IOS операционната система на Apple се счита за сигурна, но през последните години хакерите успешно откриха редица недостатъци, които осигуряват входни точки в iPhone и iPad.
Много от тях са т.нар. атаки zero-click (без взаимодействие от страна на потребителя) – достатъчно е да кликнете върху връзка или да изтеглите файл, свързан със злонамерен софтуер, за да се зарази устройството ви.
iMessage буквално е създаден за активност без взаимодействие – не е нужно да докосвате нищо, за да получите текст или снимка от контакт. Пълният набор от функции (интеграции с други приложения, функционалност за плащане и др.), които създават удобство за потребителите са и благодатна почва за хакери.
Изследователи от екипа на Google за откриване на уязвимости в Project Zero описват три подобрения в сигурността на iMessage за крайните потребители, които издигат защитата им на по-високо ниво:
Първото подобрение (наречено BlastDoor) е sandbox – карантинна зона, в която iMessage може да проверява входящата комуникация за потенциално злонамерени атрибути, преди да ги пусне в основната среда на iOS.
Вторият нов механизъм следи за атаки, които манипулират споделен кеш на системни библиотеки. Кешът променя на случаен принцип адресите в системата, за да направи по-труден злонамерения достъп. iOS обаче променя адреса на споделения кеш само след рестартиране, което дава възможност на нападателите със zero-click да открият местоположението му. Новата защита е настроена да открива злонамерена дейност и да задейства опресняване, без потребителят да се налага да рестартира своя iPhone.
Третото подобрение затруднява brute force атаките. Тази защита ограничава опитите за намиране на споделения кеш, както и по-сложни атаки – напр. опити за изпращане на множество злонамерени текстове, които обикновено са невидими за потребителя.
Направените подобрения в iOS 14 значително ще намалят успешните атаки срещу iMessage без взаимодействие. Все пак изследователите предупреждават, че е въпрос на време нападателите да намерят нови уязвимости. Затова е важно постоянно да следите наличните актуализация и да ги прилагате, защото те запушват новооткрити пробойни в сигурността.
Не трябва да пренебрегвате политиката за поверителност при избор на чат приложение
Свързаните с Facebook платформи за кратки съобщения събират най-много информация за вас
След скандалa със споделянето на данни от страна WhatsApp, много потребители се насочиха към Signal и Telegram
End-to-end криптирането и синхронизацията между устройствата са решени по различен начин при Signal и Telegram
Информацията ви в iMessage е защитена
Viber е сигурна платформа за провеждане на разговори, но приложението споделя информация за вашите навици с партньори
В случай, че до момента не сте се замисляли, добре е да имате едно на ум, когато комуникирате през платформите за чат. Всичко, което споделяте с приятели – информация за вашето здраве, проблеми, политически възгледи и т.н. – се записва и може да се използва за различни цели. Ето защо е важно да сте наясно със защитите и политиките на чат платформата, която използвате. Ще ви помогнем, като разгледаме поверителността на най-популярните приложения за кратки съобщения:
Много от хората, научили за скандала с Whatsapp, спряха да използват платформата, но продължават да чатят през Facebook приложение – Facebook Messenger. Когато става дума за събиране, свързване и използване на вашата информация обаче, това със сигурност не е по-добрата алтернатива, дори обратното:
WhatsApp vs Signal
Най-богатият човек в света Илон Мъск, призова своите последователи да се прехвърлят към Signal. Същото направи и Edward Snowden, като написа в своя Twitter акаунт, че той използва Signal всеки ден.
Големият интерес на милионите нови потребители, в рамките на един ден, претовариха сървърите на Signal.
Общото между WhatsApp и Signal е, че и двете платформи използват криптиране от край до край. Основната разлика е, че Signal е приложение с отворен код (оpensource) – това означава, че всеки може да има достъп до кода на приложението и да го изследва за уязвимости, съответно – да се възползва от тях
Има и други разлики, които имат отношение към вашата поверителност: WhatsApp криптира информацията, която изпращате, но не и архивите на чата ви в облака т.е. историята на чатовете ви остава незащитена. От съображения за сигурност, Signal пък не предлага синхронизиране на историята в облака. WhatsApp споделя вашата информация със собственика си Facebook. Signal от друга страна не е обвързан с големи технологични компании – единственият приход на приложението е от дарения от потребители.
WhatsApp vs Telegram
Ситуацията с Telegram е съвсем различна. Иронията е в това, че потребителите заменят „несигурния“ WhatsApp с Telegram, без да са запознати, че по подразбиранеTelegram не предлага криптиране от край до край (end–to–end). Има опция „secret chat“, която позволява да изпратите съобщение на друг, като използвате протокола за криптиране от край до край между двете устройства, но тази функция не може да се приложи за групов чат.
Signal vs Telegram
За потребителите, фокусирани върху поверителността си, голямата разлика е, че всичко в Signal винаги е шифровано от край до край, докато Telegram предлага end-to-end криптиране като незадължителна функция. Signal пази историята само и единствено на вашето устройство по подразбиране, докато Telegram използва сървъри за съхранение, което позволява синхронизиране между различни ваши устройства. Signal е изцяло оpen source проект – кодът и на клиента и на сървъра може да се намери в GitHub. Кодът на клиента на Telegram също е видим, но не и този на сървърите.
iMessage
За феновете на Apple, изборът може и да е по-лесен: iMessage събира само вашия имейл, телефонен номер и име на устройството. Чат/видео и чат/видео конференция използват Apple IMessage protocol, който криптира информацията и тя остава защитена.
Да не забравяме Viber
Това е една от най-разпространените чат платформи в България. Но колко от вас са обърнали внимание с какво се съгласяват при използването й:
Viber споделя доста голяма част от вашата информация и навици с трети страни (партньори):
Линкове, които отваряте и къде ви насочват те
Вашето местоположение
Интернет данни, които не е задължително да идват от Viber. Те също се използват за анализиране, за да ви се предложат по-добри и персонализирани реклами
Вашата информация, която Viber споделя обаче, няма общо с написаното в чата. Съобщенията, идващи от вашето устройство, са криптирани. Те могат да бъдат прочетени чак когато достигнат приемащото устройство.
По отношение на настройките за поверителност на приложението (Privacy Settings), бихте могли сами да зададете някои ограничения:
Вашия статус да бъде видим (Online/Offline)
Изпращача да вижда дали сте прочели неговото съобщение
Потребители, които не са във вашия списък с абонати да могат да видят профилната ви снимка
Peer-to-peer разговори, в които вашето IP става видимо за човека срещу вас
Hidden chat (наличен и при Telegram) – той може да бъде заключен с допълнителен PIN код и съобщенията в него да останат „скрити“ дори ако загубите телефона си
Разбира се, всички разгледани приложения се променят с течение на времето и добавят нови функции. Струва си да направите собствено проучване и да се запознаете с тях по-обстойно, и да изберете тази платформа, която най-добре отговаря на вашите нужди.
Zero-click бъг в iMessage на Apple е помогнал на злонамерения софтуер Pegasus да зарази личните телефони на 36 журналисти и управленски персонал в Al Jazeera.
Шпионският софтуер (дело на израелската разузнавателна фирма NSO Group) може да прави запис от микрофон и телефонни разговори, снимки с камерата на телефона, да достъпва паролите на жертвата и да проследява местоположението на устройството.
Разкритието е станало с помощта на засегнат журналист от Al Jazeera. Проследяване на мрежовия му трафик с помощта на VPN и засякло нетипична комуникация със сървърите на Apple iCloud, откъдето изглежда е направена връзката за изтегляне на Pegasus.
Уязвимостите в iOS на Apple, довели до описаната ситуация, са закърпени в iOS 14 – приканваме ви винаги да инсталирате актуализациите, налични за вашите устройства.