Разделы

Безопасность Пользователю Стратегия безопасности Интернет Техника

Эксперты по безопасности раскритиковали Telegram, WhatsApp и Signal

Сквозное шифрование передаваемых сообщений может мало чего значить, если злоумышленники могут перехватывать сеансы связи на десктоп-версиях этих приложений.

Зайти с флангов

Эксперты фирмы Talos проанализировали три защищенных мессенджера и пришли к выводу, что они уязвимы к выводу данных через «побочные каналы». WhatsApp, Telegram и Signal обеспечивают сквозное шифрование данных при передаче, но есть масса способов получить доступ к этим данным и без перехвата шифрованных соединений.

В своем исследовании эксперты Talos отмечают, что об этих приложениях сложилось мнение как о безопасных и даже «устойчивых против хакерских атак». Пользователи доверяют этим утверждениям, не учитывая того, что при некоторых вариантах настроек личные данные юзеров могут быть защищены отнюдь не настолько хорошо, насколько те рассчитывают.

«Учитывая, разработчики этих приложений утверждают, что ими пользуются миллионы, очевидно, что далеко не все пользователи являются знатоками вопросов кибербезопасности. Большинство из них не до конца понимает риски и ограничения, которые налагают некоторые варианты настроек этих приложений. Обеспечение защиты личных данных пользователя - это гораздо больше, чем просто технология; это и предоставление пользователю корректной информации в таком ключе, что они могут осознавать риски от своих решений, даже не являясь экспертами по безопасности», - говорится в публикации Talos.

Далее отмечается, что большинство мессенджеров позиционируются как кроссплатформенные, при этом пользователи верят, что степень защищенности во всех средах будет одинаковой. На деле это не совсем так.

На практике

Эксперты Talos выделили ряд проблем с конкретными мессенджерами.

Telegram, Signal и WhatsApp уязвимы перед перехватом сеанса на десктопах. Т.е. если злоумышленнику удалось заранее взломать компьютер жертвы, а та использует его для коммуникаций с помощью мессенджеров, то у хакера есть возможность перехватывать токены сеансов и читать теперь уже не очень защищенную переписку.

Несмотря на сквозное шифрование в WhatsApp, Telegram и Signal, существует масса способов получить доступ к данным в мессенджерах

В случае Telegram, когда злоумышленник использует украденную информацию о сеансе, устанавливается дополнительное соединение; у пользователя есть возможность проверить количество сеансов, но как это сделать, знает далеко не каждый юзер, вдобавок никаких специальных уведомлений о новых сеансах в Telegram не выводится.

В Signal ситуация обстоит несколько иначе: если злоумышленник перехватил данные о сеансе и использует их в своем клиентском приложении, сеансы легитимного пользователя и злоумышленника будут «пихаться локтями», так что на десктопе начнут выскакивать ошибки. Но к этому моменту у злоумышленника в распоряжении уже все контактные данные и содержание неудаленных переписок. Вдобавок в мобильной версии никаких ошибок и предупреждений выводиться не будет.

У злоумышленника также есть возможность удалить все активные сеансы, так что жертва при новом соединении получит уведомление о необходимости заново спарить мобильное устройство и компьютер. Для эксперта по безопасности это будет тревожным сигналом. Но не для обычного пользователя, который сочтет это случайным сбоем.

В WhatsApp в случае дублирования сеансов выводится соответствующее предупреждение, так что если злоумышленник пытается подключиться, используя данные об украденном сеансе, жертва об этом узнает... но скорее всего, к этому моменту злоумышленник уже успеет стянуть все интересующие его данные или что-нибудь написать от имени жертвы.

Реализованный механизм предупреждения вдобавок содержит ряд ошибок, которые позволяют обойти его. Для этого злоумышленнику потребуется сделать пять шагов: деактивировать клиентское приложение на машине жертвы, запустить WhatsApp на своем мобильном устройстве, используя украденные данные о сеансе, отключить сетевой адаптер на локальной машине, запустить WhatsApp на машине жертвы, активировать сетевой адаптер на машине жертвы.

Telegram также уязвим перед «затенением мобильного сеанса» (mobile session shadowing) на мобильном устройстве. Фундаментальная проблема, по словам экспертов Talos, состоит в том, что Telegram позволяет «теневым» сеансам сосуществовать на одном и том же устройстве и использовать один и тот же телефонный номер, но при этом ими можно пользоваться из разных приложений.

Это означает, что злоумышленник может втихую читать все сообщения и просматривать все контакты в Telegram, пока сеанс активен. А в мобильных версиях сеанс может оставаться активным неограниченно долго.

Плюс существует вредоносное Android-приложение, которое может создавать «теневой» сеанс без участия пользователя; ему достаточно будет получить привилегии на чтение SMS и закрытие фоновых процессов. Такие привилегии не считаются угрозой, и приложения, их требующие, легко могут пройти проверку в Google Play.

В конечном счете, преступник может получить доступ к списку контактов, всем прошлым и будущим сообщениям, кроме тех, которые отправляются в формате «секретных чатов».

«Декларации о защищенности того или иного канала коммуникации совершенно не означают, что нельзя найти способы обойти всю его защиту, - считает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. - К сожалению, пользователи действительно склонны слишком полагаться на обещания и заверения разработчиков мессенджеров и не вникать в нюансы, даже когда этого требуют соображения собственной безопасности».

Роман Георгиев