WhatsApp безопасность

WhatsApp — один из самых популярных мессенджеров в мире, он и его пользователи постоянно подвержены множественным атакам и угрозам. Даже несмотря на то, что разработчики ввели шифрование, нужно придерживаться некоторых правил и советов, чтобы не стать жертвами мошенников и других жуликов.

1. Используйте веб-версию более эффективно

Веб-версия WhatsApp позволяет удобнее читать и отправлять сообщения вашим коллегам, друзьям и родственникам. Все что вам для этого потребуется — прочитать QR-код с помощью вашего телефона. После этого все сообщения станут доступны на компьютере через браузер.

Когда вы покидаете компьютер, не забывайте разорвать соединение, чтобы никто не смог прочесть ваши личные сообщения на компьютере после того, как вы уйдете. Это особенно важно, если вы подключались на чужом компьютере.

Разорвать соединения можно прямо с телефона в разделе WhatsApp Web.

2. Используйте двухфакторную авторизацию

Разработчики добавили дополнительную защиту, чтобы посторонние не смогли получить доступ к вашей переписке.

Этот дополнительный элемент — пин-код, который надо будет вводить после активации устройства и программы WhatsApp на нем.

3. Запретите доступ посторонних к вашей аватарке

Чтобы посторонние люди не могли видеть вашу аватарку, установите соответствующую опцию в настройках программы.

Достаточно разрешить контактам видеть ваше фото, а чужаки не смогут это сделать.

4. Скройте фото и видео в галерее

Одной из самых назойливых функций WhatsApp является то, что если вам кто-то прислал фото или видео, они тут же попадают к вам в галерею.

Чтобы этого избежать и случайно не выдать секретов друзей, которые могут прислать вам что-то личное, то с помощью простого файлового менеджера создайте в папке медиафайлов WhatsApp файл с именем .nomedia
и перезагрузите свое устройство. После этого фото не будут попадать в Галерею.

5. Запретите доступ к WhatsApp с помощью стороннего приложения

Если в вашей переписке есть очень важные вещи, которые ни в коем разе не должны попасть в чужие руки и которые надо скрыть, то можно заблокировать доступ к приложению с помощью сторонней программы.

В этом случае для доступа к приложению потребуется введение пин-кода. Реализовать такую возможность можно с помощью приложения AppLock.

6. Деактивируйте аккаунт, если потеряли телефон или его украли

Если вдруг вы случайно потеряли телефон или его украли, то незамедлительно напишите в службу поддержки и попросите деактивировать свою учетную запись.

Для этого напишите в поддержку WhatsApp сообщение, указав в теме письма Lost/Stolen: Please deactivate my account
и номер своего телефона.

7. Остерегайтесь мошеннических сообщений

WhatsApp настолько популярен, что достаточно часто приходят сообщения от незнакомцев, которые что-то пытаются выманить у своих жертв. Не стоит отвечать на сообщения от незнакомых людей — они могут представляться теми, кем на самом деле не являются. От этого можете пострадать не только вы, но и другие люди.

Главная
Главное

Как обезопасить себя в WhatsApp

Благодаря новому принципу сквозного шифрования самый популярный мессенджер в мире обещает полную конфиденциальность для всех. Однако в системе есть и недостатки.

Более одного миллиарда человек хотя бы раз в месяц обмениваются сообщениями с друзьями, родственниками и коллегами с помощью WhatsApp. Проблема: около 42 миллиардов сообщений, ежедневно проходящих через серверы WhatsApp, до сих пор мог прочитать любой, обладающий соответствующими ресурсами и необходимыми знаниями, в том числе спецслужбы и хакеры. Теперь WhatsApp, благодаря общему для системы принципу сквозного шифрования, осложнит им жизнь.

Многие пользователи, однако, сомневаются, что этот мессенджер, принадлежащий компании Facebook, сможет выполнить то, что обещает, то есть предоставить защищенное соединение, которым действительно может управлять каждый. Мы внимательно рассмотрели ситуацию и расскажем вам, насколько в реальности надежен WhatsApp.

Протокол шифрования Signal

Для шифрования сообщений WhatsApp использует протокол Signal с открытым исходным кодом (ранее протокол носил имя Axolotl), в разработке которого участвовал Мокси Марлинспайк — специалист в области кибербезопасности. Марлинспайк, обладающий великолепной репутацией в кругах IT-безопасности, является основателем организации-разработчика программного обеспечения Open Whisper Systems, которая, в частности, выпустила крипто-мессенджер Signal.

С технической точки зрения у протокола Signal речь идет об асимметричном методе шифрования с использованием открытых ключей. Пары ключей, необходимые для шифрования/дешифрования, генерируются на смартфоне уже при установке клиента WhatsApp. Когда пользователь входит в систему WhatsApp, публичные ключи сохраняются на серверах этого мессенджера. Согласно положениям технической документации, серверы WhatsApp не обладают доступом к частным ключам, поэтому они локально хранятся на смартфоне. Это означает, что пользователь не должен ни вводить ключ, ни держать его в голове: сам смартфон как бы становится ключом. WhatsApp шифрует все содержание, от простого текста до голосового сообщения. Это же положение имеет силу и для звонков с использованием сервиса. Перед обменом первыми сообщениями клиенты смартфонов собеседников путем обмена публичными ключами согласовывают общий корневой ключ и серийный ключ.

Затем на базе последнего для каждого сообщения создается собственный кратковременный ключ. Поскольку все ключи постоянно обновляются, как при использовании метода «совершенной прямой секретности» (Perfect Forward Secrecy), злоумышленник, знающий отдельные ключи, не может расшифровать ни будущие, ни предыдущие сообщения.

Так как до последнего времени отсутствовали сообщения об уязвимостях в протоколе Signal (мнимый взлом WhatsApp разработчиком антивируса Джоном Макафи был впоследствии представлен как пиар-ход), данное шифрование можно считать надежным. Однако это действует только до тех пор, пока связь осуществляется между двумя смартфонами. Уязвимое место все же существует — это веб-клиент и клиент для настольного ПК.

Начиная с прошлого года WhatsApp можно использовать на компьютере — через браузер. В мае 2016 года также были выпущены клиенты для Windows и Mac OS X. В принципе, эти приложения представляют собой тип дистанционного управления для приложения смартфона, которые «отражают» аккаунт со всем его контентом на компьютере. Для этого достаточно отсканировать с помощью приложения смартфона QR-код в веб- или десктопном клиенте. Далее компьютер создает защищенное HTTPS-соединение со смартфоном, однако не локальное, например, через беспроводную сеть, а через Интернет.

Веб-клиент как «слабое звено»

Для сквозного шифрования это представляет собой большую проблему. Если верно, что, как указано в документации к мессенджеру WhatsApp, сервер не имеет доступа к частным ключам пользователя, то это же условие имеет силу и для веб- или десктопных клиентов, которые синхронизируются со смартфоном через сервер WhatsApp. Это означало бы, что сквозное шифрование сообщений между этими клиентами и приложением смартфона прекращено и заменено более слабым транспортным шифрованием, представляющим собой уязвимое место для так называемых атак «человек посередине» (Man-in-the-Middle).

В другом возможном сценарии, при котором связь между приложением смартфона и удаленным клиентом была зашифрована по методу сквозного шифрования, частные ключи пользователя должны были бы передаваться через Интернет. Так как при этом они могли бы быть перехвачены, это означало бы катастрофический крипто-провал.

Разработчики WhatsApp молчат по этому вопросу: веб- и десктопные клиенты не упоминаются в документации, и на соответствующий запрос от Chip не было получено ответа. Не имеет значения, какой сценарий применяется для внешних клиентов: тот, кто придает большое значение сквозному шифрованию, не должен вмешиваться в процесс.

Нет ничего проще

Что касается удобства шифрования, то здесь WhatsApp все делает правильно — проще вряд ли получится. Для включения сквозного шифрования оба собеседника (или, в случае группового чата, все участники) должны обновить приложение до последней версии.

Поскольку WhatsApp периодически выпускает обязательные обновления, повсеместное распространение сквозного шифрования является лишь вопросом времени. Однако все варианты WhatsApp, независимо от операционной системы, поддерживают шифрование. Тот, кто хочет знать, использует ли шифрование его приложение, может проверить это в настройках аккаунта, в пункте «Шифрование». Использует ли шифрование собеседник, можно узнать в контекстном меню чата, в пункте «Посмотреть контакт | Шифрование».

Существует дополнительная опция верификации публичного ключа собеседника, посредством сканирования обоими пользователями QR-кода с дисплея смартфона другого человека. Для этого необходимо выбрать контакт в списке контактов, далее нажать на кнопку с изображением трех точек в верхнем правом углу экрана, перейти в «Посмотреть контакт | Шифрование» и следовать указаниям программы (см. стр. 53).

Только на английском языке. На официальном сайте отсутствует перевод на русский язык пользовательского соглашения с WhatsApp.

Наряду с шифрованием собственно содержания сообщений WhatsApp также шифрует метаданные и сведения о личностях собеседников и длительности их общения. Эти данные передаются, однако, с использованием не сквозного, а транспортного шифрования, для «сокрытия от неправомочных сетевых наблюдателей», как это названо в документации. Говоря проще, это означает, что WhatsApp и, вероятно, также материнская компания Facebook, имеют доступ к этим данным.

То, что социальная сеть «не дружит» с защитой данных, достаточно широко известно. WhatsApp, кажется, тоже не придает большого значения информированию пользователей о том, что происходит с их данными. В частности, пользовательское соглашение с WhatsApp на официальном сайте доступно пока только на английском языке.

В WhatsApp также не следует путать шифрование с анонимностью. Тому, кто придает этому факту большое значение или не желает предоставлять компании Facebook доступ к личной адресной книге, следует обратиться к альтернативным крипто-мессенджерам.

Альтернативные крипто-мессенджеры

Большинство альтернатив мессенджеру WhatsApp пока не столь популярны, зато зачастую предлагают даже более широкие возможности. Недоверчивые могут использовать альтернативы для обмена важными данными, например, для деловой переписки. Мы представляем три таких мессенджера:

Signal (ранее TextSecure)

Представляет собой бесплатный мессенджер с открытым исходным кодом для Android и iOS, разработанный компанией Open Whisper Systems. Наряду с зашифрованными текстовыми сообщениями и телефонными разговорами также можно обмениваться незашифрованными SMS и MMS. Для сквозного шифрования применяется протокол Signal, используемый и в WhatsApp. С апреля 2016 года доступна бета-версия клиента для настольных компьютеров.

Telegram

Бесплатный и не содержащий рекламы мессенджер, доступный для всех основных платформ. Наряду с обычной функцией обмена сообщениями, в нем также существует возможность передачи сообщений со сквозным шифрованием в так называемых «тайных чатах». Telegram был разработан основателем социальной сети «ВКонтакте» Павлом Дуровым. Однако, согласно его собственному высказыванию, мессенджер не связан ни с сайтом «ВКонтакте», ни с Россией. Штаб-квартира компании расположена в Берлине.

Threema

Как и Signal, передает все сообщения с использованием сквозного шифрования. Наряду с текстами можно отправлять изображения, видео, местонахождение, голосовые сообщения и присоединяемые файлы размером до 20 Мбайт. Сервера Threema, как и главный офис компании, расположены в Швейцарии. Приложение доступно для Android, iOS и Windows Mobile, его стоимость составляет 179 (Android) и 229 рублей (iOS). Кроме того, разработан вариант мессенджера (Threema Work), адаптированный для предприятий.

ФОТО: Juliane Weber

Предыдущая статья
iPhone 7 и iPhone 8 обойдутся без процессоров производства Samsung?
Следующая статья
Как вернуть исчезнувшую папку Загрузки (Downloads)

Мессенджеры плотно заняли огромную часть нашей повседневной жизни. Whatsapp — популярная платформа для обмена сообщениями в мире, принадлежащая Facebook. Многие вещи имеют изъяны и Whatsapp не стал исключением. В нем скрываются потенциальные угрозы, о которых вы как пользователь должны знать и помнить.

Сеть WhatsApp

Начать нужно с понятия Whatsapp Web. Данная утилита синхронизирует вашу информацию между телефоном и вашим компьютером. Удобная функция, однако, именно здесь и появилась проблема — многие киберпреступники используют ее. Так как сервисы для установки приложений для телефонов вроде Google Play и прочее регулируются куда более тщательно, нежели мировая сеть Интернет, злоумышленники стали подсовывать незнающим пользователям ненастоящие программы через компьютер, где могли содержаться: спам, вредоносное ПО и другие зловреды. Не стоит забывать и про фишинговые сайты, где пользователей обманным путем заставляли передавать свою личную информацию. Киберпреступники маскировали сайты под Whatsapp Web, чтобы выпрашивать из вас ваши номера телефона для подключения к своей ложной услуге. После этого мошенники начинают закидывать вас спамом или чем еще похуже. Чтобы избежать подобной неприятности, лучше использовать только те приложения и сервисы, которые доступны из официальных источников.

Незашифрованные резервные копии

Многие мессенджеры кодируют передаваемые пользователями сообщения. Данная функция предотвращает перехват переданной вами информации другим пользователям. Но данные сообщения могут быть доступны, если будут расшифрованы прямо на вашем устройстве. Whatsapp позволяет создавать резервные хранилища данных по типу Google Диск или ICloud. Данные утилиты позволяют восстановить случайно удаленные сообщения. Разница лишь в том, что в хранилищах ваши сообщения расшифрованы, и, в теории, являются уязвимыми, так как подрывают сквозное шифрование WhatsApp.

На данный момент ни один крупномасштабный взлом не повлиял на облачные хранилища, но это не означает, что в будущем не может произойти тотального взлома. Не стоит забывать о других средствах, которые злоумышленники могут использовать для получения доступа к вашим учетным записям.

Фейковые новости

В последние годы компании, занимающиеся социальными сетями, подвергались критике за то, что они позволяли распространять поддельные новости и дезинформацию на своих платформах. Facebook, в частности, был осужден за свою роль в распространении дезинформации на всю президентскую кампанию в США в 2016 году. WhatsApp также подвергался тем же обвинениям.

Два из наиболее заметных случаев были в Индии и Бразилии. WhatsApp был замешан в широком распространении информации в Индии, содержащую жестокий контент с насильственным подтекстом. Происходило это в 2017-2018 годах.В сообщениях передавали информацию о сфабрикованных похищениях детей. Данный контент распространился среди многих пользователей мессенджера.

В Бразилии WhatsApp был основным источником фальшивых новостей на выборах 2018 года. Поскольку такую дезинформацию было так легко распространить, деловые люди в Бразилии создали компании, которые создали незаконные кампании по дезинформации WhatsApp против кандидатов. Они могли сделать это при помощи вашего номера телефона. Ведь именно эта информация несет в себе ваше имя пользователя WhatsApp. Поэтому они приобрели списки телефонных номеров для отслеживания.

Обе проблемы продолжались до 2018 года. Facebook нес большие убытки. Подобные ситуации показали, что цифровая дезинформация — огромная проблема для всего мира.

Безопасен ли?

WhatsApp — противоречивая платформа. В данном приложении существует сквозное шифрование, как гарант безопасности ваших данных. Однако есть и проблемы, которые подвергают опасности вашу конфиденциальность в сети. Не забывайте о том, что WhatsApp принадлежит Facebook и подвергается многим таким же угрозам конфиденциальности и кампаниям по дезинформации, что и их материнская компания. Надеемся, что статья поможет вам безопасно и эффективно общаться в чате.

Рейтинг автора
5
Подборку подготовил
Андрей Ульянов
Наш эксперт
Написано статей
168
Ссылка на основную публикацию
Похожие публикации