не будут знать, увидели вы их послания или нет.

Это не так уж много, но в ряде случаев может оказаться очень полезным.

Image1539764265689.jpeg

Незашифрованные резервные копии

Многие мессенджеры кодируют передаваемые пользователями сообщения. Данная функция предотвращает перехват переданной вами информации другим пользователям. Но данные сообщения могут быть доступны, если будут расшифрованы прямо на вашем устройстве. Whatsapp позволяет создавать резервные хранилища данных по типу Google Диск или ICloud. Данные утилиты позволяют восстановить случайно удаленные сообщения. Разница лишь в том, что в хранилищах ваши сообщения расшифрованы, и, в теории, являются уязвимыми, так как подрывают сквозное шифрование WhatsApp.

На данный момент ни один крупномасштабный взлом не повлиял на облачные хранилища, но это не означает, что в будущем не может произойти тотального взлома. Не стоит забывать о других средствах, которые злоумышленники могут использовать для получения доступа к вашим учетным записям.

Уровень безопасности в WhatsApp. Защищенность информации

Прежде всего безопасность — это конфиденциальность, доступность и целостность информацииКомпания-разработчик должна давать уверенность своим пользователям в том, что все эти три параметра безопасности функционируют на должном уровне.

В плане безопасности WhatsApp имеет очень богатую историю. Несколько лет назад выяснилось, что изначально, когда приложение только вышло в релиз, безопасность Ватсап осуществлялась всего лишь за счет хеширования пароля с помощью алгоритма MD5. Т.е. взломщик почти не прилагая никаких усилий мог с легкостью заполучить пароль пользователя. Исправить свою репутацию разработчики решили сотрудничеством с криптографической фирмой Open Whisper Systems.

В настоящее время Ватсап использует безопасную технологию шифрования данных, так называемое сквозное шифрование. Для тех, кто не знает, что это такое, попробуем объяснить на простых словах.

Представим, что существует два пользователя Дима и Коля. И у Димы и у Коли генерируется по два ключа. Первый ключ (открытый) предназначен для зашифровки сообщений, а второй (закрытый) для обратного процесса — расшифровки. Соответственно открытый ключ находится в открытом доступе, то есть его может просмотреть абсолютно любой пользователь, но вот расшифровать сможет только обладатель закрытого ключа. Таким образом, сгенерировав по паре ключей, Дима и Коля начинают защищенное общение, так как ключ для расшифровки есть только у автора послания и его получателя.Skvoznoe-shifrovanie-WhatsApp.jpg

Однако, несмотря на то, что безопасность в Ватсап осуществляется за счет сквозного шифрования, WhatsApp безопасность находится не совсем на должном уровне. К примеру, Ватсап не защищен от Dos-атак, но немного в своеобразной форме. Разработчики WhatsApp ограничили размер сообщения 6600 символами. Но если сообщение будет содержать 4400 смайлов, работа приложения Вотсап из-за переполнения буфера аварийно завершится. Единственный способ избавиться от данной проблемы на данный момент — удалить переписку с таким отправителем. Следует отметить, что WhatsApp безопасность на iOS пошатнуть подобной атакой невозможно.

Значительно недавно 15.03.2017 г. стало известно о такой уязвимости, используя которую злоумышленники могли захватить полную власть над аккаунтом пользоваться через WhatsApp Web. Так как Ватсап позволяет отправлять различные типы данных, вредоносный код маскировался под обычную картинку, нажав на которую атакующий получает доступ к контенту пользователя. Эта уязвимость была актуальна не только для WhatsApp, но и для Telegram. Новое обновление помогло устранить подобный баг.Uyazvimost-hraneniya-dannyh-v-BD-iOS.jpg

Еще один интересный факт. Как выяснил специалист компании iOS по информационной безопасности стертую историю чатов можно восстановить, так как Ватсап не до конца удаляет историю. Связано это с тем, что мессенджер использует базу данных (БД) SQLite для хранения переписок. И когда пользователь пытается удалить выбранные сообщения, они не удаляются, а перемещаются в так называемый free list. Т.е. Ватсап в дальнейшем перезаписывает поверх этих сообщений новые. Но особенность в том, что некоторые сообщения могут ждать своей очереди ни один месяц, чтобы до конца исчезнуть.

Более осторожными необходимо быть пользователям iOS. WhatsApp безопасность несет для них дополнительные риски. Если пользователь платформы iOS создает бекап переписок на Ватсап, то БД SQLite сохраняет незашифрованную историю сообщений на серверы Apple. Специалист по информационной безопасности iOS рекомендует периодически удалять Вотсап с устройства с целью обнуления БД, а также по возможности не пользоваться бекапами icloud.

Также известна еще одна уязвимость. Ватсап может сгенерировать новые пары ключей, если пользователь продолжительное время не был онлайн и при этом не предупредить об случившемся участников переписки. Это значит, что если абонент отправит сообщение пользователю, который давно не был онлайн, либо удалил приложение с телефона, то послание может потеряться, т.е. не дойти до конечного получателя.

Но наполовину этот недочет всё же можно исправить.

  1. Перейдите в настройки WhatsApp и выберете пункт учетная запись.
  2. Войдите в безопасность Ватсап.Bezopasnost-WhatsApp.png
  3. Включите режим «Показывать уведомления безопасности».Uvedomleniya-bezopasnosti-v-Vatsapp.png

Так почему же эта опция исправляет ситуацию лишь наполовину? Дело в том, что Ватсап не поддерживает повторную отправку сообщений, но может предупредить отправителя о том, что ключ шифрования обновился.

Веб-клиент как «слабое звено»

update-169x300.jpg

Для сквозного шифрования это представляет собой большую проблему. Если верно, что, как указано в документации к мессенджеру WhatsApp, сервер не имеет доступа к частным ключам пользователя, то это же условие имеет силу и для веб- или десктопных клиентов, которые синхронизируются со смартфоном через сервер WhatsApp. Это означало бы, что сквозное шифрование сообщений между этими клиентами и приложением смартфона прекращено и заменено более слабым транспортным шифрованием, представляющим собой уязвимое место для так называемых атак «человек посередине» (Man-in-the-Middle).

В другом возможном сценарии, при котором связь между приложением смартфона и удаленным клиентом была зашифрована по методу сквозного шифрования, частные ключи пользователя должны были бы передаваться через Интернет. Так как при этом они могли бы быть перехвачены, это означало бы катастрофический крипто-провал.

Разработчики WhatsApp молчат по этому вопросу: веб- и десктопные клиенты не упоминаются в документации, и на соответствующий запрос от Chip не было получено ответа. Не имеет значения, какой сценарий применяется для внешних клиентов: тот, кто придает большое значение сквозному шифрованию, не должен вмешиваться в процесс.

Протокол шифрования Signal

secure-169x300.jpg

Для шифрования сообщений WhatsApp использует протокол Signal с открытым исходным кодом (ранее протокол носил имя Axolotl), в разработке которого участвовал Мокси Марлинспайк — специалист в области кибербезопасности. Марлинспайк, обладающий великолепной репутацией в кругах IT-безопасности, является основателем организации-разработчика программного обеспечения Open Whisper Systems, которая, в частности, выпустила крипто-мессенджер Signal.

С технической точки зрения у протокола Signal речь идет об асимметричном методе шифрования с использованием открытых ключей. Пары ключей, необходимые для шифрования/дешифрования, генерируются на смартфоне уже при установке клиента WhatsApp. Когда пользователь входит в систему WhatsApp, публичные ключи сохраняются на серверах этого мессенджера. Согласно положениям технической документации, серверы WhatsApp не обладают доступом к частным ключам, поэтому они локально хранятся на смартфоне. Это означает, что пользователь не должен ни вводить ключ, ни держать его в голове: сам смартфон как бы становится ключом. WhatsApp шифрует все содержание, от простого текста до голосового сообщения. Это же положение имеет силу и для звонков с использованием сервиса. Перед обменом первыми сообщениями клиенты смартфонов собеседников путем обмена публичными ключами согласовывают общий корневой ключ и серийный ключ.

Затем на базе последнего для каждого сообщения создается собственный кратковременный ключ. Поскольку все ключи постоянно обновляются, как при использовании метода «совершенной прямой секретности» (Perfect Forward Secrecy), злоумышленник, знающий отдельные ключи, не может расшифровать ни будущие, ни предыдущие сообщения.

contact-169x300.jpg

Так как до последнего времени отсутствовали сообщения об уязвимостях в протоколе Signal (мнимый взлом WhatsApp разработчиком антивируса Джоном Макафи был впоследствии представлен как пиар-ход), данное шифрование можно считать надежным. Однако это действует только до тех пор, пока связь осуществляется между двумя смартфонами. Уязвимое место все же существует — это веб-клиент и клиент для настольного ПК.

Начиная с прошлого года WhatsApp можно использовать на компьютере — через браузер. В мае 2016 года также были выпущены клиенты для Windows и Mac OS X. В принципе, эти приложения представляют собой тип дистанционного управления для приложения смартфона, которые «отражают» аккаунт со всем его контентом на компьютере. Для этого достаточно отсканировать с помощью приложения смартфона QR-код в веб- или десктопном клиенте. Далее компьютер создает защищенное HTTPS-соединение со смартфоном, однако не локальное, например, через беспроводную сеть, а через Интернет.

Как защитить Ватсап?

Мессенджер, будучи запущен на смартфоне, работает на нём постоянно, в фоновом режиме. При этом в нём нет никаких способов запаролить вход. Это значит, что если ваш смартфон в разблокированном состоянии попал в чужие руки, то все ваши секреты в Ватсапе отныне доступны похитителю. Создатели WhatsApp полагаются на то, что пользователи умеют блокировать свои гаджеты средствами Андроид или iOS. Поэтому ответ на вопрос «Как защитить мой Ватсап от просмотра» такой: первое, что нужно сделать, это установить надёжную блокировку экрана.

Сеть WhatsApp

Начать нужно с понятия Whatsapp Web. Данная утилита синхронизирует вашу информацию между телефоном и вашим компьютером. Удобная функция, однако, именно здесь и появилась проблема — многие киберпреступники используют ее. Так как сервисы для установки приложений для телефонов вроде Google Play и прочее регулируются куда более тщательно, нежели мировая сеть Интернет, злоумышленники стали подсовывать незнающим пользователям ненастоящие программы через компьютер, где могли содержаться: спам, вредоносное ПО и другие зловреды. Не стоит забывать и про фишинговые сайты, где пользователей обманным путем заставляли передавать свою личную информацию. Киберпреступники маскировали сайты под Whatsapp Web, чтобы выпрашивать из вас ваши номера телефона для подключения к своей ложной услуге. После этого мошенники начинают закидывать вас спамом или чем еще похуже. Чтобы избежать подобной неприятности, лучше использовать только те приложения и сервисы, которые доступны из официальных источников.

Нет ничего проще

permissions-169x300.jpg

Что касается удобства шифрования, то здесь WhatsApp все делает правильно — проще вряд ли получится. Для включения сквозного шифрования оба собеседника (или, в случае группового чата, все участники) должны обновить приложение до последней версии.

Поскольку WhatsApp периодически выпускает обязательные обновления, повсеместное распространение сквозного шифрования является лишь вопросом времени. Однако все варианты WhatsApp, независимо от операционной системы, поддерживают шифрование. Тот, кто хочет знать, использует ли шифрование его приложение, может проверить это в настройках аккаунта, в пункте «Шифрование». Использует ли шифрование собеседник, можно узнать в контекстном меню чата, в пункте «Посмотреть контакт | Шифрование».

Существует дополнительная опция верификации публичного ключа собеседника, посредством сканирования обоими пользователями QR-кода с дисплея смартфона другого человека. Для этого необходимо выбрать контакт в списке контактов, далее нажать на кнопку с изображением трех точек в верхнем правом углу экрана, перейти в «Посмотреть контакт | Шифрование» и следовать указаниям программы (см. стр. 53).

conf-169x300.jpg
Только на английском языке. На официальном сайте отсутствует перевод на русский язык пользовательского соглашения с WhatsApp.

Наряду с шифрованием собственно содержания сообщений WhatsApp также шифрует метаданные и сведения о личностях собеседников и длительности их общения. Эти данные передаются, однако, с использованием не сквозного, а транспортного шифрования, для «сокрытия от неправомочных сетевых наблюдателей», как это названо в документации. Говоря проще, это означает, что WhatsApp и, вероятно, также материнская компания Facebook, имеют доступ к этим данным.

То, что социальная сеть «не дружит» с защитой данных, достаточно широко известно. WhatsApp, кажется, тоже не придает большого значения информированию пользователей о том, что происходит с их данными. В частности, пользовательское соглашение с WhatsApp на официальном сайте доступно пока только на английском языке.

В WhatsApp также не следует путать шифрование с анонимностью. Тому, кто придает этому факту большое значение или не желает предоставлять компании Facebook доступ к личной адресной книге, следует обратиться к альтернативным крипто-мессенджерам.

Отображение сообщений из WhatsApp в браузере

Мессенджер имеет онлайн-версию. Это сайт, расположенный по адресу web.whatsapp.com. Этот Ватсап можно запустить в любом браузере, как на мобильных гаджетах, так и на стационарном компьютере. Работать перед большим экраном, на большой клавиатуре действительно удобнее, чем тыкать пальцем в маленький экранчик гаджета.

Image1539764264361.jpeg

Когда вы зайдёте на сайт веб-версии, перед вами на экране монитора окажется QR-код. Вы должны просканировать его из вашей мобильной версии WhatsApp, которая работает в смартфоне. После успешного распознавания кода компьютер покажет собственно сам мессенджер. И эти две версии (стационарная и мобильная) будут синхронизированы между собой – все сообщения, которые вы отправляете или принимаете, будут одновременно отображаться и на гаджете, и на мониторе.

В этом как раз и состоит опасность. Если вы утратите бдительность и ваш разблокированный смартфон окажется в чужих руках, то злоумышленник сможет тут же запустить на своём ноутбуке (или даже в смартфоне!) веб-версию мессенджера и отсканировать вашим телефоном QR-код на экране. Для этого требуется меньше минуты. Но теперь вся ваша переписка будет синхронизирована с веб-версией Ватсапа, запущенного на устройстве хакера.

Правда, в самом Ватсапе предусмотрена функция для контроля таких соединений. В Настройках есть раздел WhatsApp Web/Desktop, где можно видеть все активные синхронизации. Вам нужно будет только тапнуть на пункт «Выйти на всех компьютерах», и все сессии будут принудительно завершены. Не стоит об этом забывать.

Image1539764265160.jpeg

Защитить сообщения в Ватсап можно через настройки

Можно через настройки включить уведомления безопасности:

Ты запросто можешь стать «невидимкой», если не хочешь, чтобы твой умиротворенный покой нарушали какие-то звонки и письма.

Как это сделать?

  1. Заходи в приложение и слева ты увидишь статус, заходим, и настраиваем конфиденциальность
  2. Если ты хочешь, чтобы собеседник ломал голову — прочитал ты его сообщение или еще нет, и вообще что с тобой случилось, — отключи еще одну опцию.
  3. Идешь в Настройки — Аккаунт — Конфиденциальность и выбери сам, кто из френдлиста может видеть время твоего последнего посещениястатус. В этим же разделе есть иконка «Отчеты о прочтении» — поставь его в активное положение и позицию «off».

Двухшаговая проверка

Многие слышали об этой возможности, и полагают, что она как раз придумана для повышения приватности и защиты переписки от любопытных глаз. Это не совсем так.

Двухшаговая проверка предназначена для того, чтобы верифицировать новый аппарат. Вы можете включить эту функцию в настройках вашего Ватсапа, при этом вам предложат придумать секретный PIN-код из шести цифр. Больше никаких изменений не будет. Приложение будет по-прежнему работать в фоновом режиме и появляться на экране без всяких паролей. С двухшаговой проверкой вы столкнётесь, когда решите поменять гаджет.

Image1539764263953.jpeg

Например, вы купили новый смартфон и перенесли на него WhatsApp. При первом же запуске и попытке входа в аккаунт (со старым телефонным номером) мессенджер попросит ввести PIN-код. Логика здесь простая: если кто-то получил доступ к вашему смартфону и всё оттуда скачал, то запустить WhatsApp на своём устройстве он не сможет, потому что не знает кода.

Таким образом, если вы пользуетесь одним и тем же смартфоном, эта функция не очень вам поможет защитить вашу информацию, но зато сильно выручит, если у вас его украдут.

Фейковые новости

В последние годы компании, занимающиеся социальными сетями, подвергались критике за то, что они позволяли распространять поддельные новости и дезинформацию на своих платформах. Facebook, в частности, был осужден за свою роль в распространении дезинформации на всю президентскую кампанию в США в 2016 году. WhatsApp также подвергался тем же обвинениям.

Два из наиболее заметных случаев были в Индии и Бразилии. WhatsApp был замешан в широком распространении информации в Индии, содержащую жестокий контент с насильственным подтекстом. Происходило это в 2017-2018 годах.В сообщениях передавали информацию о сфабрикованных похищениях детей. Данный контент распространился среди многих пользователей мессенджера.

В Бразилии WhatsApp был основным источником фальшивых новостей на выборах 2018 года. Поскольку такую дезинформацию было так легко распространить, деловые люди в Бразилии создали компании, которые создали незаконные кампании по дезинформации WhatsApp против кандидатов. Они могли сделать это при помощи вашего номера телефона. Ведь именно эта информация несет в себе ваше имя пользователя WhatsApp. Поэтому они приобрели списки телефонных номеров для отслеживания.

Обе проблемы продолжались до 2018 года. Facebook нес большие убытки. Подобные ситуации показали, что цифровая дезинформация — огромная проблема для всего мира.

Как защитить переписку в Whatsapp с помощью двухшаговой проверки?

Такой способ аутентификации позволит защитить информацию на твоем устройстве от посторонних, а для работы этой функции обновление мессенджера не требуется.

  • Запускай приложение
  • Меню — Настройки — раздел Учетная запись

kak-razblokirovat5-1.jpg

  • И там как раз расположен пункт «Двухшаговая проверка»

kak-zawitit1.jpg

  • Включай ее

kak-zawitit2.jpg

  • Придумай надежный код из шести символов, который Вотсап будет у тебя спрашивать при каждом запуске

kak-zawitit3.jpg

  • Напиши свой e-мейл, с помощью которого можно в случае необходимости сбросить этот код.
  • Функцию двойной проверки можно отключить, если захочется, поменять пароль или код прямо в этом же разделе мессенджера.

Не обходи стороной также материал о том, как поставить пароль на приложение Whatsapp.

Используемые источники:

  • https://www.vamtlgrm.com/pochemu-whatsapp-nikogda-ne-stanet-bezopasnym/
  • https://w-hatsapp.ru/kak-zashhitit-whatsapp.html
  • https://myfreesoft.ru/7-security-tips-for-whatsapp.html
  • https://greatchat.ru/whatsapp/kak-zaschitit-whatsapp-ot-prochtenija
  • https://myfreesoft.ru/bezopasen-li-whatsapp.html
  • https://xn—-8sbaneabh2bnn3bhaht7f3c0a.xn--p1ai/whatsapp-bezopasnost.html
  • https://ichip.ru/kak-obezopasit-sebya-v-whatsapp.html

Рейтинг автора
5
Материал подготовил
Максим Иванов
Наш эксперт
Написано статей
129
Ссылка на основную публикацию
Похожие публикации