Насколько защищены современные отечественные мессенджеры со сквозным шифрованием

Использование мессенджеров для передачи информации с давних пор стало неотъемлемой частью нашей повседневности. Они позволяют легко взаимодействовать по рабочим вопросам, организовывать конференции, обмениваться важными данными. Поэтому безопасность и надежность приложений являются важнейшими моментами их использования.

В статье мы расскажем, какие методы защиты информации в мессенджерах существуют, сравним их безопасность и выясним, какой продукт является наиболее защищенным. А также подробно разберем, что такое сквозное шифрование и зачем оно необходимо.

20.01.23

7 мин

Насколько современные мессенджеры уязвимы
Критерии безопасности и приватности мессенджеров
Угрозы, связанные с использованием мессенджеров
Способы защиты мессенджеров
Сравнение безопасности мессенджеров
Альтернативы мессенджерам для переписки и обмена данными

Насколько современные мессенджеры уязвимы

К наиболее актуальным уязвимостям можно отнести:

Утечку информации. Если приложение не защищено сквозным шифрованием, злоумышленник получает максимальный доступ к конфиденциальной информации из мессенджера. Если сквозное шифрование отсутствует, это позволит ему сделать ряд очень неприятных и непредсказуемых атак, последствия которых могут быть непоправимыми.
Раскрытие местоположения. Обладая данной информацией, злоумышленник может составить ежедневный график присутствия в той или иной локации.
Уязвимость кода или компрометирующее ПО. Злоумышленник может добиться полного контроля над вашим устройством, будь то Android или Windows, оставаясь при этом незамеченным.

Самые защищенные мессенджеры для связи

Критерии безопасности и приватности мессенджеров

Для качественной оценки приватности мессенджера необходимо определиться с рядом ключевых критериев. Перед тем как выбрать подходящий вариант приложения, важно узнать об информационной безопасности при использовании приложений чатов.

Сквозное шифрование

Использование сквозного шифрования гарантирует, что только два человека могут расшифровать и прочесть информацию. Поэтому любой продукт, претендующий на звание безопасного, должен иметь E2E-шифрование. Очень важно, используется ли сквозное шифрование приложения по умолчанию.

Сбор данных и метаданных

Метаданные — это своеобразный цифровой отпечаток файлов и действий человека в сети. Мессенджеры могут собирать метаданные: с кем мы разговариваем, насколько часто и долго. Также чаты могут собирать информацию об используемом устройстве, номере мобильного телефона, IP-адресе. Желательно, чтобы приложение, помимо защиты сквозным шифрованием, обладало минимумом информации о вас.

Открытый исходный код

Открытый исходный код необходим для комплексного аудита безопасности. Как эксперты, так и любители могут проверить его на предмет наличия уязвимостей в различных частях кода.

Передача данных третьим лицам

В качестве третьих лиц могут выступать злоумышленники, хакеры, недобросовестные конкуренты и сотрудники. Выбирая приложение, обязательно учитывайте данный факт, поскольку конфиденциальные данные могут попасть не к тому человеку.

Шифрование бэкапов в облаке

Важный метод защиты информации в мессенджерах. Сквозное шифрование не позволит хакерам осуществить успешную атаку на облачную инфраструктуру.

Поддержка однорангового соединения

Одноранговым соединением называют тип сетевого соединения, при котором два и более устройства подключаются друг к другу напрямую без центрального сервера. Это обстоятельство предоставляет следующие преимущества:

повышение конфиденциальности;
увеличение скорости и гибкости соединения;
невозможность отключения соединения без отключения всего интернета.

Информация при регистрации

Многие мессенджеры требуют при регистрации указать номер мобильного телефона. Это не уменьшает напрямую безопасность данных, если есть шифрование, однако уровень анонимности значительно снижается. Чем больше данных требуется при регистрации, тем меньше степень анонимности.

Прочие функции безопасности

Современные защищенные мессенджеры могут обладать следующим функционалом, качественно обеспечивающими безопасность:

двухфакторная аутентификация, являющаяся вторым уровнем защиты;
опция установки кода или пароля для доступа к чатам или настройкам;
защита отображаемой информации на экране;
удаление предыдущего привязанного устройства из аккаунта;
автоматическая блокировка экрана в случае, если пользователь перестал использовать устройство.

Коммуникатор для B2B-сегмента Anwork соответствует указанным выше современным требованиям к безопасности. Он обладает следующими особенностями:

В нем активно используется защита сквозным шифрованием на всех уровнях, а также инновационные алгоритмы обеспечения защиты.
Общение происходит в закрытых группах, попасть в которые можно только по специальному приглашению. Оно заменяет стандартную идентификацию.
В коммуникаторе поддерживается P2P-соединение.
Информация хранится не на сервере, а локально на устройствах пользователей.
В приложении реализована возможность экстренного удаления данных чата.

Угрозы, связанные с использованием мессенджеров

Мессенджеры активно используются злоумышленниками для похищения персональных данных, личной информации, банковских реквизитов. Применение коммуникаторов может нести следующие угрозы:

Сообщения с взломанных аккаунтов. Завладев учетной записью пользователя, злоумышленник сразу же получает доступ ко всем контактам. Создается очень опасная ситуация, когда человек, выдавая себя за другого, может рассылать сообщения с просьбой о деньгах или с вредными файлами.
Наличие уязвимостей. Это могут быть слабый SSL-протокол или некачественный алгоритм шифрования.
Вредные ссылки и файлы. Злоумышленники научились вовсю использовать методы социальной инженерии для того, чтобы заставлять жертву совершать необходимые им действия для получения критически важной информации.
Получение третьими лицами доступа к переписке. Нет никаких гарантий того, что к устройству вашего собеседника не получит доступ злоумышленник.
Предварительный просмотр ссылок. Когда вы получаете сообщение со ссылкой или файлом, то мессенджер может создать небольшое окно предварительного просмотра — превью. Для его создания он сразу же открывает ссылку или загружает файл — это может привести к попаданию вредоносной программы на устройство.

Способы защиты мессенджеров

Современные защищенные мессенджеры значительно продвинулись в сфере обеспечения безопасности данных клиента. Они используют ряд основных инструментов, без которых коммуникатор не может претендовать на звание действительно приватного.

Безопасность обеспечивается использованием ряда специальных методов:

Сквозное шифрование. Защита сквозным шифрованием обеспечивает надежность отправки сообщений в мессенджерах. Только вы и адресат сможете расшифровать и прочесть информацию при помощи специального ключа.
Открытый исходный код. С его помощью можно проводить комплексный аудит безопасности. Эксперты могут исследовать его работу и выявить слабые места для устранения.
Шифрование бэкапов в облаке. Сквозное шифрование предотвращает успешные атаки злоумышленников на облачную инфраструктуру и утечки конфиденциальной информации.
Поддержка однорангового соединения (peer-to-peer). Отправленные сообщения поступают непосредственно на устройство адресата. Данная функция исключает участие третьей стороны.
Использование двухфакторной аутентификации. Данная функция реализуется в ряде современных мессенджеров.

Сквозное шифрование

Во многих популярных мессенджерах используется сквозное шифрование (E2EE) по умолчанию. Данные шифруются на устройстве отправителя информации, а расшифровываются на устройстве получателя. Ключи шифрования также хранятся на устройствах получателя и отправителя, а не на серверах.

В ряде коммуникаторов сквозное шифрование работает только для секретных чатов. В Telegram защита сквозным шифрованием E2EE не функционирует для групповых чатов, а вот в WhatsApp они защищены.

Открытый исходный код

Открытый исходный код гарантирует возможность изучения и тестирования безопасности приложения внешними экспертами. Это позволяет обнаружить уязвимости и привлечь внимание к их устранению.

Примечательно, что далеко не все мессенджеры предоставляют исходный код как к серверной, так и к клиентской части.

Шифрование бэкапов в облаке

Если клиент сохраняет критически важную информацию в облачном хранилище, то данные должны быть защищены сквозным шифрованием. Это не позволит злоумышленникам совершить качественную атаку на облачную инфраструктуру и предотвратит утечку важной информации.

Поддержка однорангового соединения (peer-to-peer)

Отправляемые сообщения поступают сразу на устройство адресата. Применение подобной функции полностью исключает участие третьей стороны (например, сервера) в процессе обмена информацией. Это значит, что злоумышленникам куда труднее получить доступ к передаваемой вами информации.

Подобный тип соединения позволяет обеспечить более высокую скорость и большую гибкость по сравнению с обычными сетями клиент-сервер. Внутри сети P2P нет точек отказа — из-за децентрализации их практически невозможно отключить, что сводит уязвимость к минимуму.

Использование двухфакторной аутентификации

Если активирована двухфакторная аутентификация, то потребуется дополнительно ввести пароль или код из СМС-сообщения для получения доступа к приложению. Суть подхода проста: чтобы попасть в чат, нужно дважды себя идентифицировать.

Двухфакторная аутентификация способна предупреждать хозяина аккаунта о попытке взлома. Если пользователь получает сообщение с одноразовым кодом, но при этом не предпринимает никаких попыток войти в мессенджер, значит, происходят попытки взлома.

Сравнение безопасности мессенджеров

Сравнение мессенджеров, проведенное сайтом anti-malware.ru, показало, что идеального мессенджера не существует. В каждом из известных приложений есть перевес то в сторону приватности, то в сторону комфорта и оперативности работы.

К несомненным лидерам можно отнести:

Wickr Me;
Threema;
Signal;
Session.

Но если вам важны не только безопасность и надежность мессенджеров, но и удобство их использования, то обратите внимание на следующие приложения.

Методы защиты информации в мессенджерах:

Методы защиты информации в мессенджерах

Wire;
Telegram;
Element;
Viber.

Wickr Me

Линейка Wickr Me включает в себя как бесплатные, так и платные версии по различным тарифам для обычных пользователей и для организаций. Wickr Me использует следующие средства обеспечения безопасности:

сквозное шифрование;
использование современных алгоритмов шифрования;
удаляющиеся после прочтения вложения и текста;
автоматическое удаление контента через некоторое время;
отсутствует запись пользовательских метаданных.

Threema

Не самый известный мессенджер, который, однако, можно использовать полностью анонимно. Пользователь может даже не привязывать адрес электронной почты или номер телефона — он может быть определен по случайно создаваемому идентификатору. У мессенджера есть версии как для частных, так и для корпоративных клиентов.

Безопасность приложения обеспечивается:

сквозным шифрованием;
шифрованием с открытым исходным кодом NaCL;
отсутствием регистрации;
наличием открытого исходного кода;
отсутствием записи метаданных;
применением собственных серверов;
регулярным выполнением аудита безопасности.

В Threema есть практически все для обеспечения защиты. Нет только двухфакторной аутентификации.

Signal

Многие считают, что это самый безопасный вариант. Считается, что у него настолько хороший протокол шифрования, что им пользуются такие гиганты, как WhatsApp.

В Signal есть практически весь инструментарий для обеспечения конфиденциальности: самоуничтожающиеся сообщения, применение сквозного и прочих алгоритмов шифрования, отсутствие записи метаданных. Однако есть две уязвимости, которые вызывают сомнения у некоторых пользователей: необходимость указать номер телефона при регистрации и отсутствие поддержки двухфакторной аутентификации.

Session

Session применяет мощную децентрализованную сеть серверов для маршрутизации сообщений пользователя. Это делает общение полностью анонимным.

Специалисты считают, что по ряду параметров мессенджер предлагает даже лучшую степень конфиденциальности, чем Signal. Session не требует ввода номера телефона, не использует центральный сервер, а опирается на децентрализованную сеть. Коммуникатор скрывает IP-адрес, не сохраняет метаданные. Он может применяться на разных платформах.

Wire

Wire является хорошим инструментом корпоративного общения. Он предоставляет возможность обмениваться сообщениями и документами, общаться в групповом чате и безопасно работать с внешними клиентами. В нем применяются следующие способы обеспечения анонимности:

открытый исходный код;
сквозное шифрование;
современные алгоритмы шифрования;
самоуничтожающиеся сообщения.

Приложение публикует отчеты прозрачности и аудиты безопасности. Однако у Wire есть и уязвимость: записываются некоторые персональные данные, для регистрации нужно указать номер телефона и адрес электронной почты, не поддерживается двухфакторная аутентификация.

Популярнейший мессенджер, который позиционирует себя как один из наиболее безопасных. В нем применяются следующие инструменты для защиты данных:

сквозное шифрование;
собственный протокол шифрования MTProto;
функция самоуничтожающихся сообщений;
поддержка двухфакторной авторизации.

Уязвимость в том, что регистрация требует номера телефона. Сквозное шифрование применяется не по умолчанию, а только при звонках и секретных чатах. IP-адреса и прочие метаданные записываются.

Element

Продукт, объединяющий безопасный мессенджер и коммуникатор для совместной работы. В нем применяется сквозное шифрование в процессе проведения видеоконференций, при обмене файлами и совершении голосовых звонков.

В Element реализован:

децентрализованный чат на базе платформы Matrix;
сквозное шифрование на всех уровнях;
безопасный обмен файлами с зашифрованными данными при менеджменте проектов;
подключение как к официальному, так и к частному серверу.

Viber

Мессенджер является одним из наиболее популярных в мире, несмотря на некоторую уязвимость. Разработчики заявляют о наличии сквозного шифрования на всех уровнях, отсутствии доступа к содержанию пользовательских сообщений или звонков со стороны приложения. В Viber также реализована функция автоматического удаления сообщений.

Однако есть и минус, который встречается в прочих известных мессенджерах — необходимость введения номера телефона при регистрации.

Альтернативы мессенджерам для переписки и обмена данными

Мы рассмотрели безопасность и надежность мессенджеров, а также их уязвимости, теперь стоит рассмотреть эффективную альтернативу — коммуникатор для бизнеса Anwork.

Эта система, специально разработана для сегмента B2B. С ее помощью можно отправлять не только сообщения, но и различные файлы, в том числе видео. Используя Anwork, вы также можете выполнять видеозвонки и организовывать аудиоконференции.

Разработчики Anwork эффективно обошли многие уязвимости мессенджеров благодаря следующим решениям:

отсутствие регистрации и ввода персональной информации;
все чаты закрыты — попасть в них можно только по приглашению;
данные хранятся не на сервере, а на устройствах пользователей;
пользователь может самостоятельно настроить таймер удаления истории чата;
вместе с информацией также удаляются и метаданные;
в Anwork используются современные протоколы шифрования.

Anwork — лучший мессенджер по безопасности

Таким образом, Anwork является одним из самых защищенных мессенджеров для iOS и Андроид. Скачать его вы можете с сайта или из Google Play или App Store. Для его использования понадобится лицензионный ключ — по вопросам его приобретения проконсультируйтесь у менеджеров компании.

Изображения разработаны Freepik