Как обеспечить анонимность в переписке с помощью мессенджеров? Сравним приложение Signal с аналогами. Обратим внимание на значимые отличия и дыры безопасности. Узнаем, мессенджер сигнал безопасен или прослушивается? И гарантируется ли безопасность других приложений?
Что такое мессенджер Signal?
Возможно, вы никогда не слышали о приложении под названием Signal. Оно очень похоже на многие другие приложения для видеозвонков и чатов, которые вы, вероятно, использовали раньше или используете до сих пор.
Факт: в последние годы Signal стал основным инструментом для журналистов, политиков и других лиц, которые хотят обеспечить конфиденциальность своих сообщений и данных.
С большим количеством вариантов чат-приложений, соперничающих за место на вашем телефоне, уделять внимание конфиденциальности чрезвычайно важно. Можно ли сказать точно, что мессенджер сигнал прослушивается или лучше обратить внимание на другие варианты?
AVIATROR — предсказатель коэффициента! Работает ли программа?
Если вы в настоящее время занимаетесь политикой, журналистикой или другим видом деятельности, то сейчас самое подходящее время, чтобы начать переход на зашифрованные средства связи. Даже если вы не общественный деятель, то все равно можете дать возможность сохранить связь своих знакомых и близких с вами в безопасности — и это хорошая идея.
Платное ли приложение?
Работа в этом приложении не будет стоить вам ничего—за исключением, возможно, отсутствия забавных стикеров во время ваших разговоров — то это приложение может оказаться чрезвычайно ценным в будущем, поскольку оно защищает вас от слежки рекламодателей или все более размытых ограничений на доступ государственных служб к переписке.
Использование сквозного шифрования в мессенджерах от прослушки
Даже если другие стороны—такие как технологические компании, интернет-провайдеры или хакеры – захватывают или наблюдают за данными сообщения, они будут отображаться в коде, который они не смогут прочитать.
Прослушивается ли мессенджер сигнал и другие аналоги со сквозным шифрованием?
Сравниваем Signal и другие приложения
Signal использует сквозное шифрование на всех своих формах связи. WhatsApp от Facebook, Telegram и iMessage от Apple также используют его.
Другие чат-приложения, такие как Facebook Messenger, например, не защищены сквозным шифрованием.
Видеоконференции Zoom
Только на этой неделе социальная сеть darling Zoom объявила, что не будет совершать бесплатные звонки, зашифрованные специально для того, чтобы дать доступ правоохранительным органам в случае, если люди “злоупотребляют” платформой. Компания утверждает, что она активно не отслеживает и не записывает звонки, но она будет обращать внимание, если модератор сообщит о подозрительной активности. Возможно, вы помните еще в марте, когда Zoom первоначально утверждал, что имеет сквозное шифрование.
Секреты Signal | 5 фишек Сигнала для каждого | Сигнал лучшие функции и лайфхаки
Сбор данных другими приложениями
Даже приложения, которые имеют сквозное шифрование, все еще выполняют некоторый сбор данных с обоих получателей сообщений. Однако, это не значит, что идет прослушивание звонков. Сбор данных осуществляется для других целей.
WhatsApp и безопасность
Например, WhatsApp не может получить доступ к содержимому ваших звонков или сообщений, но может отслеживать другую информацию о том, кому Вы звоните, как часто вы связываетесь с ними и так далее. Кроме того, факта, что WhatsApp принадлежит Facebook, достаточно, чтобы пользователям, думающим о безопасности, сделать паузу.
Хотя Facebook объявила о планах сделать все свои службы обмена сообщениями с использованием сквозного шифрования, она сталкивается со значительными юридическими препятствиями. Правительство США выразило свое недовольство этим планом, и на слушаниях в Конгрессе в прошлом году сенатор Линдси Грэм потребовал бэкдор в предложениях компании по обмену сообщениями. «Вы найдете способ сделать это, или мы сделаем это за вас», — пригрозил он. До сих пор Facebook держался, но он находится под давлением.
Что хорошего в Signal?
Все интересное начинается уже с кода приложения. Signal использует разработку с открытым исходным кодом, поэтому любой человек, обладающий познаниями в программировании, может погрузиться в программу и посмотреть, как она работает, чтобы убедиться, что внутри нет никаких секретов или ловушек, скрывающихся для использования вашей личной информации.
Приложение также работает на Android, iOS и настольных компьютерах, поэтому оно совместимо с подавляющим большинством популярных устройств по всему миру. Это не то, с чем может конкурировать такое приложение, как iMessage от Apple.
В отличие от других приложений для общения в социальных сетях, Signal не создает список контактов в своих собственных системах и не хранит контактные данные на своих серверах. Поэтому можно сказать, что мессенджер сигнал с вероятностью в 99% не прослушивается.
Что ещё нужно знать?
В конце прошлого года Signal объявила, что работает над системой secure value recovery, которая позволит пользователям хранить свои списки контактов от устройства к устройству без необходимости хранить текстовую копию вашей адресной книги в облаке, где она более уязвима.
Вы можете, конечно, использовать приложения с веселыми и красивыми стикерами, но безопасность всегда была важнее, и поддержка приложений, которые ее используют, стоит своих усилий.
Если вы считаете, что лучше доверять более известным приложениям — ваш выбор. Некоторые считают, что мессенджер сигнал прослушивается, т.к. находится в США. Однако, стоит отметить, что приложение управляется некоммерческой организацией на добровольных основах. Вы же не сомневаетесь в работе браузера Мозила?
Рекомендуемые аналоги со сквозным шифрованием: Telegram.
Источник: error2fix.com
Израильская компания научилась взламывать переписки в Signal
Израильская компания Cellebrite, специализирующаяся на взломе смартфонов, заявила, что теперь может извлечь переписки пользователей в мессенджере Signal, который принято считать одним из самых защищённых сервисов обмена сообщениями.
Cellebrite предлагает свою технологию взлома мобильных устройств правоохранительным органам, когда последним требуется добраться до улик, хранящихся на девайсах преступников.
Есть у израильской компании и критики. Как правило, они выражают недовольство тем, что Cellebrite снабжает инструментами для взлома власти стран, в которых ущемляются права людей (Белоруссия, Венесуэла, Индонезия и Саудовская Аравия).
Тем не менее Cellebrite реагирует на отдельные сообщения и принимает соответствующие меры. Можно вспомнить, как в Сети появилась информация о том, что власти Китая используют разработки Cellebrite для шпионажа за активистами в Гонконге. Тогда представители израильской компании заявили, что китайские правоохранительные органы больше не будут получать инструменты для взлома.
Одни из ключевых продуктов Cellebrite — система UFED (Universal Forensic Extraction Device), позволяющая властям разблокировать и извлечь данные из любого мобильного устройства, а также Physical Analyzer, помогающий потом обработать полученную информацию.
Представители Cellebrite недавно сообщили, что Physical Analyzer теперь располагает новыми функциями, позволяющими получить доступ к якобы защищённым перепискам пользователей в мессенджере Signal.
Напомним, что в вышеупомянутом приложении используется специальная система шифрования, получившая название Signal Protocol. Её основная задача — максимально защитить сообщения пользователей и создать барьер для сторонних глаз.
«Правоохранительные органы отмечают растущую популярность приложений вроде Signal в среде киберпреступников, поскольку такие мессенджеры способны защитить переписки от глаз полиции», — говорится в блоге Cellebrite.
«Physical Analyzer от Cellebrite теперь позволяет извлечь данные из приложения Signal. Этим мы хотим посодействовать правоохранительным органам в поимке преступников, чтобы правосудие восторжествовало».
Подписывайтесь на канал «Anti-Malware» в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Источник: www.anti-malware.ru
Ничто не идеально: в мессенджере Signal обнаружено и устранено сразу три уязвимости
Рекомендуем почитать:
Xakep #288. Неправильные эльфы
- Содержание выпуска
- Подписка на «Хакер» -60%
Приложение Signal считается одним из наиболее защищенных мессенджеров на сегодняшний день, не даром Эдвард Сноуден рекомендовал использовать именно этот IM и признался, что сам тоже пользуются Signal. И хотя Signal стал уже неким синонимом защищенности, исследователи Жан-Филипп Омассон (Jean-Philippe Aumasson) и Маркус Вервье (Markus Vervier) напоминают, что ничто не идеально. Специалисты обнаружили сразу три уязвимости в коде мессенджера, и это первый случай обнаружения багов в Signal вообще.
Обновление, устраняющее найденные проблемы, уже опубликовано на GitHub, но еще не было включено в состав приложений для Android и iOS.
Все началось с того, что на конференции Blackhat 2016 Омассон и Вервье заскучали и решили провести собственную экспертизу кода Android-версии мессенджера. Их затея обернулась полномасштабным аудитом, который принес свои плоды.
Вначале специалисты выявили уязвимость, позволяющую обойти аутентификацию. Однако использовать баг атакующий сможет, только если ранее он уже скомпрометировал сервер Signal или имеет какую-то другую возможность мониторить данные, которыми обмениваются пользователи мессенджера. Если эти условия соблюдены, злоумышленник может подменять настоящие аттачи любыми другими, в том числе вредоносными.
Вторая обнаруженная проблема в теории позволяет атакующему удаленно выполнить на устройстве вредоносный код. Но красиво реализовать эту проблему мешает третий баг, который попросту удаленно провоцирует «падение» приложения.
«Результаты определенно не катастрофические, но они доказывают, что Signsl, равно как и любая другая программа, неидеален», — прокомментировал Омассон журналистам издания ArsTechnica. — Signal привлек внимание многих исследователей в области информационной безопасности, и тот факт, что до сегодняшнего дня никакой информации об уязвимостях в нем не было обнародовано, очень впечатляет. Всё это определенно говорит в пользу Signal, и мы продолжим ему верить».
Подробности о найденных проблемах уже были опубликованы, ознакомиться с ними можно здесь.
Источник: xakep.ru