Най-сигурните приложения за шифровани съобщения
Ако предпочитате държавното управление, хакерите, вашия снабдител на интернет услуги или някой различен да прихваща и чете персоналните ви връзки, би трябвало да сте сигурни, че употребявате предпазено приложение за известия. По-конкретно, такова, което употребява криптирани известия. Както евентуално сте забелязали (освен в случай че не живеете в пещера, което през 2020 май стартира да не е толкоз неприятна идея) поверителността в интернет се трансформира в една от най-горещите тематики на десетилетието. В тази връзка сме подготвили публикация, в която даваме отговор на въпроса кои са най-сигурните приложения за шифровани известия за Android и iOS телефони.
През 2017 година Конгресът на Съединени американски щати анулира разпореждания, които биха защитили вашите данни от продажбата им на широколентовите и безжични компании. През 2016 година Народното събрание на Обединеното кралство одобри Закона за проверяващата власт (известен също като Хартата на шпионина), който уголемява пълномощията за наблюдаване на разследващата общественост на Англия и полицията. През 2018 година Австралия принуди известното приложение за известия WhatsApp да включи шпионски програмен продукт, с цел да може правораздавателните органи в страната да наблюдават какво пишете. Да не приказваме за протичащото се в новините сега по отношение на поверителността. Ако към този момент не се притеснявате, в този момент е много подобаващ миг да започнете…
Какво прави едно приложение за известия несъмнено?
Приложението за криптирани известия има нещо по-важно от страхотни джаджи към него и гигантска библиотека с емотикони: има функционалности, които работят безшумно във фонов режим, с цел да се уверят, че приложението е предпазено.
Криптиране вид „ от край до край “
Основното нещо, което би трябвало да ревизирате, когато избирате приложение за известия, е дали употребява или не криптиране от край до край. Шифроването от край до край значи, че вашите персонални известия в чата са кодирани и единствено подателят и получателят на известията имат„ дешифровъчния ключ “, с цел да ги прочетат. Това подсигурява, че никой с изключение на вас и събеседника не може да декриптира известията.
По подигравка на ориста криптирането се е считало за нещо, което се употребява единствено от параноиците или тези, които имат непреодолима потребност от загадка, като политическите дисиденти и службите за сигурност. Едва откакто разобличителят Едуард Сноудън пусна в общественото пространство класифицирани документи, разкриващи световната стратегия за наблюдаване на Американската организация за сигурност (NSA), светът стартира да схваща изцяло значимостта на криптирането и онлайн поверителността. Оттогава доста компании (включително Фейсбук, Apple и Google) покачиха вида на криптирането на своя програмен продукт.
Настройки по дифолт (за криптиране)
Само тъй като приложението предлага криптиране от край до край, не значи, че това е настройката и по дифолт. Някои приложения за известия изискват да влезете в настройките на приложението и фактически да включите функционалността за криптиране, до момента в който други криптират известия единствено в избрани сюжети (например сините iMessages против зелени текстови известия при iOS). Тъй като значимостта на криптирането е към момента относително нова, доста хора може просто да одобряват, че приложението е безвредно, без да знаят дали или по кое време техните известия са криптирани – тъй че потърсете такова, което има включено кодиране по дифолт за вас и за който изпращате известия.
Отворен код
Докато опасенията от противоположен инженеринг или оставяне на вратички в кода могат да наподобяват неинтуитивни и производителя на приложения да не желае да разкрива изходния код на приложението, това понастоящем се преглежда като знак за целостта на приложението. Отвореният код разкрива приложението за външна отчетност и одит от IT специалистите, което може да бъде потребен метод за ориентиране на вниманието към всевъзможни недостатъци или уязвимости в кода.
Събиране на данни
Докато доста приложения за известия през днешния ден започнаха да употребяват криптиране от край до край, някои към момента събират информация за вас, чрез метаданни. Метаданните са нещо като вашия електронен пръстов отпечатък и включват данни като – с кого говорите (чрез вашия лист с контакти), за какъв брой време и кога, както и информация за устройството, което употребявате, вашия IP адрес, телефонен номер и още.
Настройването на VPN приложение на вашето мобилно устройство е елементарен метод да блокирате събирането на този тип персонална информация.
Списък с най-сигурните приложения за шифровани известия през 2020
Първоначално известно като TextSecure Private Messenger, Signal е приложение, рекламирано като златен стандарт за сигурност на известията от криптографа Брус Шнайер, Едуард Сноудън, американския конгрес и даже Европейската комисия. Предлага се като гратис приложение за известия на iPhone и Android телефони, както и за настолни компютри. Signal изпраща известия през личната си инфраструктура за данни.
Функции за сигурност на Signal
Шифроване от край до крайСъобщенията, изпратени посредством приложението Signal, могат да бъдат преглеждани единствено от подателя и получателя. Дори компанията, която стои зад приложението, Open Whisper Systems, не може да дешифрира известията. В допълнение към незабавните известия можете да правите гласови повиквания, групови известия и криптирани видео диалози.
Отворен кодSignal има отворен програмен код, който може да бъде забелязан от всеки. Този тип бистрота разрешава обикновен одит и оказва помощ да се подсигурява, че сигурността на приложението е постоянно настояща.
Изчезващи известияЗа спомагателна сигурност, Signal ви разрешава изпратените и получените известия да „ изчезнат “ след приключване на избран интервал от време.
Минимално предпазване на данниЗа разлика от доста други приложения за известия, Signal съхранява единствено метаданните, нужни за работата на приложението, като вашия телефонен номер, случайни (шифровъчни) ключове и информация за профила.
Защита на паролатаПриложението също ви разрешава да зададете ключова дума, с цел да го заключите. Така че даже телефонът ви да попадне в неверните ръце, известията ви отново ще бъдат предпазени.
Рисковете за сигурността при Signal
Най-хубавото на Signal е, че на процедура все още няма опасности за сигурността. Докато разработчиците на приложението не престават да старателно поправят уязвимости, Signal ще остане на върха на хранителната верига на приложенията за известия. Последната записана и поправена до в този момент накърнимост бе през май 2020 година, когато специалисти от охранителната компания Tenable откриха опция за пробив, която би могла да разреши на хакерите да проследят местоположението на потребителя.
Предлага се както на iPhone, по този начин и на Android, Wickr се отличава от останалите, като предлага варианти за сигурни известия както за персонална приложимост (Wickr Me), по този начин и корпоративно (Wickr Pro). Докато Wickr Me е безвъзмезден, Wickr Pro е платена услуга, която се предлага с 30-дневен безвъзмезден експериментален интервал.
Функции за сигурност на Wickr Me
Шифроване от край до крайВ допълнение към шифрованите известия, Wickr разгласи, че от 2019 година неговата услуга „ Me “ предлага и криптирани диалози и гласови известия (които към този момент се оферират в Pro версията).
Откриване на екранна фотографияWickr предлага нова функционалност, която разрешава на потребителите да откриват екранни фотоси. Това значи, че ще получите уведомление, в случай че някой направи екранна фотография на известие, което сте изпратили.
Защита на екранаНа устройства с Android Wickr пусна нова функционалност, която разрешава на потребителите да деактивират „ Наслагвания на екрана “. Това пречи на потребителите да могат да взаимодействат с приложението, когато се открие наслагване, и оказва помощ да се отбрани приложението от способи като TapJacking.
Клавиатури от трети разработчици (страни)В iOS Wickr ви разрешава да блокирате клавиатури на трети страни. Това оказва помощ за отбраната на вашата информация, като предотвратява записването на потребителски имена, пароли и друга информация, която се вкарва в приложението на клавиатури на трети разработчици.
Сигурен шредерТази функционалност прибавя спомагателен пласт сигурност, като подсигурява, че към този момент изтритите файлове не могат да бъдат възобновени със специфични принадлежности и технологии. Докато Wickr прави това за вас от време на време, вие също имате опция ръчно да изтриете информация от телефона си.
Рисковете за сигурността при Wickr Me
Подобно на Signal, Wickr нормално се смята за съвсем 100% благонадежден от позиция на сигурността. Въпреки че преди този момент беше подложен на критика, че не разгласява програмния си код, през 2017 година Wickr най-сетне пусна своя криптографски протокол в платформата Github. Ако желаете да получите техническа информация за сигурността на приложението, можете да ревизирате Обещанията за сигурност на клиентите на Wickr.
3. Telegram
Имайки над 200 милиона консуматори както на iPhone, по този начин и на Android, Telegram непрестанно усилва известността си от началото на своя дебют през 2013 година и е прочут с неповторимата си функционалност за колективен чат, която може да поддържа до 100 000 членове.
По-рано през 2018 година компанята зад приложението се сблъска с съветското държавно управление поради отхвърли на програмистите да предадат ключовете за кодиране, като това докара до цялостната му възбрана в Русия. Telegram също се счита доби отрицателна популярност заради статута си на желано за известия на ISIS, което въпреки това още веднъж потвърждава, че приложението е задоволително несъмнено криптирано.
Функции за сигурност на Telegram
Шифроване от край до крайTelegram предлага функционалност, наречена „ Secret Chat “, която ви разрешава да отбраните известията си с криптиране от край до край. Функцията обаче не се употребява по дифолт, тъй че ще би трябвало да я включите в случай че желаете да сте предпазени.
Заключване с ключова думаМожете да зададете 4-цифрен код, с цел да предотвратите достъпа на нарушителите до известията ви, което може да бъде потребно, в случай че телефонът ви се загуби или открадне.
Двустепенна инспекция за автентикацияНамира се в Настройки, двустепенна инспекция за автентикация изисква да употребявате както SMS код, по този начин и ключова дума, с цел да влезете в приложението. Можете също да настроите имейл адрес за възобновяване, ако забравите паролата си).
Отворен кодВсеки може да ревизира изходния код, протокола и API на Telegram, с цел да се увери, че е на равнище.
Конкурс за продупчване на TelegramTelegram провокира „ хакери “ да се опитат да пробият криптирането и да дешифрират известията, предлагайки премия от 300 000 $ за всеки, който е в положение да го направи. Това оказва помощ да се подсигурява, че всички евентуални уязвимости ще бъдат открити и отстранени.
Саморазрушаващи се известияПодобно на доста други приложения за известия, Telegram също предлага таймер за самоизтребление (само за секрети чатове), който ще изтрие частни текстови известия и мултимедийни файлове в границите на авансово заложен период.
Отдалечено излизанеТъй като можете да влезете в Telegram по едно и също време от голям брой устройства (уеб основан достъп от компютър или през таблет, или от смарт телефон и т.н.), приложението предлага опция за излизане от други сесии през настоящото устройство, което употребявате, посредством менюто Настройки. По този метод, в случай че устройството ви бъде изгубено или откраднато, отново можете да се уверите, че вашите известия са предпазени.
Самоунищожение на акаунтаСлед като акаунтът ви е бил неактивен за избран интервал от време (шест месеца по подразбиране), акаунтът ви автоматизирано ще се самоунищожи, изтривайки изцяло всичките ви известия и медии.
Рискове за сигурността на Telegram
Шифроването от край до край не е по дифолт
Трябва ръчно да активирате функционалността „ Secret Chat “ на Telegram, в противоположен случай чатовете се криптират единствено сред вашето устройство и сървъра на Telegram.
Вписване на данни за чат
Ако не активирате функционалността Secret Chat, вашите данни за чат се резервират на сървърите на Telegram. Компанията твърди, че това е при положение, че загубите устройството си и желаете да възстановите известията си, само че от позиция на сигурността това е минус.
Възможно е дефектна технология за криптиране
Telegram сътвори собствен личен протокол MTProto, вместо да употребява подобен, който към този момент е потвърдено предпазен, като протокола на Signal. Много специалисти сложиха под подозрение аргументите за това и показаха песимизъм по отношение на неналичието на бистрота към протокола, само че както към този момент посочихме има премия за този, които успее да пробие отбраната, като незабавно по-късно ще бъде отстранена откритата пробойна.
След тези приложения, които все още са считани за най-сигурните за шифровани известия, небрежно ще обърнем внимание на някои други разновидности:
WhatsApp – С над 300 милиона ежедневни консуматори, WhatsApp е едно от най-популярните приложения за известия, които се употребяват през днешния ден. Популярността на приложението несъмнено е една от мощните му страни, дружно с обстоятелството, че е налична гратис както на iPhone, по този начин и на Android и не демонстрира никакви реклами. Можете елементарно да изпращате текстови известия, фотоси, както и къси видео и гласови известия. Но остават ли чатовете в WhatsApp предпазени? При изискване, че притежател на приложението през 2014 година стана компанията Фейсбук, която има неприятен опит във връзка с отбраната на персоналните данни оставяме този въпрос за вас. Всъщност през септември Фейсбук, в профил шест неразкрити дефекти в приложението си и ги разкри на нов профилиран уебсайт за съвещания по сигурността. Един от минусите, проследен като CVE-2020-1894, е по отношение на stack write overflow, което може да е разрешило случайно осъществяване на код при възпроизвеждане на особено основано известие от вида push to talk. Facebook Messenger – същите доводи като при предното приложение. Google Hangouts – Въпреки че е наличен гратис както за iOS, по този начин и за Android, Гугъл Hangouts е цялостен с опасности във връзка с дискретност и сигурност. Въпреки че диалозите в hangout се шифроват, той не употребява криптиране от край до край – вместо това известията се криптират „ в развой на прекосяване “. Това значи, че те са криптирани единствено сред вашето устройство и сървърите на Гугъл. След като са на сървър, Гугъл има цялостен достъп до тях. Ако му бъде подредено да направи това, Гугъл може да се включи в частни сесии за връзка и да съобщи тази информация на държавни организации. Освен това с доклада за бистрота на Гугъл, който разкрива, че компанията в действителност получава и постоянно извършва поръчки за информация за клиенти, това е един изцяло действителен риск. Към тези условия прибавяме и обстоятелството, че изображенията, изпратени посредством Hangouts, се споделят посредством обществени URL адреси, което значи, че на практика всеки (който знае нещо или две за URL адресите) може да преглежда вашите персонални изображения. Това несъмнено не е приложението, което би трябвало да употребявате, с цел да изпращате … чувствителни … фотоси. DUST – По-рано прочут като Cyber Dust, приложението за известия на американския милиардер Марк Кюбан е налично както за iOS, по този начин и за Android. Основната цел на приложението е да изпраща персонални известия (или фотоси и видеоклипове), наречени „ прахуляк “ (dust от англ.) до вашите контакти, които „ се трансформират в… прахуляк “, като надлежно изчезват в границите на 100 секунди след четенето. „ Взривове “ са различен тип известие, което може да бъде изпратено до група хора, само че се чете персонално. И най-после, можете да започнете групови чатове, известни просто като „ Групи “. Понастоящем няма обилни опасности за сигурността, свързани с Dust, с изключение на евентуалните опасности и неналичието на бистрота, свързани с кода на приложението, който продължава да не е обществено наличен. Viber – Въпреки че не е доста прочут на Запад, Viber е едно от най-популярните приложения за известия в света. Приложението има повече от 1 милиард консуматори по целия свят. Интересното е, че множеството от тези консуматори се намират в някогашния Съветски съюз, с релативно малко консуматори тук-там като Съединени американски щати или западните страни членки на Европейския съюз. Един от проблемите е със записа на лог на IP адреса на потребителя. Няма двустепенна автентикация както и кодът не е обществено наличен. Компанията притежател не разгласява и Доклади за бистрота. WeChat – най-използваното приложение в Китай, като вероятноста да ви се наложи да го ползвате в случай че нямате „ алъш-вериш “ с „ Поднебесната империя “ клони към 0. Относно сигурността му може да се напише обособен разбор, само че сега общото мнение на западните анализатори е, че по всяка възможност то се следи от държавните органи на азиатската страна.
