Най-сигурните приложения за съобщения

Ако предпочитате правителството, хакерите, вашия доставчик на интернет услуги или някой друг да прихваща и чете личните ви комуникации, трябва да сте сигурни, че използвате защитено приложение за съобщения. По-конкретно, такова, което използва криптирани съобщения. Както вероятно сте забелязали (освен ако не живеете в пещера, което през 2020 май започва да не е толкова лоша идея) поверителността в интернет се превърна в една от най-горещите теми на десетилетието. В тази връзка сме подготвили статия, в която даваме отговор на въпроса кои са най-сигурните приложения за шифровани съобщения за Android и iOS телефони.

През 2017 г. Конгресът на САЩ отмени разпоредби, които биха защитили вашите данни от продажбата им на широколентовите и безжични компании. През 2016 г. парламентът на Обединеното кралство прие Закона за разследващата власт (известен също като Хартата на шпионина), който разширява правомощията за наблюдение на разузнавателната общност на Великобритания и полицията. През 2018 г. Австралия принуди известното приложение за съобщения WhatsApp да включи шпионски софтуер, за да може правораздавателните органи в страната да следят какво пишете. Да не говорим за случващото се в новините в момента относно поверителността. Ако вече не се притеснявате, сега е доста подходящ момент да започнете…

Какво прави едно приложение за съобщения сигурно?

Приложението за криптирани съобщения има нещо по-важно от страхотни джаджи към него и гигантска библиотека с емотикони: има функции, които работят тихо във фонов режим, за да се уверят, че приложението е защитено.

Криптиране тип „от край до край“

Основното нещо, което трябва да проверите, когато избирате приложение за съобщения, е дали използва или не криптиране от край до край. Шифроването от край до край означава, че вашите лични съобщения в чата са кодирани и само подателят и получателят на съобщенията имат„дешифровъчния ключ“, за да ги прочетат. Това гарантира, че никой освен вас и събеседника не може да декриптира съобщенията.

По ирония на съдбата криптирането се е смятало за нещо, което се използва само от параноиците или тези, които имат непреодолима нужда от тайна, като политическите дисиденти и службите за сигурност. Едва след като разобличителят Едуард Сноудън пусна в публичното пространство класифицирани документи, разкриващи глобалната програма за наблюдение на Американската агенция за сигурност (NSA), светът започна да разбира напълно важността на криптирането и онлайн поверителността. Оттогава много компании (включително Facebook, Apple и Google) повишиха типа на криптирането на своя софтуер.

Настройки по подразбиране (за криптиране)

Само защото приложението предлага криптиране от край до край, не означава, че това е настройката и по подразбиране. Някои приложения за съобщения изискват да влезете в настройките на приложението и действително да включите функцията за криптиране, докато други криптират съобщения само в определени сценарии (например сините iMessages срещу зелени текстови съобщения при iOS). Тъй като важността на криптирането е все още сравнително нова, много хора може просто да приемат, че приложението е безопасно, без да знаят дали или кога техните съобщения са криптирани – така че потърсете такова, което има включено шифроване по подразбиране за вас и за когото изпращате съобщения.

Отворен код

Докато опасенията от обратен инженеринг или оставяне на вратички в кода могат да изглеждат неинтуитивни и производителя на приложения да не иска да разкрива изходния код на приложението, това понастоящем се разглежда като индикатор за целостта на приложението. Отвореният код разкрива приложението за външна отчетност и одит от IT експертите, което може да бъде полезен начин за насочване на вниманието към всякакви слабости или уязвимости в кода.

Събиране на данни

Докато много приложения за съобщения днес започнаха да използват криптиране от край до край, някои все още събират информация за вас, посредством метаданни. Метаданните са нещо като вашия електронен пръстов отпечатък и включват данни като – с кого говорите (чрез вашия списък с контакти), за колко време и по кое време, както и информация за устройството, което използвате, вашия IP адрес, телефонен номер и още.

Настройването на VPN приложение на вашето мобилно устройство е лесен начин да блокирате събирането на този вид лична информация.

Списък с най-сигурните приложения за шифровани съобщения през 2020

1. Signal

Най-сигурните приложения за шифровани съобщения

Първоначално известно като TextSecure Private Messenger, Signal е приложение, рекламирано като златен стандарт за сигурност на съобщенията от криптографа Брус Шнайер, Едуард Сноудън, американския конгрес и дори Европейската комисия. Предлага се като безплатно приложение за съобщения на iPhone и Android телефони, както и за настолни компютри. Signal изпраща съобщения през собствената си инфраструктура за данни.

Функции за сигурност на Signal

  • Шифроване от край до край

Съобщенията, изпратени чрез приложението Signal, могат да бъдат преглеждани само от подателя и получателя. Дори компанията, която стои зад приложението, Open Whisper Systems, не може да дешифрира съобщенията. В допълнение към незабавните съобщения можете да извършвате гласови повиквания, групови съобщения и криптирани видео разговори.

  • Отворен код

Signal има отворен програмен код, който може да бъде видян от всеки. Този вид прозрачност позволява рутинен одит и помага да се гарантира, че сигурността на приложението е винаги актуална.

  • Изчезващи съобщения

За допълнителна сигурност, Signal ви позволява изпратените и получените съобщения да „изчезнат“ след изтичане на определен период от време.

  • Минимално съхранение на данни

За разлика от много други приложения за съобщения, Signal съхранява само метаданните, необходими за работата на приложението, като вашия телефонен номер, произволни (шифровъчни) ключове и информация за профила.

  • Защита на паролата

Приложението също ви позволява да зададете парола, за да го заключите. Така че дори телефонът ви да попадне в грешните ръце, съобщенията ви пак ще бъдат защитени.

Рисковете за сигурността при Signal

Най-хубавото на Signal е, че на практика към момента няма рискове за сигурността. Докато разработчиците на приложението продължават да усърдно поправят уязвимости, Signal ще остане на върха на хранителната верига на приложенията за съобщения. Последната регистрирана и поправена до сега уязвимост бе през май 2020 г., когато експерти от охранителната фирма Tenable откриха възможност за пробив, която би могла да позволи на хакерите да проследят местоположението на потребителя.

 

2. Wickr Me

Най-сигурните приложения за шифровани съобщения

Предлага се както на iPhone, така и на Android, Wickr се отличава от останалите, като предлага опции за сигурни съобщения както за лична употреба (Wickr Me), така и корпоративно (Wickr Pro). Докато Wickr Me е безплатен, Wickr Pro е платена услуга, която се предлага с 30-дневен безплатен пробен период.

Функции за сигурност на Wickr Me

  • Шифроване от край до край

В допълнение към шифрованите съобщения, Wickr обяви, че от 2019 година неговата услуга „Me“ предлага и криптирани разговори и гласови съобщения (които вече се предлагат в Pro версията).

  • Откриване на екранна снимка

Wickr предлага нова функция, която позволява на потребителите да откриват екранни снимки. Това означава, че ще получите известие, ако някой направи екранна снимка на съобщение, което сте изпратили.

  • Защита на екрана

На устройства с Android Wickr пусна нова функция, която позволява на потребителите да деактивират „Наслагвания на екрана“. Това пречи на потребителите да могат да взаимодействат с приложението, когато се открие наслагване, и помага да се защити приложението от методи като TapJacking.

  • Клавиатури от трети разработчици (страни)

В iOS Wickr ви позволява да блокирате клавиатури на трети страни. Това помага за защитата на вашата информация, като предотвратява записването на потребителски имена, пароли и друга информация, която се въвежда в приложението на клавиатури на трети разработчици.

  • Сигурен шредер

Тази функция добавя допълнителен слой сигурност, като гарантира, че вече изтритите файлове не могат да бъдат възстановени със специални инструменти и технологии. Докато Wickr прави това за вас периодично, вие също имате възможност ръчно да изтриете информация от телефона си.

Рисковете за сигурността при Wickr Me

Подобно на Signal, Wickr обикновено се счита за почти 100% надежден от гледна точка на сигурността. Въпреки че преди това беше критикуван, че не публикува програмния си код, през 2017 г. Wickr най-накрая пусна своя криптографски протокол в платформата Github. Ако искате да получите техническа информация за сигурността на приложението, можете да проверите Обещанията за сигурност на клиентите на Wickr.

3. Telegram

Най-сигурните приложения за шифровани съобщения

Имайки над 200 милиона потребители както на iPhone, така и на Android, Telegram непрекъснато увеличава популярността си от началото на своя дебют през 2013 г. и е известен с уникалната си функция за групов чат, която може да поддържа до 100 000 членове.

По-рано през 2018 г. компанята зад приложението се сблъска с руското правителство заради отказа на програмистите да предадат ключовете за шифроване, като това доведе до пълната му забрана в Русия. Telegram също се смята доби негативна слава поради статута си на предпочитано за съобщения на ISIS, което от друга страна отново доказва, че приложението е достатъчно сигурно криптирано.

Функции за сигурност на Telegram

  • Шифроване от край до край

Telegram предлага функция, наречена „Secret Chat“, която ви позволява да защитите съобщенията си с криптиране от край до край. Функцията обаче не се ползва по подразбиране, така че ще трябва да я включите ако искате да сте защитени.

  • Заключване с парола

Можете да зададете 4-цифрен код, за да предотвратите достъпа на нарушителите до съобщенията ви, което може да бъде полезно, ако телефонът ви се загуби или открадне.

  • Двустепенна проверка за автентикация

Намира се в Настройки, двустепенна проверка за автентикация изисква да използвате както SMS код, така и парола, за да влезете в приложението. Можете също да настроите имейл адрес за възстановяване, в случай че забравите паролата си).

  • Отворен код

Всеки може да провери изходния код, протокола и API на Telegram, за да се увери, че е на ниво.

  • Конкурс за пробиване на Telegram

Telegram предизвиква „хакери“ да се опитат да пробият криптирането и да дешифрират съобщенията, предлагайки награда от 300 000 долара за всеки, който е в състояние да го направи. Това помага да се гарантира, че всички потенциални уязвимости ще бъдат намерени и отстранени.

  • Саморазрушаващи се съобщения

Подобно на много други приложения за съобщения, Telegram също предлага таймер за самоунищожение (само за тайни чатове), който ще изтрие частни текстови съобщения и мултимедийни файлове в рамките на предварително зададен срок.

  • Отдалечено излизане

Тъй като можете да влезете в Telegram едновременно от множество устройства (уеб базиран достъп от компютър или през таблет, или от смартфон и т.н.), приложението предлага възможност за излизане от други сесии през текущото устройство, което използвате, чрез менюто Настройки. По този начин, ако устройството ви бъде загубено или откраднато, пак можете да се уверите, че вашите съобщения са защитени.

  • Самоунищожение на акаунта

След като акаунтът ви е бил неактивен за определен период от време (шест месеца по подразбиране), акаунтът ви автоматично ще се самоунищожи, изтривайки напълно всичките ви съобщения и медии.

Рискове за сигурността на Telegram

Шифроването от край до край не е по подразбиране

Трябва ръчно да активирате функцията „Secret Chat“ на Telegram, в противен случай чатовете се криптират само между вашето устройство и сървъра на Telegram.

Вписване на данни за чат

Ако не активирате функцията Secret Chat, вашите данни за чат се запазват на сървърите на Telegram. Компанията твърди, че това е в случай, че загубите устройството си и искате да възстановите съобщенията си, но от гледна точка на сигурността това е минус.

Възможно е дефектна технология за криптиране

Telegram създаде свой собствен протокол MTProto, вместо да използва такъв, който вече е доказано защитен, като протокола на Signal. Много експерти поставиха под съмнение причините за това и изразиха скептицизъм относно липсата на прозрачност около протокола, но както вече посочихме има награда за този, които успее да пробие защитата, като веднага след това ще бъде отстранена намерената пробойна.

 

След тези приложения, които към момента са считани за най-сигурните за шифровани съобщения, набързо ще обърнем внимание на някои други варианти:

  1. WhatsApp – С над 300 милиона ежедневни потребители, WhatsApp е едно от най-популярните приложения за съобщения, които се използват днес. Популярността на приложението определено е една от силните му страни, заедно с факта, че е достъпна безплатно както на iPhone, така и на Android и не показва никакви реклами. Можете лесно да изпращате текстови съобщения, снимки, както и кратки видео и гласови съобщения. Но остават ли чатовете в WhatsApp защитени? При условие, че собственик на приложението през 2014 г. стана компанията Facebook, която има лош опит по отношение на защитата на личните данни оставяме този въпрос за вас. Всъщност през септември Facebook, отстрани шест неразкрити недостатъци в приложението си и ги разкри на нов специализиран сайт за консултации по сигурността. Един от недостатъците, проследен като CVE-2020-1894, е относно stack write overflow, което може да е позволило произволно изпълнение на код при възпроизвеждане на специално създадено съобщение от типа push to talk.
  2. Facebook Messenger – същите доводи като при предното приложение.
  3. Google Hangouts – Въпреки че е достъпен безплатно както за iOS, така и за Android, Google Hangouts е пълен с рискове по отношение на поверителност и сигурност. Въпреки че разговорите в hangout се шифроват, той не използва криптиране от край до край – вместо това съобщенията се криптират „в процес на преминаване“. Това означава, че те са криптирани само между вашето устройство и сървърите на Google. След като са на сървър, Google има пълен достъп до тях. Ако му бъде наредено да направи това, Google може да се включи в частни сесии за комуникация и да предаде тази информация на държавни агенции. Освен това с отчета за прозрачност на Google, който разкрива, че компанията наистина получава и често изпълнява заявки за информация за клиенти, това е един напълно реален риск. Към тези обстоятелства добавяме и факта, че изображенията, изпратени чрез Hangouts, се споделят чрез публични URL адреси, което означава, че практически всеки (който знае нещо или две за URL адресите) може да преглежда вашите лични изображения. Това определено не е приложението, което трябва да използвате, за да изпращате … чувствителни … снимки.
  4. DUST – По-рано известен като Cyber Dust, приложението за съобщения на американския милиардер Марк Кюбан е достъпно както за iOS, така и за Android. Основната цел на приложението е да изпраща лични съобщения (или снимки и видеоклипове), наречени „прах“ (dust от англ.) до вашите контакти, които „се превръщат в… прах“, като съответно изчезват в рамките на 100 секунди след четенето. „Взривове“ са друг вид съобщение, което може да бъде изпратено до група хора, но се чете лично. И накрая, можете да започнете групови чатове, известни просто като „Групи“. Понастоящем няма значителни рискове за сигурността, свързани с Dust, освен потенциалните рискове и липсата на прозрачност, свързани с кода на приложението, който продължава да не е публично достъпен.
  5. Viber – Въпреки че не е много известен на Запад, Viber е едно от най-популярните приложения за съобщения в света. Приложението има повече от 1 милиард потребители по целия свят. Интересното е, че повечето от тези потребители се намират в бившия Съветски съюз, с относително малко потребители на места като САЩ или западните страни членки на Европейския съюз. Един от проблемите е със записа на лог на IP адреса на потребителя. Няма двустепенна автентикация както и кодът не е публично достъпен. Компанията собственик не публикува и Доклади за прозрачност.
  6. WeChat – най-използваното приложение в Китай, като вероятноста да ви се наложи да го ползвате ако нямате „вземане-даване“ с „Поднебесната империя“ клони към 0. Относно сигурността му може да се напише отделен анализ, но в момента общото мнение на западните анализатори е, че по всяка вероятност то се наблюдава от държавните органи на азиатската страна.
loading...