chat apps

Киберспециалисти разкриха информация за коригиран недостатък в приложението Telegram, който е можел да позволи на злонамерени лица да получат достъп до ваши тайни чатове, снимки и видеоклипове.

Става дума за недостатък във функционалността на чата и начина на обработка на анимирани стикери: Нападател е можел да ви изпрати неправилно оформен стикер и да получи достъп до информацията, обменена с вашите контакти в Telegram, включително и чрез тайните ви чатове.

Проблемът е засягал iOS, Android и macOS версии на приложението и е коригиран в периода 30 септември и 2 октомври 2020 г. – актуализирахте ли приложението си?

Разкритието напомня, че периодичните прегледи на сигурността са от решаващо значение при разработването на софтуер, особено при въвеждането на нови функции. Потребителите, от своя страна, следва редовно да прилагат наличните актуализации.

Прочетете още: Как визуализацията на линкове в чат приложения може да ви компрометира и Какво е добре знаете, когато си избирате приложение за чат

Накратко:

• Не трябва да пренебрегвате политиката за поверителност при избор на чат приложение
• Свързаните с Facebook платформи за кратки съобщения събират най-много информация за вас
• След скандалa със споделянето на данни от страна WhatsApp, много потребители се насочиха към Signal и Telegram
• End-to-end криптирането и синхронизацията между устройствата са решени по различен начин при Signal и Telegram
• Информацията ви в iMessage е защитена
• Viber е сигурна платформа за провеждане на разговори, но приложението споделя информация за вашите навици с партньори

В случай, че до момента не сте се замисляли, добре е да имате едно на ум, когато комуникирате през платформите за чат.  Всичко, което споделяте с приятели – информация за вашето здраве, проблеми, политически възгледи и т.н. – се записва и може да се използва за различни цели. Ето защо е важно да сте наясно със защитите и политиките на чат платформата, която използвате. Ще ви помогнем, като разгледаме поверителността на най-популярните приложения за кратки съобщения:

Facebook компаниите

Едва ли сте пропуснали суматохата, която се създаде около WhatsApp, по повод намерението им официално да споделят данните на потребителите си със своя собственик – Facebook.

Много от хората, научили за скандала с Whatsapp, спряха да използват платформата, но продължават да чатят през Facebook приложение – Facebook Messenger. Когато става дума за събиране, свързване и използване на вашата информация обаче, това със сигурност не е по-добрата алтернатива, дори обратното:

WhatsApp vs Signal

Най-богатият човек в света Илон Мъск, призова своите последователи да се прехвърлят към Signal. Същото направи и Edward Snowden, като написа в своя Twitter акаунт, че той използва Signal всеки ден.

I use Signal every day. #notesforFBI (Spoiler: they already know) https://t.co/KNy0xppsN0

— Edward Snowden (@Snowden) November 2, 2015

Големият интерес на милионите нови потребители, в рамките на един ден, претовариха сървърите на Signal.

Общото между WhatsApp и Signal е, че и двете платформи използват криптиране от край до край. Основната разлика е, че Signal е приложение с отворен код (оpen source) – това означава, че всеки може да има достъп до кода на приложението и да го изследва за уязвимости, съответно – да се възползва от тях

Има и други разлики, които имат отношение към вашата поверителност: WhatsApp криптира информацията, която изпращате, но не и архивите на чата ви в облака т.е. историята на чатовете ви остава незащитена. От съображения за сигурност, Signal пък не предлага синхронизиране на историята в облака. WhatsApp споделя вашата информация със собственика си Facebook. Signal от друга страна не е обвързан с големи технологични компании – единственият приход на приложението е от дарения от потребители.

WhatsApp vs Telegram

Ситуацията с Telegram е съвсем различна. Иронията е в това, че потребителите заменят „несигурния“ WhatsApp с Telegram, без да са запознати, че по подразбиране Telegram не предлага криптиране от край до край (end–to–end). Има опция „secret chat“, която позволява да изпратите съобщение на друг, като използвате протокола за криптиране от край до край между двете устройства, но тази функция не може да се приложи за групов чат.

Signal vs Telegram

За потребителите, фокусирани върху поверителността си, голямата разлика е, че всичко в Signal винаги е шифровано от край до край, докато Telegram предлага end-to-end криптиране като незадължителна функция. Signal пази историята само и единствено на вашето устройство по подразбиране, докато Telegram използва сървъри за съхранение, което позволява синхронизиране между различни ваши устройства. Signal е изцяло оpen source проект – кодът и на клиента и на сървъра може да се намери в GitHub. Кодът на клиента на Telegram също е видим, но не и този на сървърите.

iMessage

За феновете на Apple, изборът може и да е по-лесен: iMessage събира само вашия имейл, телефонен номер и име на устройството. Чат/видео и чат/видео конференция използват Apple IMessage protocol, който криптира информацията и тя остава защитена.

Да не забравяме Viber

Това е една от най-разпространените чат платформи в България. Но колко от вас са обърнали внимание с какво се съгласяват при използването й:

Viber споделя доста голяма част от вашата информация и навици с трети страни (партньори):

• Линкове, които отваряте и къде ви насочват те
• Вашето местоположение
• Интернет данни, които не е задължително да идват от Viber. Те също се използват за анализиране, за да ви се предложат по-добри и персонализирани реклами

Вашата информация, която Viber споделя обаче, няма общо с написаното в чата. Съобщенията, идващи от вашето устройство, са криптирани. Те могат да бъдат прочетени чак когато достигнат приемащото устройство.

По отношение на настройките за поверителност на приложението (Privacy Settings), бихте могли сами да зададете някои ограничения:

• Вашия статус да бъде видим (Online/Offline)
• Изпращача да вижда дали сте прочели неговото съобщение
• Потребители, които не са във вашия списък с абонати да могат да видят профилната ви снимка
• Peer-to-peer разговори, в които вашето IP става видимо за човека срещу вас
• Hidden chat (наличен и при Telegram) – той може да бъде заключен с допълнителен PIN код и съобщенията в него да останат „скрити“ дори ако загубите телефона си

Разбира се, всички разгледани приложения се променят с течение на времето и добавят нови функции. Струва си да направите собствено проучване и да се запознаете с тях по-обстойно, и да изберете тази платформа, която най-добре отговаря на вашите нужди.

Визуализацията (краткият предварителен преглед) на линковете, които си разменяме през чат приложенията, е много удобна функционалност. Тя съдържа картинка и кратък текст, които ни насочват какво е прикаченото съдържание. Оказва се обаче, че това улеснение може да доведе до сериозни нарушения на поверителността и сигурността ви.

Как е възможно една обикновена функция да се превърне в заплаха

За да създаде подходяща визуализация, чат приложението трябва да посети връзката, да отвори файла там и да проучи какво има в него. В резултат на това, изпращането/получаването на линкове в някои чат приложения може да отвори вратички, които недоброжелатели да използват.

Instagram сървърите например изтеглят всеки един директен линк, който се изпраща в съобщение, независимо от големината му. Това означава, че хакерите спокойно могат да инжектират Java script в сървърите на Инстаграм.

Визуализацията на линковете е внедрена в най-популярните приложения за чат на iOS и Android. Кликайки върху нея може да се окаже, че давате достъп до IP адреси, излагате връзки, споделени в криптираните от край до край чатове или  изтегляте значителен обем ненужна информация.

Как чат приложенията генерират визуализация на линковете

Използват се следните различни подходи:

1. Не се генерира визуализация

Най-добрият вариант е да се откажете от прегледа на линкове. Оставете линкът, така както ви е изпратен, така че приложението да не го отваря, без да сте го посетили. Малко от приложенията обаче предлагат тази опция: Signal, Threema, TikTok, WeChat.

2. Подателят генерира визуализацията на линка

При изпратен линк, приложението изтегля данните, генерира кратък преглед на страницата и го изпраща, прикачен към линка. Получателят има възможност бързо да погледне за какво става дума, без да е нужно да посещава линка – това го защитава от злонамерени съобщения. Така работят iMessage, Signal, Viber, WhatsApp.

3. Получателят генерира визуализацията на линка

В този случай приложението автоматично отваря всеки получен линк, за да създаде кратък преглед. Това се случва без дори да кликате върху линка – достатъчно е само да отворите чата.
Защо това е най-лошият вариант и не се използва от популярните приложения? Подобно на уеб браузърите, чат приложенията посещават адреса (линка) и зареждат съдържанието чрез GET заявка. В нея включват IP адреса на телефона, за да знае сървърът къде да изпрати данните обратно. Това би било от полза за вас ако планирате да отворите линка. Но ако някой иска да узнае къде се намирате?

4. Сървър генерира визуализацията

Това означава, че когато изпратите линк, той отива във външен сървър, който генерира визуализацията и я изпраща обратно на получателя и/или подателя. На пръв поглед този вариант изглежда по-приемлив от предходния. Но не и когато изпращате лични данни, а сървърът им направи копие, за да генерира визуализация.

Тук възниква и въпросът: Запазва ли сървърът тези данни? Ако отговорът е ДА, то за колко време и какво друго прави той с тях?

Приложенията, които работят по този начин са Discord, Facebook Messenger, Google Hangouts, Instagram, LINE, LinkedIn, Slack, Twitter, Zoom

Какви са рисковете и последиците за поверителността

1. Създаване на неразрешени копия на лична информация

Споделените в чатовете линкове към документи могат да съдържат лична информация, предназначена само за получателите. Това могат да бъдат сметки, договори, медицински досиета или друга поверителна информация. Приложенията, които разчитат на сървъри за генериране на визуализации на линкове, могат да нарушават поверителността на своите потребители, като изпращат линковете, споделени в личен чат на своите сървъри. Въпреки че приложението се доверява на тези сървъри, не е сигурно какво точно изтеглят те. В държавите от ЕС действа Общ регламент за защита на личните данни (GDPR), който налага ограничения относно събирането, обработката и съхранението на лични данни.

2. Изтегляне на голямо количество информация

Повечето чат приложения, които разчитат на сървъри за генериране на визуализации на линковете, слагат ограничение на изтегляните данни. Причината за това е, че изтеглянето на твърде голям обем данни може да запълни капацитета на сървъра и да причини прекъсвания на услугите. Има приложения обаче – Facebook Messenger и Instagram – чиито сървъри могат да изтеглят дори много големи файлове (gigabytes).

3. Сриване на приложения и източване на батерията

Този проблем възниква при чат-приложенията, които не ползват сървъри за генериране на визуализация на линкове и когато приложението не е ограничило данните, които да се изтеглят. Негативният резултат ще е за вас: изтощена батерия и изразходвани данни. Това също може да доведе до непредвидено изчерпване на системни ресурси.

4. Разкриване на IP адреси

За да отвори връзка, телефонът ви трябва да комуникира със сървъра, към който сочи линка. Това означава, че сървърът ще знае IP адреса на вашия телефон, което може да разкрие приблизителното ви местоположение. Обикновено това не би представлявало голям проблем, ако можете да избегнете отварянето на връзки, които смятате за злонамерени. Но може ли да сте сигурни в това?

5. Изтичане на криптирани връзки

Някои приложения за чат криптират съобщенията от край до край. Това означава, че само подателят и получателят да ги прочетат. В такъв случай опцията за отваряне на визуализация от сървър трябва да е невъзможна. Но при някои приложения това не е така, например LINE.

6. Изпълнение на потенциално злонамерен код върху сървърите за визуализация на линкове

Понастоящем повечето уебсайтове съдържат код на Javascript, за да ги бъдат по-интерактивни. Такива са и рекламите, които ни облъчват.  Когато генерирате визуализации на линкове е добре да избягвате изпълнението на какъвто и да е код от тези уебсайтове. Никога не трябва да се доверявате напълно на линкове, които получавате в чата, още повече – от непознат.

Чат приложенията не изчерпват списъка

Чат приложенията не са единствените, които генерират визуализация на линкове. Много приложения за електронната поща, бизнес приложения, приложения за запознанства, игри с вграден чат и др. могат да генерират визуализации на линкове по начин, който да окаже негативно влияние върху сигурността и поверителността ви.

Повече информация по темата може да прочетете в това проучване.