СофтХабрахабр

[Перевод] Почему WhatsApp никогда не станет безопасным

Автор колонки — Павел Дуров, основатель мессенджера Telegram

Всё на вашем телефоне, включая фотографии, электронные письма и тексты, было доступно злоумышленникам только потому, что у вас установлен WhatsApp. Мир, кажется, шокирован новостью о том, что WhatsApp превратил любой телефон в шпионское ПО.

В прошлом году WhatsApp пришлось признать очень похожую проблему — хакер мог получить доступ ко всем данным вашего телефона через один видеозвонок.
Каждый раз, когда WhatsApp исправляет критическую уязвимость в своём приложении, на её месте появляется новая. Однако эта новость меня не удивила. Все вопросы безопасности хорошо подходят для слежки, они выглядят и работают как бэкдоры.

WhatsApp не только не публикует код, они делают прямо противоположное: WhatsApp специально обфусцирует бинарные файлы своих приложений, чтобы никто не мог их тщательно изучить. В отличие от Telegram, WhatsApp не открывает исходный код, поэтому исследователи безопасности не могут легко проверить, есть ли там бэкдоры.

Нелегко запустить безопасный мессенджер, находясь в США. Возможно, WhatsApp и её материнская компании Facebook даже обязаны реализовать бэкдоры — через секретные процессы, такие как секретные приказы ФБР. Представьте, что произойдёт с американской компанией за 10 лет работы в такой среде. За неделю, проведённую нашей командой в США в 2016 году, к нам трижды пытались проникнуть агенты ФБР.

Проблема в том, что такие бэкдоры могут также использоваться преступниками и авторитарными правительствами. Я понимаю, что силовые структуры оправдывают установку бэкдоров антитеррористическими усилиями. Отсутствие безопасности позволяет им шпионить за своими гражданами, поэтому WhatsApp не блокируют в таких странах, как Россия или Иран, где Telegram запрещён властями. Неудивительно, что диктаторы, похоже, любят WhatsApp.

Тогда, в 2012 году, WhatsApp все ещё передавал сообщения открытым текстом. Собственно говоря, моя работа над Telegram стала прямым ответом на личное давление со стороны российских властей. Не только правительства или хакеры, но и мобильные провайдеры и администраторы WiFi имели доступ ко всем текстам WhatsApp. Это безумие.

Затем, когда Telegram начал набирать популярность, основатели WhatsApp продали свою компанию Facebook и заявили, что у них «конфиденциальность встроена в ДНК». Позже WhatsApp добавил некоторое шифрование, которое быстро оказалось маркетинговой уловкой: ключ для расшифровки сообщений был доступен, по крайней мере, нескольким правительствам, включая Россию. Если это правда, то это, наверное, спящий или рецессивный ген.

Это совпало с агрессивным призывом ко всем пользователям создать резервную копию своих чатов в облаке. Три года назад WhatsApp объявил, что они внедрили сквозное шифрование, поэтому «никакая третья сторона не может получить доступ к сообщениям». Блестящий маркетинг, в результате которого некоторые наивные люди теперь отбывают тюремный срок. При этом WhatsApp не сказал пользователям, что при резервном копировании сообщения больше не защищены сквозным шифрованием и могут быть доступны хакерам и правоохранительным органам.

Метаданные, генерируемые пользователями WhatsApp — логи, описывающие, кто с кем и когда общается, — просачиваются во все агентства в больших объёмах через материнскую компанию. Тех, кто не поддался на постоянные всплывающие окна, рекомендующие создавать резервные копии своих чатов, всё ещё можно отследить с помощью ряда трюков — от доступа к резервным копиям контактов до незаметных изменений ключа шифрования. Кроме того, вы получаете набор критических уязвимостей, сменяющих друг друга.

Оглядываясь назад, за их десятилетнюю историю не было ни одного дня, когда этот сервис был безопасным. У WhatsApp стабильная и последовательная история — от нулевого шифрования при создании до нынешних уязвимостей, странно подходящих для целей наблюдения. Чтобы стать сервисом, ориентированным на конфиденциальность, WhatsApp должен рискнуть потерей целых рынков и столкнуться с властями в своей стране. Вот почему я не думаю, что простое обновление мобильного приложения WhatsApp сделает его безопасным. Они, кажется, не готовы к этому.

Они определённо связаны либо секретными приказами, либо NDA, поэтому не могут публично обсуждать бэкдоры, не рискуя потерять своё состояние и свободу. В прошлом году основатели WhatsApp покинули компанию из-за опасений за конфиденциальность пользователей. Однако они смогли признать, что «продали конфиденциальность своих пользователей».

Несколько лет назад мне пришлось покинуть свою страну после отказа соблюдать санкционированные правительством нарушения конфиденциальности пользователей «ВКонтакте». Я могу понять нежелание основателей WhatsApp предоставить более подробную информацию — нелегко поставить под угрозу свой комфорт. Но сделаю ли я что-то подобное снова? Это было неприятно. Каждый из нас рано или поздно умрёт, но мы, как вид, останемся здесь на некоторое время. С удовольствием. Служить человечеству — это единственное, что действительно имеет значение в долгосрочной перспективе. Вот почему я думаю, что накопление денег, славы или власти не имеет значения.

Многие люди не могут прекратить использовать WhatsApp, потому что их друзья и семья всё ещё там. И всё же, несмотря на наши намерения, я чувствую, что мы подвели человечество во всей этой шпионской истории WhatsApp. Хотя за последние пять лет мы привлекли сотни миллионов пользователей, этого оказалось недостаточно. Это означает, что мы в Telegram проделали плохую работу, убеждая людей переключиться. Многие из тех, кто использует Telegram, также находятся на WhatsApp, то есть их телефоны по-прежнему уязвимы. Большинство пользователей интернета по-прежнему остаются заложниками империи Facebook/WhatsApp/Instagram. Даже те, кто полностью отказался от WhatsApp, вероятно, используют Facebook или Instagram, оба из которых думают, что это нормально хранить ваши пароли в открытом тексте (я до сих пор не могу поверить, что техническая компания способна сделать что-то подобное и выйти сухой из воды).

За те же шесть лет мы раскрыли ровно ноль байтов данных третьим лицам, в то время как Facebook/WhatsApp делятся любой информацией почти со всеми, кто утверждает, что работает на правительство. Почти за шесть лет своего существования у Telegram не было серьёзных утечек данных или недостатков безопасности, которые WhatsApp демонстрирует каждые несколько месяцев.

Совсем недавно мы стали свидетелями попытки Facebook заимствовать всю философию Telegram, когда Цукерберг внезапно заявил о важности конфиденциальности и скорости, практически слово в слово цитируя описание приложения Telegram в своей речи на конференции F8. Мало кто за пределами сообщества поклонников Telegram понимает, что большинство новых функций обмена сообщениями сначала появляются в Telegram, а затем копируются WhatsApp до мельчайших деталей.

Мы должны признать, что Facebook выполняет эффективную стратегию. Но нытьё о лицемерии FB и отсутствии креативности не поможет. Посмотрите, что они сделали со Snapchat.

Либо мы, либо монополия Facebook. Мы в Telegram должны признать свою ответственность в формировании будущего. Наша команда конкурирует с Facebook в течение последних 13 лет. Либо свобода и приватность, либо жадность и лицемерие. Мы снова победим их на мировом рынке обмена сообщениями. Мы уже обыграли их однажды, на восточноевропейском рынке социальных сетей. Мы должны.

Отдел маркетинга Facebook огромен. Это будет нелегко. Мы не хотим платить журналистам и исследователям, чтобы они рассказывали миру о Telegram. А мы в Telegram не занимаемся маркетингом. Если вам достаточно нравится Telegram, вы расскажете о нём своим друзьям. Для этого мы полагаемся на вас — миллионы наших пользователей. И если каждый пользователь Telegram уговорит трёх своих друзей удалить WhatsApp и на постоянной основе использовать Telegram, то Telegram уже станет более популярным, чем WhatsApp.

Начнётся эра свободы и приватности. Век жадности и лицемерия закончится. Она гораздо ближе, чем кажется.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть