Бесспорным лидером среди решений для обмена мгновенными сообщениями является WhatsApp, у которого свыше 900 миллионов активных пользователей. Он стал неотъемлемой частью смартфонов для обмена сообщениями. Несмотря на это, постоянно возникают новые проблемы, связанные с безопасностью приложения, что вызывает у многих пользователей серьезные опасения в прозрачности сервиса.
От мошенничества до вредоносных программ, которые пользуются популярностью данного сервиса, от приложений, которые следят за пользователями, до всевозможных уязвимостей – казалось бы, нет конца тем проблемам, которые подняты в отчете группы исследователей Cyber Forensic Research & Education Group из Университета Нью-Хейвен в США.
Благодаря собственным экспертным разработкам, исследователям удалось расшифровать часть коммуникаций, установленных между серверами WhatsApp и пользователями данного приложения, в тех случаях, когда через приложение осуществляется обмен любыми видами коммуникаций.
Исследователи обнаружили, что, среди прочего, популярный сервис обмена сообщениями собирает и хранит конфиденциальную информацию о пользователе и разговорах, которые он осуществляет. Ничто из этого не является необходимым условием нормального функционирования сервиса, а потому возникает желание спросить у разработчиков WhatsApp, зачем они это делают и почему они не заявили об этом ранее?
Приложение ведет учет всех звонков, которые мы делаем, их получателей, их длительность. Более того, авторы исследования допускают, что ключи шифрования также могут каким-то образом отправляться в течение данных коммуникаций. Хотя до сих пор это не доказано, но это может оказаться всего лишь верхушкой айсберга всех проблем безопасности этого чат-сервиса.
Группа экспертов из Университета Нью-Хейвен призвала других исследователей использовать их утилиту, которую они разработали в надежде обнаружить новые бреши безопасности, т.к. также существуют опасения о наличии подобных проблем и с другими сервисами обмена мгновенными сообщениями, такими как Facebook Messenger и Telegram.
Недавно мы уже видели, как WhatsApp предпринял определенные меры, чтобы попытаться повысить уровень безопасности, которые они предлагают своим пользователям для обеспечения их конфиденциальности. Эти меры включали в себя внедрение известной и противоречивой двойной галочки, некоторые специфические обновления, а также более надежную систему шифрования.
Однако, чтобы система оставалась дружелюбной по отношению к пользователю, некоторые рекомендуемые меры безопасности оказались не совсем уместными, т.к. они могут негативно сказаться на удобстве работы. WhatsApp пытается найти тот сложный баланс между безопасностью и удобством использования, чтобы «застолбить» звание крупнейшего и наиболее безопасного сервиса обмена мгновенными сообщениями, представленного на рынке.
Комментарии (15)
olku
17.11.2015 12:15+6предпринял определенные меры
некоторые специфические обновления
некоторые рекомендуемые меры
Buzz, buzz, buzz
gotch
17.11.2015 13:04+1Приложение ведет учет всех звонков, которые мы делаем, их получателей, их длительность. Более того, авторы исследования допускают, что ключи шифрования также могут каким-то образом отправляться в течение данных коммуникаций.
Хотя до сих пор это не доказано
Можно уточнить, что известно с 100% достоверностью, а что не доказано?
PandaSecurityRus
17.11.2015 13:18+2Со 100% достоверностью известно (согласно данным отчета):
Сервис собирает, ведет учет и хранит конфиденциальную информацию о:
1. пользователе и его разговорах;
2. получателях сообщений;
3. длительности звонковgotch
17.11.2015 14:58Есть мнение, что это касается звонков (отправленных сообщений) только внутри приложения?
ooprizrakoo
17.11.2015 16:32Сервис собирает, ведет учет и хранит конфиденциальную информацию о:
1. пользователе и его разговорах;
2. получателях сообщений;
3. длительности звонков
1. Какую именно информацию о пользователе? Какую именно информацию о разговорах? Сам факт разговора? Запись голоса? Информацию об абонентах? Время начала разговора?
2. Какую именно «конфиденциальную» информацию о получателях?
3. Было бы странно, если бы длительность звонков, как и айдишники абонентов, не логировались.
pesh1983
17.11.2015 13:15+1Мне кажется, что основную аудиторию этого мессенджера мало волнует аспект безопасности. Кто требует реальной безопасности, используют телеграмм и ему подобные, но никак не сервис, который изначально создавался для общения друзей)
ivanych
17.11.2015 23:19+1Эти меры включали в себя внедрение известной и противоречивой двойной галочки,
А что за противоречие с двойной галочкой?PandaSecurityRus
18.11.2015 07:47Двойная галочка обозначает, что ваше сообщение прочитано пользователем. В данном случае может считаться нарушением конфиденциальности.
В этом и противоречие:
С одной стороны пользователь знает, что произошло с его личным сообщением, а с другой стороны нарушает конфиденциальность другого (получателя).
Scf
Всё понятно же. Современный тренд — это сбор и обработка максимального количества информации о пользователе. Собранную статистику можно использовать для лучшего понимания аудитории, для улучшения сервиса, для предсказания будущих потребностей, для таргетирования рекламы… ну или просто продать. Информация по звонкам с привязкой к местности может быть использована, например, для прогнозирования спроса на некоторые товары.
PandaSecurityRus
Все указанное верно.
Хотя, возможно, сервис создавался именно для сбора информации о пользователях и дальнейшего ее использования спецслужбами (как вариант).
Основной вопрос: почему разработчики не заявили о сборе и хранении этих данных. Хотя знали, что во всех развитых странах действуют законы об использовании персональных данных (+конфиденциальной информации)…
samodum
А что про это в ToS написано?