По данным на осень 2021 года в тройку наиболее популярных мессенджеров в России входят WhatsApp, Viber и Telegram. Давайте выясним уровень конфиденциальности и безопасности каждого из них. Сделать это можно, только сравнив их с другими приложениями, поэтому рассмотрим также Skype, Facebook Messenger и ряд малоизвестных у нас мессенджеров: Signal, Riot, Threema, Wickr Me, Wire, Session. А еще возьмем популярный у обладателей «яблочных» устройств iMessage.
О терминологии
Несмотря на сходство в значениях, безопасность и конфиденциальность — вещи разные. Под конфиденциальностью в IT подразумевается отсутствие доступа к вашей информации любых сторонних лиц, включая даже разработчиков приложений. Под безопасностью — защита информации от распространения после ее сбора приложением. Таким образом, мессенджер может быть безопасным, но не конфиденциальным, то есть данные о вас собираются, но не утекают в сеть. А вот обратное (конфиденциально, но небезопасно) исключено. Если к вашей информации не может получить доступ никто (полная конфиденциальность), то приложение, через которое вы её отправляете, является также и полностью безопасным.
Критерии безопасности и конфиденциальности
Мы проанализировали 12 мессенджеров по 34 основным параметрам конфиденциальности и безопасности (все данные были взяты из открытых источников, в том числе с сайтов владельцев приложений). Рейтинг составлялся просто: приложения получали оценку по каждому из 34 параметров.
Оценки следующие: 0 баллов — уязвимостей не обнаружено, 1 балл — частичная уязвимость, 2 балла — полная уязвимость. Соответственно, чем больше штрафных баллов набрало приложение, тем меньший уровень конфиденциальности оно может предоставить пользователям и тем ниже оно расположилось в рейтинге.
1. Обеспечивает ли приложение защиту сообщений и вложений
Только 4 мессенджера из 12 рассматриваемых (Signal, Threema, Wire и Session) можно рекомендовать как безопасные, поэтому они не получают штрафных баллов. Владельцы iMessage, Facebook Messenger (здесь и далее — Messenger), Skype, WhatsApp и Wickr Me запятнали себя сотрудничеством с АНБ. В Riot и Viber давно не проводили независимую проверку кода и анализ безопасности, в Wickr Me проводили, но не предоставили никаких публичных данных. Viber, Telegram, Messenger, Skype, WhatsApp не обеспечивают полную защиту данных, а кроме того, шифрование в Telegram, Messenger и Skype не включено по умолчанию. Также Messenger, Skype и WhatsApp зарабатывают деньги на личных данных пользователей (например, так это делают в «детищах» Цукерберга. Таким образом, только Riot из сомнительных приложений получает 1 штрафной балл, остальные семь — по 2.
2. Юрисдикция управляющей компании
10 управляющих компаний связаны с США или Великобританией, и только две с более надежными странами в плане конфиденциальности: Threema зарегистрирован в Швейцарии, а Viber — в Люксембурге и Японии. Эти два приложения получают по 1 штрафному баллу, остальные — по 2.
3. Местоположение серверов управляющей компании
Здесь наиболее надежны Threema (их серверы располагаются по месту регистрации, в Швейцарии), остальные мессенджеры хранят свои данные в США, Великобритании и странах Евросоюза. Threema получает 1 балл, остальные — по 2.
4. Замешана ли компания в передаче данных спецслужбам
iMessage, Messenger, Skype и WhatsApp предоставляют пользовательские данные спецслужбам (по 2 балла каждому), остальные в этом замечены не были (без штрафа). Вот, например, как это происходит со Скайпом, в качестве доказательства в суде компания разрешает использовать сохраненную переписку из служебных чатов.
5. Встроены ли в приложение элементы наблюдения за пользователями
Прослушивание через Skype — известная функция, которую могут использовать спецслужбы, получив разрешение от владельцев приложения. Поэтому Скайп единственный, кто получает штрафные баллы по этому пункту.
6. Предоставляет ли компания отчет о прозрачности
Владельцы трех приложений из 12, Riot, Telegram и Viber, не предоставляют таких отчетов (их не удалось найти в открытом доступе), поэтому их продукты получают по 2 штрафных балла.
7. Общая позиция компании в отношении конфиденциальности клиентов
Только владельцы Riot, Signal, Threema, Wire и Session заявляли, что заботятся о конфиденциальности пользователей, в остальных компаниях не считают это приоритетным, поэтому их мессенджеры получают по 2 балла. Например, владельцы мессенджера Riot заявляют об этом на своем сайте: https://element.io/ (слоган внизу).
8. Источники финансирования
Компании Apple (iMessage), Meta (Messenger, WhatsApp), Microsoft (Skype), Rakuten (Viber) и Amazon (Wickr Me) не вызывают доверия из-за их связей с передачей личных данных третьим лицам (см. ряд ссылок выше). Этим мессенджерам добавлено по 2 балла. Остальные приложения финансируются отдельными лицами или обществами, не запятнавшими себя подобными действиями.
9. Собирает ли компания-владелец данные пользователей
Собирают все, кроме владельцев Riot, Signal, Threema, Vire и Session, поэтому последние пять не получают штрафных баллов. А вот какие сведения о пользователях собирают для своих владельцев половина мессенджеров из нашего списка.
10. Собирает ли приложение пользовательские данные
Session единственный свободен от сбора какой-либо информации, Signal, Threema, Wickr Me, Wire осуществляют частичный сбор (метаданные, 1 балл), остальные — максимально подробный с контактами, публикуемым контентом, историей поиска, а Messenger даже с финансовой информацией (по 2 балла). В этой статье подробно рассматривается мессенджер Session и указывается, что приложение не интересует ни ваша геолокация, ни данные об устройстве, ни метаданные.
11. Отправляются ли данные пользователей и/или метаданные материнской компании и/или третьим лицам
Никаких данных не отправляют Riot и Session (без штрафа), частично это делают Signal, Threema и Wickr Me, отправляющие номер сотового, указанного при регистрации (1 балл). Все остальные отправляют в управляющую компанию данные о пользователях и метаданные в полном объеме (по 2 балла). Вот, например, как обстоят дела у Wire: (доказана фиксация личных данных пользователей).
12. Включено ли шифрование по умолчанию
Включено во всех мессенджерах, за исключением Messenger, Skype и Telegram, за что последним начисляется по 2 штрафных балла.
13. Какие криптографические алгоритмы используются
iMessage и Skype используют устаревший SHA-1, что повышает их уязвимость (получают по 2 балла). Остальные приложения используют более совершенные криптографические алгоритмы. Правда, в Microsoft заявляли почти два года назад, что собираются отказаться от SHA-1 в пользу SHA-2, но это касалось только ОС Windows, про Skype там речи не было.
14. Имеют ли приложения полностью открытый исходный код
Исходный код Riot, Signal, Wire и Session открыт, у Telegram и Threema открыт частично (этим двум по 1 баллу), у остальных полностью закрыт (по 2 балла).
Популярность мессенджеров по странам на 2021 год (источник: https://www.similarweb.com/)
15. Есть ли возможности для проверки приложений на соответствие исходному коду
Полностью такую возможность предоставляет только Telegram и частично (для устройств Android) — Signal и Threema (этим двум 1 балл). Все остальные не предусмотрели подобный функционал, за что им начислено по 2 балла.
Проверка на подлинность исходного кода — важный момент, поскольку модифицированные приложения представляют серьезную угрозу для безопасности клиентов. Telegram добавил возможность такой проверки в январе 2020 года, а позже это не раз подтверждал и сам Павел Дуров. Теперь любой желающий, обладающий навыками работы с соответствующими программами, может проверить, что его версия приложения собрана из оригинального исходного кода (он опубликован на GitHub).
16. Можно ли зарегистрироваться в приложении анонимно
Возможность анонимной регистрации предоставляют только Riot, Threema, Wickr Me и Session (без штрафа), остальные требуют указывать персональные данные (по 2 балла).
17. Можно ли добавить контакт без сохранения данных на сервере
Это возможно только в Threema, Viber и Session (они не получают штрафных баллов), во всех остальных приложениях для добавления контактов задействуется сервер, на котором и хранится данная информация. Это повышает уязвимость, так как в случае взлома сервера злоумышленникам будет доступна вся база контактов. Вот как это работает с Threema (обращения к серверу есть, но сами хэш-значения там не хранятся — сервер служит лишь местом для их мгновенного сравнения, после чего все данные запросов сразу же удаляются оттуда).
18. Можно ли вручную проверить цифровые отпечатки устройств (fingerprints) контактов
Это возможно везде, кроме iMessage, Skype и Telegram, которым начисляется по 2 штрафных балла.
«Фингерпринт» — это уникальный идентификатор устройства (представлен в виде 32-битного кода), который составляется при обработке входящих данных. Фингерпринты позволяют идентифицировать устройства с точностью почти 95%.
19. Уязвимость к MITM атакам
Ни одно из приложений не может похвастаться защитой от MITM атак (мы не смогли найти таких доказательств), поскольку все они позволяют изменять данные службы каталогов.
MITM атака или «атака посредника» — это кратковременное вмешательство, целью которого является перехват трафика с перенаправлением его в собственную систему злоумышленника. В результате вся информация становится скомпрометированной. MITM атаки трудно отследить, поскольку длятся они не более 10-15 минут.
20. Получает ли пользователь уведомление, если цифровой отпечаток устройства (fingerprint) контакта изменяется
Riot, Signal, Threema, Viber и Wickr Me просигнализируют об этом, Wire только в том случае, если контакт был предварительно подтвержден (верифицирован), за что ему 1 штрафной балл, а всем остальным по 2, поскольку уведомлений об этом они не присылают.
21. Хешируется ли личная информация (номер мобильного телефона, список контактов и т. д.)
Полностью личные данные хешируют Riot, Threema и Wickr Me (без штрафа), частично — Signal и Wire (1 балл), остальные нет (по 2 балла).
Хеширование позволяет обезопасить данные пользователей в случае, если приложение будет взломано, так как расшифровать хешированную информацию практически невозможно.
22. Генерирует ли приложение ключи шифрования
Почти все рассматриваемые мессенджеры генерируют и хранят ключи шифрования на самих устройствах или на серверах. Единственное приложение, по которому не удалось получить такой информации — Skype, за что он получает 1 штрафной балл.
23. Могут ли сообщения быть прочитаны компанией
Messenger, Skype, Telegram и WhatsApp допускают чтение сообщений сотрудниками управляющих компаний, за что штрафуются на 2 балла. Вот так обстоят дела с Telegram(и уже по одному этому показателю конфиденциальным мессенджером назвать его никак нельзя).
24. Гарантирует ли приложение «совершенную прямую секретность» (FPS)
7 из 12 приложений обеспечивают такое шифрование сообщений, за исключением WhatsApp, iMessage, Threema и Session (по 2 балла). По Skype такой информации снова не нашлось, а Telegram меняет ключ шифрования только через каждые 100 подключений, что делает его более уязвимым к компрометации как сеансовых, так и долговременных ключей. Поэтому данным двум мессенджерам начисляется по 1 баллу.
В идеале приложение должно генерировать новый ключ шифрования для каждого сеанса, что значительно снижает уязвимость пользовательских данных.
25. Шифрует ли приложение метаданные
Полностью это делают Signal, Threema, Wickr Me и Session (без штрафа), частично — Riot, Viber и Wire (по 1 баллу), остальные мессенджеры метаданные не шифруют (по 2 балла).
Метаданные — это важная общая информация, описывающая характеристики данных, или, проще говоря, данные о данных. Конкретные примеры метаданных: информация об отправителе и получателе, время отправления сообщения, вид вложения (если оно есть).
26. Использует ли приложение протоколы TLS/Noise для шифрования сетевого трафика
Эти протоколы используют все, кроме Telegram, поэтому последний штрафуется двумя баллами.
Noise представляет собой современный фреймворк, с помощью которого создаются лучшие на сегодняшний день криптографические алгоритмы. Это существенно повышает взломостойкость приложений.
27. Использует ли приложение безопасное соединение с SSL сертификатом
Такая информация подтверждена для iMessage, Signal, Threema, Wickr Me, Wire, Session, по остальным мессенджерам на этот счет нет никакой информации, поэтому им будет выставлена оценка «сомнительно» (1 балл). Доказательства использования SSL сертификатов у iMessage датируются аж 2013 годом.
28. Шифрует ли приложение данные на устройстве (касается только iOS и Android)
Нет информации по Messenger, Skype, Telegram, Viber и Whats App (1 балл каждому), остальные приложения поддерживают шифрование данных.
29. Использует ли приложение двухфакторную аутентификацию
Двухфакторную аутентификацию поддерживают только семь мессенджеров: Signal, Telegram, Threema, WhatsApp, Wickr Me, Wire, Session, остальные пять получают по 2 штрафных балла.
30. Шифруются ли сообщения при резервном копировании в облако
Есть шифрование у Riot, Threema, WhatsApp (без штрафа), отсутствует шифрование у iMessage (2 балла). Signal, Wickr Me, Wire, Session не поддерживают облачные сервисы, поэтому тоже не штрафуются. По оставшимся приложениям в открытом доступе такой информации нет (по 1 баллу).
31. Регистрирует ли компания временные метки (timestamps) и IP-адреса
Не делают этого Signal, Threema, Wickr Me и Session, что повышает конфиденциальность пользователей. Частичная регистрация замечена у Wire (1 балл), остальные фиксируют время отправки и получения сообщений и IP-адреса (по 2 балла).
32. Регулярность проведения аудита кода и независимого анализа безопасности
За последние пять лет это делали только Threema, Wire и Session, более пяти лет назад — Signal, Telegram, Wickr Me (им по 1 баллу), остальные — никогда (получают по 2 балла штрафа). Вот, например, подтверждение аудита кода для Signal и Threema.
33. Есть ли подробная документация по проекту
Частично задокументирована разработка всех приложений, кроме Skype, который штрафуется на 2 балла, остальные — на 1, поскольку подробной документации не предоставляла ни одна компания-разработчик.
34. Есть ли функция автоудаления сообщений
Такая функция есть у всех мессенджеров, кроме iMessage, Riot, Skype и Threema, за что последним начисляются штрафные баллы.
Показатели роста WhatsApp с 2019 по 2020 год. Россия продемонстрировала наиболее впечатляющий годовой рост — ровно на 17%, что позволило ей ворваться в пятерку главных любителей мессенджера (источник: https://www.messengerpeople.com/)
Общий рейтинг приложений
После подсчета штрафных баллов (они высчитывались из 68 возможных, поскольку у нас 34 пункта и максимум 2 балла за каждый) получилась следующая картина:
Threema — 13
Session — 15
Signal — 16
Wire — 20
Wickr Me — 24
Riot — 26
Viber — 38
WhatsApp — 45
Telegram — 45
Messenger — 48
iMessage — 51
Skype — 59
Таким образом, ни одно приложение нельзя назвать полностью конфиденциальным, а все популярные в России мессенджеры и вовсе оказались в нижней части рейтинга. Конечно, вряд ли это повлияет на их популярность, но тем, кто заботится о сохранности своих данных и своей безопасности, стоит задуматься.
Интересно, что западные специалисты в целом того же мнения о лидерах нашего рейтинга, так как первая пятёрка с небольшими перестановками лидирует практически везде. Например, здесь говорится о преимуществах Threema перед Signal. А в этом обзоре авторы еще и выводят WhatsApp за пределы даже безопасных приложений, причем с железной аргументацией. В завершение несколько любопытных фактов о популярных мессенджерах.
Интересные факты об уязвимостях WhatsApp, Telegram, Skype и Viber
В августе 2018 года разработчики WhatsApp отказались от сквозного шифрования сообщений пользователей и официально объявили об открытии доступа к любой переписке сотрудникам спецслужб. Подробнее.
Несмотря на наличие механизма двухфакторной аутентификации, данные для входа в WhatsApp на смартфонах хранились в незашифрованном виде, что пару лет назад привело к массовой утечке кодов безопасности. Проблема наблюдалась на Android-устройствах с рут-доступом, то есть правами суперпользователя. Подробнее.
Тогда же один из известных специалистов по кибербезопасности, Нил Кравец, раскритиковал Telegram за несоответствие мессенджера заявленным требованиям безопасности. Эксперт выяснил, что «Телеграм» не полностью шифрует данные, которые хранятся на сервере в незашифрованном виде, и опытным путём определил, что даже зашифрованные данные могут быть легко расшифрованы хакерами из-за целого ряда уязвимостей. Подробнее.
В конце 2019 года аккаунты некоторых пользователей Telegram были взломаны путем перехвата злоумышленниками СМС с кодом подтверждения входа в аккаунт. Подробнее.
В том же 2019 году была выявлена уязвимость Skype, когда сторонние пользователи могли просматривать контакты и фотографии, обходя экран блокировки. Также у них была возможность даже открывать браузер «жертвы». Подробнее.
А вот совсем недавняя новость: хакеры используют «Скайп», чтобы заражать ПК с установленной ОС Windows. В результате компьютер попадает под удаленное управление через Skype API. Подробнее.
И еще интересная новость, на этот раз про Viber: известную уже более пяти лет уязвимость разработчики так и не исправили. Опасность этой уязвимости в том, что любой пользователь из вашего контакт-листа может получить доступ к вашему компьютеру через Windows версию Viber. Подробнее.
Комментарии (18)
QuAzI
31.05.2022 12:15+1знаете хоть одну из первой десятки?
Да тут и из предложенных мессенджеров, уверен, многие половину видят впервые)
Threema, Session, Wickr Me, Messenger - вообще хз, кто это.Riot, он же Matrix - хз, что он собирает, но его можно крутить у себя локально, в отличие от модных молодёжных. Клиентов навалом. В т.ч. обещают затащить в Thunderbird.
Всё это становится огромным плюсом в случае блэкаута и прочих чебурнетов.Viber, какая разница какая юрисдикция, если Viber третья компания, которая открыла представительство в РФ по закону о «приземлении», т.е. бегут сотрудничать со всех ног. Не говоря о так себе надёжности и том что он давно уже превратился в мессенджер для рассылки спама, а не для людей
Mnemonic0
31.05.2022 12:45+1Глупый может быть вопрос, но почему меня, как пользователю любого иностранного сервиса должно волновать, что данные уходят в АНБ. До тех пор, пока я живу в РФ, меня волнует передача данных только товарищу майору.
Если же говорить о сервисах в плане безопасности, удобства и их распростанённости, пожалуй только Signal может быть адекватной заменой тележке. Остально - от лукавого. Никто и никогда не будет пользоваться никаким сервисом, если там нет его контактов (ну контакты и безопаснось, это ещё один критерий, который не рассмотрен)
Если же нужна безопасность, используйте впн до своего сервера и автоудаление всего и вся в телеге при блокировке телефона. Не доверяете телеге, аналогично с сигналом. Не доверяете сигналу - вперёд, пишем свой p2p клиент с шифрованием всего и вся и загоняем в него пользователей с которыми будете общаться.
a3or
31.05.2022 13:35-2А какая принципиальная разница между АНБ и товарищем майором?
Если даные повляются у третьего лица - они перестают быть конфиденциальными. АНБ и тов. майор даже делятся ими иногда, и даже наружу в СМИ они могут быть слиты.
Kolonist
31.05.2022 20:15+2Принципиальная разница в том, что АНБ не возбудит на гражданина России уголовное дело за какие-нибудь "фейки".
a3or
01.06.2022 04:52Это не отменяет возможности АНБ слить эти данные товарищу майору. А надеяться на принцип Неуловимого Джо - такое себе развлечение, рано или поздно (но в любом случае внезапно) этот принцип не сработает.
at5Fd8NVdfpf
01.06.2022 15:39Ситуация имеет свойство меняться, иногда стремительно, и часто повлиять на это невозможно. Где гарантия, что через год не окажется наоборот ? (анб приедет сюда, или вы решите свалить туда...)
Kuklachev
01.06.2022 09:58Разница в 2 факторах. Товарищ майор может навредить, а АНБ крайне маловероятно. И второе - вероятность вторичной утечки из АНБ крайне мала. Я бы грубо оценил разницу в степени риска в тысячи раз, если рассматривать практически, а не теоретически
sukhe
31.05.2022 13:08+1Вопрос по 2-му и 3-му пункту. В какой стране нужно находиться, чтобы не получить штрафных баллов?
iingvaar
31.05.2022 13:2616. Можно ли зарегистрироваться в приложении анонимно
С точки зрения безопасности это самая важная функция (не считая автоудаления сообщений и генерации ключей клиентом). Не зря же Wickr Me так любим в определенных кругах.
titbit
31.05.2022 15:15+7Неравноценное начисление баллов у вас. Получается, что при прочих равных сливающее всё подряд приложение и не сливающее отличаются всего 2-мя баллами, что ничтожно в общем зачёте, но очень существенно по сути, поскольку первое фактически ставит крест на безопасности.
Ну и далее по списку:
2. Да в принципе юрисдикция это последнее дело, если всё действительно шифровано и не утекает. А если нет, то она вряд ли спасет, хотя может немного помочь.
3. Наличие серверов само по себе делает систему очень уязвимой и поэтому небезопасной. Здесь всем по 10 баллов надо накидывать. Отдельным пунктом можно было бы рассмотреть наличие разных серверов по всему миру (ну хоть какая-то децентрализация).
4. Да кто ж в этом сознается-то? Очень ненадежный критерий.
5. Всем по десятке — метаданные о логинах и активностях хранятся на серверах, а значит уже есть элемент слежки. Безопасная система подделывает метаданные на стороне клиента и обходится без централизованных серверов.
6,7 — не очень надежный критерий, на мой взгляд.
9 — все кто телефоны или почты требует для регистрации уже собирают данные.
12 — всем у кого выключено по сотне, нешифрованный трафик убивает всю идею, его слушают все подряд и вы даже не знаете кто именно.
13 — а причем тут SHA? нужен более четкий критерий для сравнения криптографических примитивов и протоколов
14 — всем у кого закрытый код по сотне, это опять же убивает всю идею на корню. Я бы добавил требование о возможности пересборки своего варианта приложения под моим контролем и возможность поднятия своего сервера, если мне не нравится штатный.
19 — если то что вы написали правда, то весь список приложений можно сразу выбрасывать как небезопасные, но мне кажется тут нужно уточнение и расследование
29 — очень важно понять какую именно 2-х факторку используют, если это телефон — то штраф за сбор данных, в идеале это должен быть otp-ключ
30 — сомнительная фича, даже при шифровании можно узнавать изменение объема метаданных для данного абонента, а это по сути утечка. Все бэкапы пользователь должен делать сам и не связывать их с приложением.
31 — это делают все, хотя бы для избежания атак и злоупотреблений, так что сомнительный критерий.
34 — сомнительно с точки зрения безпасности
polearnik
31.05.2022 15:41+2мне кажется что большинство приложений было бы радо добавить безопасности через сквозное шифрование, не собирать чувствительную инфу итд. но в какой то момент спецслужбы в ультимативной форме требовали добавить возождность просматривать переписку. И вот это верчение ужей на сковородке мы и наблюдаем. Ктото добавил слежение на серверную часть поэтому выкладывает в открытый доступ клиентскую часть с подтверждаемыми сборками. ктото ослабил алгоритм шифрования . Я только этим могу обьяснить эти странные рещения в безопасности и отказ от внедрения мер для усиления безопасности
entze
31.05.2022 16:36+1Threema первыми из мессенджеров вошли в реестр распространителей информации. Не сотрудничать они не могут.
Num
31.05.2022 16:56+6В Riot и Viber давно не проводили независимую проверку кода и анализ безопасности, в Wickr Me проводили, но не предоставили никаких публичных данных. Viber, Telegram, Messenger, Skype, WhatsApp не обеспечивают полную защиту данных, а кроме того, шифрование в Telegram, Messenger и Skype не включено по умолчанию.
Господа, учите матчасть - по крайней мере в Telegram все сообщения зашифрованы in-transit. То, что вы хотели написать - e2e не включен по умолчанию.
8. Источники финансирования
Компании Apple (iMessage), Meta (Messenger, WhatsApp), Microsoft (Skype), Rakuten (Viber) и Amazon (Wickr Me) не вызывают доверия из-за их связей с передачей личных данных третьим лицам (см. ряд ссылок выше). Этим мессенджерам добавлено по 2 балла. Остальные приложения финансируются отдельными лицами или обществами, не запятнавшими себя подобными действиями.
Где штрафные баллы для Signal, который напрямую финансировался CIA?
12. Включено ли шифрование по умолчанию
Включено во всех мессенджерах, за исключением Messenger, Skype и Telegram, за что последним начисляется по 2 штрафных балла.
Опять двадцать пять.
14. Имеют ли приложения полностью открытый исходный код
Исходный код Riot, Signal, Wire и Session открыт, у Telegram и Threema открыт частично (этим двум по 1 баллу), у остальных полностью закрыт (по 2 балла).
Signal больше не полностью опенсорсный, добавили проприетарные блобы, снимайте 2 балла.
А вообще, достаточно открытого исходного кода клиента, для корректно реализованного e2e нам не важно, скомпрометирован ли сервер.
23. Могут ли сообщения быть прочитаны компанией
Messenger, Skype, Telegram и WhatsApp допускают чтение сообщений сотрудниками управляющих компаний, за что штрафуются на 2 балла.
Погодите, но WhatsApp же e2e, каким образом сотрудники могут получить доступ к сообщениям?
30. Шифруются ли сообщения при резервном копировании в облако
Есть шифрование у Riot, Threema, WhatsApp (без штрафа), отсутствует шифрование у iMessage (2 балла). Signal, Wickr Me, Wire, Session не поддерживают облачные сервисы, поэтому тоже не штрафуются. По оставшимся приложениям в открытом доступе такой информации нет (по 1 баллу).
Telegram тоже не поддерживает облачные сервисы.
32. Регулярность проведения аудита кода и независимого анализа безопасности
За последние пять лет это делали только Threema, Wire и Session, более пяти лет назад — Signal, Telegram, Wickr Me (им по 1 баллу), остальные — никогда (получают по 2 балла штрафа). Вот, например, подтверждение аудита кода для Signal и Threema.
Вот например аудит Telegram за 21 год - "Telegram has since patched all four flaws"
P. S. В вашей методологии WhatsApp набирает столько же баллов, сколько и Telegram, и безотносительно того, насколько реально Telegram приватен или нет, де-факто WhatsApp является проприетарным чёрным ящиком, что происходит внутри - неизвестно (данное rationale применимо ко всему проприетарному софту из списка). Отсюда можно сделать вывод, что сам подход как минимум не без изъянов.
anonym0use
01.06.2022 14:05> WhatsApp же e2e, каким образом сотрудники могут получить доступ к сообщениям?
Щас будете ржать, ключи для e2e генерируются и хранятся на серверах вазапа) Вот такое там е2е. Пользоваться этим скамом, все равно что через приемную ЦРУ сообщения слать.
abask
01.06.2022 13:51Господа, я удивляюсь как можно говорить о Viber как о конфиденциальном мессенджере?
Насколько мне известно, изначально разработкой Viber занимались программисты из Минска. До сих пор часть разработчиков сидит в Минском офисе. Исходя только из этой информации...
Часть разработчиков Viber принимала участие в разработке системы Kipod. Это система глобального слежения за объектом по информации со всех уличных камер. Здесь связь со спецслужбами налицо.
Попробуйте поискать по словам Viber, Kipod, Синезис
at5Fd8NVdfpf
Забыли про Briar. Правда не вполне понятно как его оценивать по вашим критериям, ибо серверов нет (если не считать таковыми входные tor ноды), "юрисдикции" тоже нет...
Mike_666
И tox.