Чи існує безпечний месенджер і як захиститися від хакерів

Непрочитані повідомлення. Як захистити приватні розмови в месенджерах від шпигунів, хакерів і ворогів

Вівторок, 16 Квітня, 2024

Середовище

Елєвтєрова Аліна

До Telegram має доступ ФСБ РФ, у Viber можна отримувати тільки листівки від бабусі на Різдво, а Signal — найбезпечніший месенджер на світі. Чи правда це? Експертка з цифрової безпеки ГО «Інтерньюз-Україна» Аліна Елєвтєрова розібрала поширені міфи про популярні платформи для спілкування разом із CEO Apetyk Consulting, головою правління ГО МІНЗМІН Анастасією Апетик й експертом із питань цифрової безпеки в Nadiyno.org Павлом Бєлоусовим. 

Що треба знати про всі месенджери

Головна теза, яку варто пам’ятати під час обговорення всіх популярних в Україні месенджерів: будь-який застосунок не є безпечним із «коробки». Часто його треба додатково налаштувати — ввімкнути двофакторну автентифікацію, перевірити параметри приватності, обрати, який ступінь анонімності ви б хотіли зберігати, коли використовуєте продукт. Налаштовувати необхідно будь-який месенджер, навіть Viber, якщо станом на зараз у вас немає привілею відмовитися від нього (бо його використовують спікери, колеги або родичі). 

Інша важлива теза — використовувати можна всі програми.

У цьому тексті не буде авторитарного «негайно видаліть усе, окрім Wire». Але рекомендація у зв’язку з цим наступна: варто провести власну оцінку ризиків, щоби зрозуміти, який інструмент для комунікацій обрати. 

«Перше, про що варто подумати журналістам — де перебуваєте ви й ваші контакти. Якщо потрібно комунікувати з кимось на тимчасово окупованих територіях, краще звернутися до експертів, які допоможуть налаштувати надійний канал зв’язку, — говорить CEO організації Apetyk Consulting, експертка з цифрової безпеки Анастасія Апетик. — Наступне: не забути налаштувати месенджер. Увімкнути двофакторну автентифікацію, наприклад. Також треба зрозуміти, з ким ви комунікуватимете. Якщо це військові, звичайно, не варто використовувати Viber або Telegram для інтерв’ю. А якщо треба написати повідомлення бабусі й запитати, як справи, не потрібно змушувати її завантажувати Signal. Це основні моменти, на які необхідно зважати». 

На що звертати увагу під час вибору месенджерів:

  1. Країна походження. Продукти Росії, Білорусі або Китаю за замовчуванням не можна вважати безпечними. Наприклад, не варто довіряти чутливе листування Telegram або TikTok. Юрисдикція (тобто, необхідність виконувати закони країни, в якій знаходиться компанія) також може розказати про те, як компанії захищають дані та що з ними роблять, чи продають їх третім компаніям, чи передають дані спецслужбам, в яких випадках та якому об’ємі, і так далі.
  2. Спосіб шифрування даних. Краще віддати перевагу месенджерам, які використовують шифрування з кінця до кінця (End-to-End Encryption). Це метод шифрування, який забезпечує захист конфіденційності повідомлень, даних або файлів від третіх сторін, включаючи розробників месенджера чи інших проміжних посередників. При цьому дані шифруються на пристрої відправника й розшифровуються лише на пристрої отримувача, тобто «подорожують» через мережу в зашифрованому вигляді, не розшифровуючись на проміжних серверах.
  3. Рівень приватності. Деякі месенджери вимагають реєстрацію за номером телефону. Якщо це не комфортно, можна обрати той канал зв’язку, який дозволить використати email. Також можна поцікавитись, які дані збирає месенджер і скільки в ньому рекламних трекерів. Наприклад, Viber має сім трекерів, тоді як Signal немає взагалі. Трекери збирають інформацію про користувачів та їхню поведінку в застосунку, далі цю інформацію можуть продавати іншим компаніям. Щоб дізнатися, які дані збирають на певній платформі, використати можна сайт Exodus Privacy.

Поради з безпеки для всіх месенджерів:

  1. Налаштуйте двофакторну автентифікацію. Вона захистить від певних фішингових атак.
  2. Налаштуйте приватність так, як вам комфортно. Наприклад, хто може бачити ваш номер телефону чи стан у мережі.
  3. Вимкніть автозавантаження медіа. Це дасть вам змогу рідше питати себе, куди зникає місце на пристрої.
  4. Якщо ви відчуваєте потребу, можете заблокувати вхід у сам застосунок (наприклад, щоб відкрити Signal, вам треба буде використати відбиток пальця).
  5. Якщо ви вирішили використовувати резервну копію, подбайте про захист акаунту, куди архівується листування.
  6. Налаштуйте автоматичне видалення повідомлень (якщо це дозволяє ваш профіль роботи).
  7. Віддайте перевагу листуванню за протоколом наскрізного шифрування. За цим протоколом повідомлення не зберігатимуться на серверах компанії, а виключно на пристроях співрозмовників. У Telegram, Facebook Messenger ця опція не активна за замовчуванням, а включається в «секретних чатах». Viber, WhatsApp, Signal використовують end-to-end одразу. 
  8. Якщо ви отримали повідомлення, схоже на фішингове, проконсультуйтеся про це з експертами. 

Тепер детальніше розберемось, як працюють найпопулярніші месенджери та якому інструменту для конкретних задач краще віддати перевагу. 

Viber

Кількість користувачів: 1,3 млрд зареєстрованих користувачів 

Двофакторна автентифікація: є

Наскрізне шифрування: за замовчуванням

2022 року Viber все ще значився найпопулярнішим месенджером серед українців. Такі дані наводила агенція Kantar, яка кілька років підряд публікувала рейтинг популярності застосунків. Їхня остання інфографіка свідчить, що цей менеджер встановлений у 98,2 % українських власників мобільних телефонів. 

Можливо, ви колись чули, що Viber не рекомендують використовувати для чутливого листування, тому що він не є безпечним. Чому ж експерти так вважають попри заяви самого месенджера про протилежне?

Для початку трохи історії його створення. Viber Media заснували 2010 року в Тель-Авіві Тальмон Марко та Ігорьм Магазіннік. До 2014 року Viber розробляли в Мінську, Бресті й на Кіпрі. Компанія була резидентом державного проєкту «Білоруський парк високих технологій». 2014-го Viber викупила японська компанія Rakuten. Куди нові власники перенесли виробництво, невідомо, але в їхньому офіційному блозі вони наводять таку цитату

«Ми зберігаємо й обробляємо вашу особисту інформацію на наших комп’ютерах у США та Європі й використовуємо постачальників послуг за межами Європейської економічної зони (ЄЕЗ), таких як Азія, Австралія та Бразилія. У нас немає серверів у Китаї».

Тобто конкретні країни вони не вказують. Ця інформація важлива для того, аби зрозуміти, під дії яких законів підпадатиме інформація, збережена на серверах, адже в кожної держави є свої правила стосовно цифрових ресурсів. 

Читати також: Viber-канали українських медіа:  хто читає, що працює з форматів та які є технічні мінуси (доповнено)

У січні 2022 року компанія відкрила офіційне представництво в Росії. Цей крок — частина виконання російського закону про діяльність закордонних осіб у мережі Інтернет на території РФ. Згідно з цим регулюванням, уся інформація про користувачів із Росії має перебувати на серверах, які розташовані на її території. Це також може означати, що спецслужби цієї країни можуть отримати доступ до повідомлень користувачів. Але не тільки повідомлення є чутливою інформацією.

В Україні Viber також має представництво — 10 квітня 2024-го компанія призначила першого регіонального директора. У коментарі для «Укрінформу» представники месенджера зазначили, що дані українських користувачів (ім’я, номер телефону тощо) зберігаються у США на серверах Amazon. 

«Viber має сім рекламних трекерів і 78 дозволів до процесів на телефоні. Це рівень відстеження даних, який також є в Meta, наприклад. Оскільки будь-який месенджер насамперед бізнес, то думатиме він про свій прибуток, — зазначає експертка з цифрової безпеки Анастасія Апетик. — Трекери збирають про користувачів певну інформацію: це може бути стать, приблизний вік, приблизне перебування людини. Звісно, всі дані анонімізовані, проте це все одно дані. Цю інформацію бізнес далі може продавати. Умовно кажучи, якась компанія з РФ придбає ці дані й може подивитись, як розкидані чоловіки певного віку територією України. Тим паче, що й після 24.02 там якийсь час висіли трекери від “ВКонтакте” та “Яндекса”».

На скриншоті дані з сайту Exodus.Privacy, де видно, що версія Viber за 5 березня 2022 року має трекери “Яндекса” та “ВКонтактє”. Трекер “ВКонтактє” зник 20 березня, трекер “Яндекса” — 8 травня.
На скриншоті дані з сайту Exodus.Privacy, де видно, що версія Viber за 5 березня 2022 року має трекери “Яндекса” та “ВКонтактє”. Трекер “ВКонтактє” зник 20 березня, трекер “Яндекса” — 8 травня.

Наявність трекерів не означає, що Viber має доступ до листування. За замовчуванням месенджер використовує наскрізне шифрування: це означає, що повідомлення не зберігаються на серверах, а тільки на пристроях співрозмовників і передаються зашифровано. Але і тут не все так просто:

«Є таке поняття як аудит коду, коли незалежні експерти з безпеки досліджують програму й кажуть, чи відповідають слова розробників дійсності, чи немає в месенджері дірок. Viber такого аудиту не проходив, тож ми не знаємо, чи немає там зараз щілин для ФСБ. Так, його перепродали японцям, але їхні сервери довго були в Білорусі, тож чи залишилися там проблемні історії, ми не знаємо», — говорить Павло Бєлоусов, експерт із питань цифрової безпеки в Nadiyno.org.

Є також й інші важливі пункти, на які звертають увагу експерти:

Завжди простіше контактувати з людиною через той месенджер, який у неї встановлений, навіть попри безпекові виклики. У такому випадку краще не передавати через нього чутливу інформацію. 

«Загалом я не можу вважати його супер поганим, але його побудова не така, що їй однозначно можна довіряти. Тому не раджу ні його, ні Telegram». 

Павло Бєлоусов

Telegram

Кількість користувачів: 900 млн користувачів на місяць

Двофакторна автентифікація: є

Наскрізне шифрування: тільки в секретних чатах

Наступний «сірий» месенджер — Telegram. Його творець — автор російського «ВКонтакте» Павєл Дуров. І хоча Дуров та команда активно заперечують свої зв’язки з РФ, деякі українські OSINT-дослідники й експерти з цифрової безпеки вважають, що це неправда. Власне, це найперша й найбільша безпекова проблема цього застосунку. 

Для ілюстрації тези про зв’язки Telegram із РФ візьмімо історію 2018 року, коли месенджер заблокували на території РФ. Вимога політиків була такою: розробники дають ключі для декодувань повідомлень і санкції знімаються. Два роки в цій історії нічого не відбувалось, аж раптом 2020-го Роскомнагляд розблокував месенджер і зазначив, що це стало можливо через співпрацю в зупиненні тероризму. А 2021 року президент РФ Путін навів Telegram як приклад «нормальної взаємодії влади й соцмереж».

Також серед інвесторів застосунку є багато російських бізнесменів і компаній: Роман Абрамовіч, Дмітрій Єрємєєв, Давид Якобашвілі та інші. Оскільки 2023 року Дуров зазначав, що Telegram досі не приносить прибутку, з’являється логічне запитання, чому російський бізнес все ж таки фінансово підтримує компанію.

Ці зв’язки докладніше досліджує проєкт українського підприємця Ярослава Ажнюка «Крємлєграм». Ініціатива почалася після того, як Ажнюк написав матеріал про те, чи безпечно використовувати Telegram в Україні. Після цього журналісти й OSIN-дослідники об’єдналися, щоби глибше проаналізувати зв’язки месенджера з Росією. 

«Якщо дивитися на воєнний компонент, то я бачу Telegram як зброю, яку треба знешкодити, — говорить Павло Бєлоусов. — Це важіль, який незрозуміло ким використовується, ніяк не регулюється. У застосунку величезна авдиторія й недружнє середовище, де ми є об’єктом, на який впливають».

Проблеми, які також виділяють дослідники:

«Зараз в Україні немає регулювання Telegram. У людей часто бракує знань про аналіз власних ризиків, а це має комунікуватися на державному рівні. Наприклад, що ми, як представники держави, не використовуємо месенджер взагалі, не маємо там наших офіційних каналів тощо, — зазначає Анастасія Апетик. — Блокування глобально можуть нічого і не вирішити, адже багато українців і далі використовують російський “ВКонтактє”.

Потрібно пояснювати, чому в деяких випадках краще передавати інформацію через інші месенджери, а також пропонувати альтернативу».

Останнім часом у правовому полі України точиться дискусія стосовно гіпотетичного блокування або регуляції застосунку. Міністерство цифрової трансформації готує законопроєкт із регулювання онлайн-платформ. Нещодавно народний депутат Микола Княжицький зареєстрував законопроєкт про запровадження державного регулювання Telegram в Україні. Голова Комітету ВРУ з питань гуманітарної та інформаційної політики Микита Потураєв розповідав, що державні установи намагалися поговорити з керівництвом месенджера стосовно контенту, проте його представники на контакт майже не виходять.  

Поки дискусія точиться, користувачів у застосунку не меншає. Тож короткий підсумок, як захистити себе, використовуючи Telegram:

WhatsApp і Facebook Messenger 

Кількість користувачів WhatsApp: 2 млрд користувачів на місяць

Двофакторна автентифікація: є

Наскрізне шифрування: за замовчуванням


Кількість користувачів Facebook Messenger: 3,07 млрд користувачів на місяць

Двофакторна автентифікація: в налаштуваннях сторінки Facebook

Наскрізне шифрування: тільки в секретних чатах

WhatsApp часто пропонують як альтернативу Telegram, адже він підпорядковується США й має наскрізне шифрування за замовчуванням. Тобто цей месенджер одразу «на голову вищий» у питанні безпеки. Водночас є певні питання щодо його конфіденційності та приватності, оскільки зараз WhatsApp належить компанії Meta. Багатьох людей в Європі та Америці турбують пов’язані з цим ризики для їхніх даних: чи продає Meta дані з месенджера, до чого компанія має доступ, чи використовує активність у WhatsApp для кращого ранжування реклами у Facebook. 

У компанії є доступ до метаданих, номеру телефону, IP-адреси, і цією інформацією вона ділиться з «іншими компаніями Meta».

Але важливо розуміти: до вмісту повідомлень у компанії немає доступу. Наскрізне шифрування, яке використовує застосунок, схоже на алгоритм Signal. Хоча вихідний код WhatsApp відкритим не є. Тобто він недоступний для вивчення й аналізу незалежних дослідників безпеки, тож про стан інфраструктури месенджера ми можемо дізнаватися тільки зі слів самої компанії. 

Також у застосунку є можливість зашифрувати резервну копію, якщо ви таку робите: якщо доведеться завантажувати її на новий телефон, треба ввести пароль для її розшифрування. 

Facebook Messenger такими функціями похвалитися не може. Наскрізне шифрування, яке нещодавно до нього додали, не працює за замовчуванням, користувачам необхідно вручну створювати «секретні чати» за аналогією з Telegram. Безпека месенджера напряму пов’язана з безпекою акаунта Facebook, тож налаштовувати варто насамперед його (встановлювати двофакторну автентифікацію і так далі). Також у випадку з Messenger, Meta має доступ до набагато більшої кількості даних: купівлі та фінансової інформації, локації, контактних даних, історії пошуку, рекламної інформації. А повідомлення можуть додатково скануватись, якщо на них скаржаться, для виявлення спаму, дитячої порнографії чи шкідливих покликань.

«США — демократична країна, там працюють регуляції. Якщо вони десь зловживають збором даних, на них можна повпливати. Але важливо розуміти, що зв’язок WhatsApp і Facebook може створити певні вразливості. Наприклад, якщо я журналіст-розслідувач і спілкуюся зі своїми контактами у WhatsApp, Facebook може показувати мені їх як “ви можете їх знати”, розкриваючи так зв’язки. Але в будь-якому випадку, стартові налаштування WhatsApp набагато кращі, ніж у Telegram», — говорить Павло Бєлоусов. 

Якщо підсумувати:

Читати також: Світові медіа у Whatsapp: які можливості й ризики платформи

Signal

Кількість користувачів: 40 млн на місяць

Двофакторна автентифікація: є

Наскрізне шифрування: за замовчуванням

Про Signal часто кажуть, що це — найбезпечніший месенджер. Signal відомий тим, що намагається збирати якомога менше даних про своїх користувачів. За замовчуванням він використовує наскрізне шифрування, тобто не потрібно думати про секретні чати або вручну налаштовувати певні правила листувань. Signal підтримує двофакторну автентифікацію, а вхід у месенджер можливий тільки на одному телефоні. Акаунт за QR-кодом можна зв’язати з вебверсією на комп’ютері, проте мати акаунт на багатьох телефонах (як у випадку з Telegram) тут неможливо.

Будь-який месенджер може захищати користувачів на своєму рівні, проте нічого не зможе зробити, якщо користувач стане жертвою фішингу. Оскільки з початку повномасштабного вторгнення Signal набув популярності серед військових, журналістів й активістів, збільшилися й фішингові атаки на акаунти. Щоб не повестися на це, важливо дотримуватися простих правил: не передавати нікому код для входу з повідомлення, не переходити за підозрілими покликаннями від незнайомих (і знайомих) людей і не завантажувати підозрілі вкладення. 

Акаунт, з якого можуть попросити відправити код із смс, може бути схожий на офіційний. Але важливо пам’ятати, що канал Signal має галочку й туди у відповідь не можна нічого написати.

Фішинг, який імітує офіційний акаунт Signal
Фішинг, який імітує офіційний акаунт Signal
Як насправді виглядає офіційний канал Signal
Як насправді виглядає офіційний канал Signal

У Signal з’являються певні налаштування, які можуть підвищити приватність. На що варто звернути увагу: 

Session, Threema, Wire 

Ви могли чути й інші назви месенджерів, наприклад, Session, Threema або Wire. В Україні вони не дуже популярні, проте можуть використовуватись у невеликих спільнотах.  

«Важливо пам’ятати, що чим менш популярний месенджер, тим менше на нього будуть робитись атаки. Проте це може бути незручно для ваших контактів, бо треба довантажувати новий застосунок, розбиратись у ньому. Або навіть платити, як у випадку зі Threema», — зазначає Анастасія Апетик. 

Ці месенджери використовують не менш надійні протоколи шифрування й більше піклуються про анонімність користувачів. Наприклад, Session не потребує для реєстрації ні номеру, ні email — він генерує випадковий ідентифікатор користувача. Для перенесення даних на інший пристрій треба використати згенеровану застосунком фразу відновлення. Проте в месенджера зараз немає двофакторної автентифікації. 

Wire так само дає змогу максимально зберегти анонімність — у месенджері можна реєструватися за поштою, він не збирає метадані, проте так само не має двофакторної автентифікації. Threemа теж є хорошим варіантом, коли питання приватності виходять на перший план. Проте це платний продукт, натомість його розробники не отримують фінансування від великих корпорацій і не продають дані користувачів.

Підсумовуючи

Будь-який месенджер можна використовувати, проте для кожного варто окреслити свої межі (тут можна писати тільки в чат ОСББ, а тут — спілкуватись із важливими контактами). Проте навіть найзахищеніші застосунки треба налаштовувати додатково. 

Також варто пам’ятати про фішинг: він, як завжди, може статись на будь-якій платформі. І месенджер, на жаль, не зможе вберегти ваші дані, якщо ви власноруч віддасте їх третій стороні.

Читати також: Цифрова безпека для медійників: чому теза «нікому не потрібні мої дані» небезпечна

Facebook | Messenger | Мета | Telegram | WhatsApp | Wire