в чем опасность вацап
5 угроз безопасности, о которых должен знать каждый пользователь WhatsApp
По разным оценкам у WhatsApp около одного миллиарда пользователей, отправляющих более 65 миллиардов сообщений ежедневно.
WhatsApp, принадлежащий социальной сети Facebook, является одним из наиболее популярных мессенджеров. По разным оценкам у WhatsApp около одного миллиарда пользователей, отправляющих более 65 миллиардов сообщений ежедневно.
Немудрено, что у столь популярного приложения появились угрозы, связанные с безопасностью, вредоносами и спамом. Далее мы рассмотрим пять проблем, о которых должен знать каждый пользователь WhatsApp.
1. Злоупотребление сервисом WhatsApp Web
Бывали случаи, когда злоумышленники выдавали вредоносное ПО за официальные приложения WhatsApp. Соответственно, после загрузки и установки в системе жертвы появлялся вредонос или происходило компрометирование другим образом.
В некоторых случаях хакеры могли устанавливать вредоносы через уязвимость в WhatsApp.
Некоторые злоумышленники использовали другие подходы, например, создавая фишинговые сайты с целью сбора персональной информации. Некоторые из этих сайтов маскировались под веб-версию WhatsApp и запрашивали номер телефона для подключения к сервису. Впоследствии полученный телефонный номер использовался для спама или поиска соответствия с другими украденными данными.
Для безопасной работы лучше всего использовать приложения и сервисы, предоставляемые официальными источниками. В WhatsApp есть веб-клиент WhatsApp Web для работы на любом компьютере. Существуют также официальные приложения для Android, iOS, macOS и Windows.
2. Незашифрованные резервные копии
Во время пересылки сообщений в WhatsApp используется сквозное шифрование. То есть декодировать переданную информацию сможете только вы и получатель. Эта функция позволяет защититься от перехвата (даже администраторами Facebook) во время передачи данных. Однако сквозное шифрование никак не защищает сообщения после дешифровки на вашем устройстве.
В WhatsApp предусмотрено создание резервной копии сообщений и другого контента в Android и iOS. Эта важная функция позволяет восстанавливать случайно удаленные сообщения. Помимо резервной копии в облаке, также существует локальная резервная копия на вашем устройстве. В Android вы можете сохранить копию на Google Drive, в iOS – на iCloud. Резервная копия содержит сообщения, расшифрованные на вашем устройстве.
Резервные файлы, хранимые на iCloud и Google Drive, не зашифрованы. Теоретически эти облачные сервисы могут быть уязвимы, что снижает эффективность сквозного шифрования.
Поскольку мы не можем выбирать местонахождение резервной копии, то в плане безопасности данных находимся во власти облачных провайдеров. Хотя до сегодняшнего момента ни один крупномасштабный взлом не касался iCloud и Google Drive, полной гарантии безопасности никто не даст. Существуют также и другие способы получения незаконного доступа к вашей учетной записи облачного хранилища.
Одно из преимуществ шифрования – защита вашей информации от правительства и правоохранительных органов, а поскольку незашифрованная резервная копия хранится у одного из двух американских облачных провайдеров, для доступа к этим данным потребуется всего лишь ордер. В общем, как уже было сказано выше, незашифрованная резервная копия снижает эффективность сквозного шифрования.
3. Совместное использование данных в Facebook
За последние годы социальная сеть Facebook многократно подвергалась критике. В основном дело касалось эффективной рыночной монополии и деятельности, направленной против конкурентов. Регуляторы пытаются минимизировать анти-конкурентные действия посредством оценки и анализа любых попыток поглощения.
Поэтому, когда в семейство Facebook было решено добавить WhatsApp, Европейский Союз одобрил сделку только после того, как было заявлено, что Facebook и WhatsApp являются двумя отдельными компаниями, и данные будут храниться раздельно.
Через весьма непродолжительное время в Facebook вернулись к этому соглашению, и в 2016 году WhatsApp обновил Политику конфиденциальности, позволив делать доступной информацию из WhatsApp в Facebook. Хотя в полной мере детали о передаваемой информации обнародованы не был, по факту сюда входит номер телефона и другие данные, как, например, время последнего использования сервиса.
Также было заявлено, что никакая информация не будет публично доступна в Facebook, а будет скрыта в недоступном профиле. В ответ на негативную реакцию на это заявление, в WhatsApp была добавлена опция, позволяющая запретить обмен информацией, которая, впрочем, впоследствии была по-тихому убрана.
Сей факт, вероятно, является подготовительным шагом к будущим плана Facebook. Согласно статье, опубликованной в New York Times в январе 2019 года, начинается создание единой инфраструктуры для всех платформ обмена сообщениями: Facebook, Instagram, и WhatsApp. Таким образом, хотя каждый сервис будет продолжать работать как отдельное приложение, все сообщение будут отправляться через единую сеть.
4. Слухи и фейковые новости
В последнее время социальные сети подвергались критике за лояльное отношение к распространению фейковых новостей и дезинформации. В частности, компания Facebook стала участником судебного разбирательства за распространение ложной информации во время президентской компании в 2016 году. WhatsApp также был объектом критики по схожим причинам.
В Бразилии WhatsApp был источником поддельных новостей во время выборов 2018 года. Поскольку подобного рода информацию легко распространять, бизнесмены в Бразилии организовали целые компании для дезинформации средствами WhatsApp против кандидатов. Этот сценарий удалось реализовать, поскольку телефонный номер одновременной является именем пользователя, и была куплена база телефонов для рассылки.
Обе проблемы существовали весь 2018 год, ставший одним из самых ужасных для Facebook. Предотвратить распространение дезинформации в век цифровых технологий не так-то просто, но многие считали, что реакция WhatsApp была довольно вялой.
Однако в WhatsApp были внесены некоторые изменения. В частности, появились ограничение на перенаправление сообщений. Раньше можно было перенаправлять в 250 групп, затем – только в 5. Кроме того, в некоторых регионах была удалена кнопка перенаправления.
В течение многих лет статус WhatsApp (короткая строка текста) был единственным способом сообщить, чем вы занимаетесь в данный момент. Потом эта функция переросла в WhatsApp Status, представляющую собой клон популярной опции Stories в Instagram.
Instagram – эта платформа, предназначенная для публичного использования, хотя при желании вы можете сделать свой профиль скрытым. С другой стороны, WhatsApp более приватный сервис, используемый для общения с друзьями и семьей. Таким образом, предполагается, что статус в WhatsApp также должен быть приватным.
Ничего подобного. Любой из вашего списка контактов в WhatsApp может просматривать ваш статус. Однако вы можете управлять видимостью своего статуса.
В разделе Settings (Настройки) > Account (Аккаунт) > Privacy (Приватность) > Status (Статус) доступно три варианта приватности:
Хотя в WhatsApp не дают четкого ответа, могут ли заблокированные контакты просматривать ваш статус, была сделана разумная вещь: все заблокированные контакты не могут просматривать ваш статус вне зависимости от настроек приватности. Как и в случае с опцией Stories в Instagram, любые видео и фотографии добавленные в статус, исчезнут через 24 часа.
Безопасен ли WhatsApp?
После прочтения статьи возникает закономерный вопрос «Безопасен ли сейчас WhatsApp?», ответить на который не так-то просто. С одной стороны, в одном из наиболее популярных приложений используется сквозное шифрование, намекающее на высокий уровень безопасности. Однако есть и проблемы, главная из которых – WhatsApp принадлежит социальной сети Facebook и перенимает многие проблемы и угрозы, связанные с приватностью и распространением дезинформации, которые присутствуют в родительской компании.
Безопасность WhatsApp: 5 видов мошенничества, угрозы и риски безопасности, о которых следует знать
Безопасность WhatsApp является серьезной проблемой. Мессенджер часто становится целью мошенников и хакеров. Давайте разберемся, насколько безопасен WhatsApp.
WhatsApp, платформа для обмена сообщениями, принадлежащая Facebook, является одним из самых популярных в мире приложений для обмена сообщениями. Приложением пользуются более одного миллиарда человек, отправляя более 65 миллиардов сообщений в день.
Большая популярность приложения привлекает внимание киберпреступников, что способствовует появлению проблем безопасности, вредоносных программ и спама.
1. Вредоносное ПО для WhatsApp Web
Огромная база пользователей WhatsApp делает приложение лакомой добычей для киберпреступников, многие из которых ориентированы на WhatsApp Web. Пользователи WhatsApp могут открывать веб-сайт или загрузить настольное приложение, отсканировать код с помощью приложения на телефоне и пользоваться WhatsApp на компьютере.
Киберпреступники создают и распространяют поддельные настольные приложения WhatsApp, содержащие вредоносное ПО. Загрузив вредоносное приложение, пользователь ставит свой компьютер под угрозу.
В некоторых случаях хакерам удается установить шпионское ПО WhatsApp, воспользовавшись уязвимостью приложения.
Другой подход злоумышленников заключается в создании фишинговых веб-сайтов, чтобы обманом заставить пользователей передать личную информацию. Фишинговые сайты, маскирующиеся под WhatsApp Web, просят пользователей указать свой номер телефона для подключения к услуге. Однако, фактически злоумышленники будут использовать указанный номер, чтобы завалить вас спамом, или для сопоставления с другими утекшими или взломанными данными в Интернете.
2. Незашифрованные резервные копии
Сообщения, которые пользователь отправляет в WhatsApp, зашифрованы сквозным шифрованием. Только устройство отправителя и устройство получателя могут их декодировать. Данная функция предотвращает перехват сообщений во время передачи даже самим Facebook. Тем не менее сообщения совсем не защищены после их расшифровки на устройстве.
Файл резервной копии, хранящийся в iCloud или на Google Диске, никак не зашифрован. Поскольку файл содержит расшифрованные версии всех сообщений пользователя, он теоретически уязвим и подрывает сквозное шифрование WhatsApp.
Поскольку пользователь не может выбрать место хранения резервной копии и зависит от поставщиков облачных услуг, на обеспечение безопасности данных приходится только надеяться. Хотя на сегодняшний день ни один из крупномасштабных взломов не повлиял на iCloud или Google Диск, тем не менее такой сценарий возможен. Злоумышленники обладают инструментами для получения доступа к учетным записям пользователя облачного хранилища.
Одним из предполагаемых преимуществ шифрования называется возможность предотвращения доступа правительства и правоохранительных органов к данным пользователя. Поскольку незашифрованная резервная копия хранится у одного из двух поставщиков облачных хранилищ в США, при наличии ордера правоохранители легко получат неограниченный доступ к сообщениям пользователя.
3. Обмен данными Facebook
Поэтому в 2014 году, когда Facebook решил принять WhatsApp в «семью Facebook», Европейский союз (ЕС) одобрил сделку только после заверений Facebook, что данные двух компаний будут храниться отдельно.
Техногигант заверил пользователей, что их данные не будут общедоступными на Facebook. Компания будет хранить их в недоступном и скрытом профиле Facebook. За прошедшие годы Facebook внесла изменения, чтобы упростить обмен данными, и предложила новую Политику конфиденциальности. Однако, пользователи и регулирующие органы активно сопротивлялись.
По состоянию на июнь 2021 года компания Facebook смягчила наказание, хотя по-прежнему продолжает поощрять пользователей согласиться с новыми правилами.
4. Обман и фейковые новости
В последние годы компании, занимающиеся социальными сетями, подвергаются критике за распространение на своих платформах фальшивых новостей и дезинформации. Facebook, в частности, обвинялся в распространение дезинформации в ходе президентской кампании 2020 года в США. WhatsApp также подвергался подобным нападкам.
Два наиболее заметных случая произошли в Индии и Бразилии. WhatsApp оказался замешан в массовом насилии, произошедшем в Индии в 2017 и 2018 годах. Сообщения, содержащие сфабрикованные подробности похищений детей, активно пересылались пользователями и широко распространялись по платформе. Фейковые сообщения спровоцировали волну ненависти и привели к линчеванию обвиняемых выдуманных преступлениях.
В Бразилии WhatsApp был основным источником фейковых новостей во время выборов 2018 года. Поскольку дезинформация очень легко распространялась, бразильские бизнесмены создали компании для ведения незаконной дезинформации в WhatsApp против кандидатов. Бизнесмены приобрели списки телефонных номеров и устроили таргетированную рассылку.
После инцидентов компания внесла несколько изменений. WhatsApp установил ограничения на переадресацию. Теперь пользователь может пересылать сообщения только пяти группам вместо прежнего ограничения в 250. Компания также удалила кнопку быстрого доступа для пересылки в ряде регионов.
Несмотря на данные исправления, на раннем этапе пандемии COVID-19 WhatsApp использовался для распространения дезинформации о вирусе. В апреле 2020 года во всем мире были введены карантинные меры. Напуганные люди пытались найти информацию в Интернете.
После происшествия Facebook снова ввел ограничения на пересылку для предотвращения распространения неверной или ложной информации. Также Facebook совместно с властями и организациями здравоохранения по всему миру занимался разработкой чат-ботов WhatsApp, предоставляя людям надежную информацию о пандемии.
5. Статус WhatsApp
В течение многих лет функция статуса WhatsApp, короткая строка текста, была для пользователей единственным способом рассказать о том, что вы сейчас делаете. Затем данная функция превратилась в WhatsApp Status, клон популярной функции Instagram Stories.
Однако, на самом деле это не так. Любой из контактов пользователя WhatsApp может просматривать его статус. К счастью, пользователь может легко контролировать, с кем делится своим Статусом.
Перейдя в «Настройки»>«Учетная запись»> «Конфиденциальность»> «Статус», увидите три варианта конфиденциальности для обновлений статуса:
Стоит отметить, что заблокированные контакты не могут просматривать статус пользователя независимо от настроек конфиденциальности. Как и в случае с Instagram Stories, любые видео и фотографии, добавленные в статус, исчезнут через 24 часа.
WhatsApp безопасен?
Итак, безопасно ли использовать WhatsApp? WhatsApp – очень запутанная платформа. С одной стороны, компания внедрила сквозное шифрование в одно из самых популярных приложений в мире, что несомненно является потенциалом роста безопасности.
Однако в WhatsApp существует много других проблем с безопасностью. После вхождения в «семью Facebook» WhatsApp страдает от тех же угроз конфиденциальности и кампаний дезинформации, как и материнская компания.
Чем опасен WhatsApp. Его взломали полностью
Павел Дуров заявил, что всем нужно срочно удалить WhatsApp со смартфонов и других устройств.
Действительно, к безопасности и конфиденциальности этого мессенджера давно скопилось много вопросов. Соберём всю важную информацию по этой теме, чтобы вы знали, какие опасности могут поджидать в самом популярном мессенджере.
Разбираемся, что не так с WhatsApp.
Павел Дуров заявил: WhatsApp – это троян
WhatsApp не только не защищает ваши сообщения WhatsApp – это приложение постоянно используется в качестве трояна для слежки за фото и сообщениями, которые не относятся к WhatsApp. Зачем им [разработчикам] это делать? Facebook был частью программ слежки задолго до того, как купил WhatsApp.
Разработчик Telegram подчеркнул: все баги, которые находят в WhatsApp, идеально подходят для слежки за пользователями. А если вспомнить утиный тест (если оно выглядит как утка, плавает как утка и крякает как утка, то это, вероятно, и есть утка), то от приложения действительно хочется избавиться.
По словам Дурова, “Facebook и WhatsApp делились практически всем с теми, кто утверждал, что работает на правительство”. Ой.
Израильтяне добились впечатляющих успехов во взломе WhatsApp
В мае 2019 года эксперты по кибербезопасности нашли в системе голосовых звонков WhatsApp дыру, которую использовали для слежки за активистами. Работало это и на Android, и на iOS.
Вредонос разработала израильская компания NSO Group. Он позволял установить на смартфон с WhatsApp шпионские приложения.
Чтобы взломать смартфон, хакеры просто звонили жертве по WhatsApp. Приложение автоматически принимало звонок – без ведома владельца! Затем на смартфон загружали шпионское ПО для кражи данных. Записи о звонках удалялись, чтобы никто ничего не заподозрил.
В WhatsApp проблему признали. Разработчики сравнили код вредоноса с другими разработками NSO Group и пришли к выводу, что почерк действительно один и тот же. Затем они за четыре дня разработали патч безопасности и попросили всех пользователей (1,5 млрд человек, на минуточку!) установить его.
На чем зарабатывает израильская NSO Group?
Главный продукт компании – Pegasus. Это софт, который способен включать камеру и микрофон смартфона, просматривать e-mail и сообщения, собирать данные о геолокации.
Основные заказчики Pegasus – спецслужбы Среднего Востока, США, Западной Европы и других регионов. Формально софт используют с подачи правительства, чтобы противостоять терроризму и предотвращать преступления.
Когда о проблеме с WhatsApp стало известно всем, в NSO Group развели руками. Дескать, мы проверяем всех клиентов и расследуем случаи злоупотребления. Не мы охотимся за правозащитниками, а значит, мы ни в чем не виноваты и ничего не нарушили.
Сколько стоит Pegasus, неизвестно. Саму NSO Group оценивают в 1 млрд долларов.
Забавно другое: после выхода патча адвокат из Лондона заявил об атаке, похожей на использование софта NSO Group. Он защищал саудовского диссидента и мексиканских журналистов, которых ранее также атаковали с применением того же софта.
Но получить данные со смартфона адвоката не удалось. Значит, патч всё-таки работает.
Адвокат также помог жертвам атаки подать в суд на NSO Group. Он заявил, что разработчики должны разделить ответственность за взлом со своими клиентами.
Так как NSO Group экспортировала ПО за границу, предъявило претензии и Министерство обороны Израиля. Но юристы убеждены: в министерстве и раньше знали о возможностях Pegasus, так что это показательное выступление.
Как устроен WhatsApp, вообще неизвестно
WhatsApp – мессенджер с закрытым исходным кодом. В целом для коммерческих приложений это нормально. Но продукты с открытым исходным кодом внушают больше доверия.
В WhatsApp вы не можете посмотреть, чем новая версия отличается от предшественницы. Не можете проанализировать код и найти бэкдоры.
Специалисты ищут уязвимости в WhatsApp, исходя из поведения готового продукта. Это не дает увидеть полной картины.
Более того: разработчики WhatsApp обфусцируют код. Его специально запутывают, чтобы усложнить анализ.
Скорее всего, это сделано по требованию спецслужб. От WhatsApp и материнской компании Facebook могли потребовать оставить в ПО бэкдоры. И если компании отправили приказ ФБР о неразглашении (так называемый Gag order), Цукерберг даже общественности пожаловаться не может.
WhatsApp был изначально полон дыр в безопасности
Создатели WhatsApp Брайан Эктон (слева) и Ян Кум
Создатели WhatsApp заявляли, что “безопасность у него в ДНК”. Но всё оказалось с точностью наоборот.
Например, в 2011-2012 годах доступ к вашей переписке в WhatsApp могли получить даже мобильные провайдеры и администраторы Wi-Fi точек. Ключи шифрования одно время можно было подменить прямо в чате. Вряд ли тестировщики компании этого не замечали.
Когда внедрили стандартное шифрование, ключи сделали доступными некоторым правительствам. Но резервные копии данных, которые настойчиво предлагали сохранять в облаке, никто не шифровал.
Сквозное шифрование, которое интегрировали в апреле 2016 года и которое используется сегодня, тоже не спасает от кражи данных. Например, разработчики признали, что бекапы на Google Drive загружали без шифрования.
Да, метаданные разговоров мессенджер тоже передавал властям. Из них можно понять, когда и с кем вы общались.
А ещё в 2013 году исследователи установили, что WhatsApp копировал все мобильные номера телефонов из адресной книги на свои сервера. Формально чтобы показать, кто из них уже установил WhatsApp. Реально… с этими данными можно было сделать что угодно.
На сервера WhatsApp попали и номера пользователей, которые не устанавливали приложение. К тому же при отправке использовалась ненадежная схема. Расшифровать данные даже на домашнем ноутбуке можно за три минуты.
Возможность взлома WhatsApp доказали на высшем уровне
Расследование в отношении Пола Манафорта, руководителя предвыборной кампании Дональда Трампа и советника беглого украинского президента Януковича, подтверждает, что мессенджер полон сюрпризов. Сообщения Манафорта в WhatsApp достали из iCloud.
Вероятно, Apple предоставила ФБР доступ к iCloud политика по решению суда.
А WhatsApp пришлось передать ключи шифрования, и это позволило агентам прочитать переписку Манафорта. В итоге его признали виновным по нескольким обвинениям и посадили на семь с половиной лет.
Основатели мессенджера перестали верить в WhatsApp
Facebook купил WhatsApp в феврале 2014 года за 22 млрд долларов. В сентябре 2017 года сооснователь WhatsApp Брайан Эктон покинул компанию В апреле 2018-го Ян Борисович Кум сделал то же самое – из-за сомнений в приватности данных пользователей.
В марте, после скандала с Cambridge Analytica, Эктон призвал удалить Facebook и другие продукты компании. Он также заявил: Facebook неохотно согласился на оконечное шифрование в WhatsApp.
Действительно: если компания признала, что годами хранила сотни миллионов паролей от Instagram в виде простого текста (. ), то от неё всего можно ожидать. Данные были доступны 2 тыс. разработчиков. Мог ли кто-то слить эти данные? Риторический вопрос.
Эктон также выразил сожаление о том, что согласился на сделку с Facebook:
Я продал приватность своих пользователей за большую выгоду. Я сделал выбор и пошел на уступки. И мне приходится жить с этим каждый день.
Эктон добавил: что происходит с шифрованием в WhatsApp после продажи, неизвестно. Как-то не верится, что его резко улучшили.
Через WhatsApp прямо сейчас могут красть ваши данные
Новый громкий скандал с WhatsApp начался 3 октября. Уязвимость угрожает WhatsApp (версии до 2.19.244) на Android, начиная с 8 версии.
В WhatsApp 2.19.244 проблему решили.
Но 14 ноября эксперты нашли ещё одну дыру (и в Facebook её признали). Баг есть в WhatsApp до 2.19.274 для Android и в iOS-версии до 2.19.100.
Разработчики раскрыли не слишком много подробностей. Лишь отметили, что уязвимость связана с тем, как WhatsApp анализирует метадату mp4-видеофайлов.
Если баг эксплуатировать, можно добиться выполнения на смартфоне произвольного кода или отказа обслуживания (когда гаджетом нельзя будет пользоваться).
Если вы ещё не обновились, самое время.
А что с самим Telegram
У мессенджера Дурова с безопасностью тоже всё не очень гладко. Вот здесь мы разбирались, в чем дело.
Если вкратце, то в Telegram тоже используется сквозное шифрование. В приватных чатах Telegram ключи действительно есть только у участников, в обычных (облачных) ключ теоретически может получить кто угодно.
Сквозное шифрование в Telegram не раз обходили. Да и другие уязвимости обнаруживали. Например, и в WhatsApp, и в Telegram можно было скрыть вредоносный код в изображении и отправить жертве, а затем получить полный доступ к её аккаунту.
И вообще: в сентябре эксперт Дирай Мишра обнаружил, что удаленные в Telegram файлы остаются на устройстве после того, как вы нажимаете в чате кнопку “Удалить для всех”. Так что если вы по ошибке перешлете свои нюдсы боссу, а потом сразу удалите их, босс всё равно сможет сколько угодно их рассматривать. Фото сохранятся у него в папке на смартфоне при получении. Да и хакеры смогут получить доступ к файлам на устройстве.
В Telegram признали проблему. За найденный баг Мишре выплатили 2500 евро в рамках программы bug bounty.
В WhatsApp есть такая же фича. И она работает как надо.
Что ж, программы пишут люди. А люди ошибаются. Чаще, чем нам хотелось бы.
Разница только в том, что WhatsApp сотрудничает с властями, а Telegram утверждает, что не сотрудничает.
Что теперь делать?
Если WhatsApp у вас – только для списков продуктов и школьных чатов, в целом можно не волноваться. Но конфиденциальную информацию и нюдсы через него передавать не стоит.
Telegram все же безопаснее WhatsApp. А Signal, пожалуй, безопаснее Telegram.
Есть ещё Wire, Threema и другие продукты. Но абсолютно безопасных мессенджеров не существует.