Статьи

В настоящее время существует огромное количество различных приложений для общения — от самых крупных и популярных до малоизвестных, которые недавно вышли на рынок. Зачастую люди пользуются теми же сервисами, что их друзья, коллеги по работе или просто знакомые. Но как выбрать мессенджер, если важна защищенность данных его пользователей?

Уровень защищенность мессенджера зависит от того, какой объем информации из него можно извлечь. Чем выше защита, тем меньшее количество данных о пользователе, его контактах и переписках можно получить, и наоборот.

В Интернете нет единого мнения, какой сервис является наиболее безопасным, специалисты компании «Оксиджен Софтвер» решили изучить самые популярные современные приложения для общения и определили степень надежности каждого из них.

За основу исследования были взяты базовые критерии оценки, по каждому из которых мессенджер получил свою сумму баллов (от 1 до 5) — чем больше баллов, тем выше защита.

При оценке использовались такие критерии как:

  • авторизация;
  • сквозное шифрование (E2EE) и безопасность чатов;
  • безопасность протокола;
  • хранение данных;
  • резервные копии приложения;
  • резервные копии устройства;
  • desktop-версия мессенджера.

Прежде чем перейти к результатам исследования, рассмотрим каждый критерий более подробно. Обратите внимание, что специалисты нашей компании оценивали комплект из протокола, официального мобильного клиента, а также официального desktop-клиента.

В первую очередь поговорим об авторизации

Уровень анонимности мессенджера зависит от способа его активации, которая обычно осуществляется по номеру телефона, адресу электронной почты или логину. Важную роль играет возможность устанавливать пароль для блокировки данных приложения и самого экрана мобильного устройства. Данная функция позволяет защитить информацию в том случае, если смартфон попал в руки постороннему человеку. Особое значение имеет наличие двухфакторной аутентификации и ее вид, поскольку она является дополнительной защитой на случай кражи учётной записи.

Сквозное шифрование (E2EE) и безопасность чатов

При анализе данного критерия специалисты нашей компании учитывали:

  • присутствует ли в мессенджере сквозное шифрование личных, а также групповых чатов;
  • имеет ли сервис возможность создавать секретные чаты с дополнительными функциями безопасности (автоматическое удаление сообщений по таймеру, запрет скриншотов чата и пересылки его сообщений);
  • обладает ли мессенджер функцией скрытых чатов.

Отметим, что подавляющее большинство людей используют стандартные чаты, не зная о чатах с шифрованием и их особенностях. В дополнение ко всему стоит сказать, что безопасность переписки также зависит от возможности верификации собеседника в личном или групповом чате. Данная функция позволяет просмотреть идентификационный ключ пользователя на используемом устройстве и сравнить его с тем, который отображается на устройстве собеседника. Без подобной проверки нельзя быть до конца уверенным, что устройства, добавленные в чат, принадлежат тем пользователям, к аккаунту которых они привязаны. Иными словами, сквозное шифрование не может считаться безопасным без верификации ключа собеседника.

Безопасность протокола.

Критерий характеризуется шифрованием соединения с сервером, а также защитой от различных атак. Помимо этого, для определения безопасности протокола, исследователи проверяли его на наличие уязвимостей и устанавливали их характер.

Немаловажную роль играет и вид исходного кода. Он может быть открытым и проприетарным. Отметим, что открытый код считается более безопасным за счет проведения независимых аудитов.

Хранение данных в облачном сервисе

При исследовании этой функции мессенджеров выяснялось, находятся ли в их облачных хранилищах такие данные, как медиафайлы, сообщения (какие и в каком виде), контакты, а также информация о пользователях.

Резервные копии приложения

Данный критерий показывает наличие облачных и локальных резервных копий, которые создаются самим приложением, а также определяет, в каком виде они хранятся и что содержат.

Резервные копии устройства

Оценивались данные приложения, которые попадают в резервную копию устройств iOS и Android. Также в контексте данного критерия определялся уровень защиты приложения при полном доступе к устройству, либо снятии его полного физического образа.

Desktop-версия мессенджера

Во время проведения исследования мессенджеров, подробно изучались и ихверсии для ПК. В частности, были проанализированы такие функции desktop-клиента, как авторизация, хранение информации о сообщениях, медиафайлах, контактах и других метаданных, возможность устанавливать пароль/PIN-код. Помимо этого, определялось наличие сквозного шифрования.

После подробного анализа мессенджеров по перечисленным критериям, исследователи провели их оценку и присвоили каждому сервису свой коэффициент защищённости.

Зачем был введён коэффициент защищённости и как он рассчитывался?

Как мы уже писали ранее, максимальный балл, который выставлялся за каждый критерий равнялся 5, минимальный — 1. Во время исследования было выявлено, что desktop-версия есть не у всех мессенджеров, а значит суммарный максимальный балл мог отличаться, и результат был бы некорректным.

В связи с этим, для каждого мессенджера было решено рассчитывать дополнительный "коэффициент защищенности" по формуле, которая указана ниже.

коэффициент защищенности = сумма критериев/максимально возможный суммарный бал*100

Забегая вперед, стоит отметить, что максимального балла не набрал ни один из исследуемых мессенджеров.

Результатом исследования стал рейтинг всех популярных современных мессенджеров, представленный в таблице выше. По оценке специалистов, самыми защищенными мессенджерами являются Threema, Wickr и Signal. Наименьшей степенью защиты обладают VK, GroupMe и IMO. Разберем подробно, какие функции данных мессенджеров привели к такой позиции в рейтинге каждого из них.

Threema

На первом месте с оценкой 94.3 оказался мессенджер Threema. Почему именно он занял лидирующую позицию в рейтинге?

  1. Данный мессенджер можно использовать анонимно, не привязывая к аккаунту номер телефона или электронную почту.
  2. В приложении можно установить PIN-код, либо использовать системную блокировку (графический ключ, отпечаток пальца). Соответственно, при попадании разблокированного устройства в чужие руки прямой доступ к приложению будет закрыт.
  3. Кроме того, в Threema есть возможность установить пароль на доступ к локально хранимым данным мессенджера, который будет использоваться только в шифровании основных данных приложения. Соответственно, не зная пароль, даже имея полный доступ к устройству, расшифровать данные приложения будет невозможно. Иными словами, в Threema можно установить пароль для шифрования главного ключа, который необходимо вводить при каждом перезапуске приложения. Помимо этого, в данном мессенджере есть PIN-код, который блокирует доступ к экрану приложения.
  4. Мессенджер имеет функцию Threema Safe, которая позволяет создавать шифрованные резервные копии базовой информации об аккаунте для последующего восстановления аккаунта на другом устройстве, либо при переустановке приложения. Отметим, что данные резервные копии идут в облако. В таком случае необходимо задать отдельный пароль для Threema Safe, который будет использоваться при шифровании резервных копий. Указанная функция не обязательна и её можно отключить, исключая возможность восстановления аккаунта из облака. При отключении все существующие резервные копии удаляются.
  5. Приложение позволяет создавать локальные резервные копии, в которые входят сообщения и файлы. Для локальных резервных копий необходимо задать специальный пароль, с помощью которого они будут шифроваться.
  6. В Threema отсутствует функция двухфакторной аутентификации, именно поэтому данный мессенджер не получил максимальный балл по критерию "авторизация".
  7. Сквозное шифрование в приложении работает по умолчанию для обычных и групповых чатов. Но также Threema создает приватные чаты с доступом по PIN-коду, а также обладает возможностью верификации собеседника. Следует отметить, что в данном мессенджере отсутствуют дополнительные функции для чатов (автоматическое удаление сообщений через определенное время, запрет скриншотов чата и пересылки сообщений), поэтому Threema не получил максимальный балл по критерию "сквозное шифрование и безопасность чатов".
  8. Несмотря на закрытый проприетарный код, регулярно проводятся независимые аудиты безопасности, для которых руководство Threema предоставляет полный доступ к исходному коду приложений. Последний аудит проводился в марте 2019, серьезных уязвимостей не найдено, а мелкие исправлены.
  9. На серверах Threema хранится минимальное количество информации о пользователе – только номер телефона и E-mail. Синхронизировать список контактов не обязательно.

Wickr

Вторую позицию с оценкой 85 занял мессенджер Wickr. Какими особенностями он обладает?

  1. Wickr можно использовать полностью анонимно (по логину и паролю), номер телефона привязывать не обязательно.
  2. В приложении есть возможность блокировки экрана с доступом по паролю авторизации либо отпечатку пальца.
  3. Функция двухфакторной аутентификации доступна в версиях приложения с платной подпиской.
  4. Сквозное шифрование работает по умолчанию для обычных и групповых чатов. Мессенджер обладает возможностью верификации собеседника, а также функцией автоматического удаления сообщений через заданное время и запретом на скриншоты чата.
  5. На серверах Wickr хранится минимум информации о пользователе, особенно если не давать приложению доступ к списку контактов и не прикреплять номер телефона.
  6. Отсутствуют облачные и локальные резервные копии, что исключает возможность их кражи.
  7. Desktop-клиент по умолчанию поддерживает сквозное шифрование для всех чатов и шифрует основную базу данных на основе пароля авторизации. Но если пользователь desktop-версии выставит настройку «запомнить пароль», то расшифровать его базу данных с сообщениями и основными данными будет возможно, используя лишь данные приложения. Двухфакторная аутентификации доступна только в версиях приложения с платной подпиской, также, как и в мобильном приложении.

Signal

Третье место с оценкой 82.50 занял популярный мессенджер Signal.

  1. В нем можно блокировать доступ к экрану приложения, используя системную блокировку устройства по паролю/отпечатку.
  2. Помимо этого, сервис обладает функцией двухфакторной аутентификации.
  3. В мессенджере отсутствует анонимность, то есть номер телефона необходимо привязывать обязательно.
  4. Сквозное шифрование работает по умолчанию для обычных и групповых чатов. Имеется возможность верификации собеседника, но нет уведомлений о необходимости верифицировать нового собеседника. При этом есть уведомление об изменении секретного кода собеседника, например, когда он меняет устройство.
  5. Приложение имеет функцию автоматического удаления сообщений через заданное время и запрет на скриншоты чата, но не имеет скрытых/заблокированных чатов с доступом по PIN-коду.
  6. В Signal отсутствуют облачные резервные копии, а локальные шифруются на основе 30-значного кода.
  7. Слабым местом мессенджера является его desktop-версия. Несмотря на то, что мобильная версия поддерживает двухфакторную аутентификацию, в desktop-клиенте её нет. Также нет возможности заблокировать экран приложения. Основная база данных, хранящая сообщения и прочую информацию пользователя, зашифрована, но ключ шифрования находится в соседнем файле в текстовом формате.

Такими чертами характеризуются лидеры нашего рейтинга. Почему же VK, GroupMe и IMO занимают последние позиции? Рассмотрим подробнее.

VK

Одним из менее защищенных является приложение VK. Специалисты нашей компании поставили ему оценку 42.5. Выясним, почему.

  1. VK не предполагает анонимности, при регистрации необходимо указать номер телефона.
  2. В приложении отсутствует возможность установить пароль/PIN-код блокировки, чтобы защитить приложение от прямого доступа к его данным (как в мобильной, так и в desktop-версии).
  3. Нет функционала сквозного шифрования ни в каком виде и ни для каких чатов.
  4. Все данные о пользователях и переписки хранятся на серверах VK.

GroupMe

Еще менее защищенным мессенджером оказался GroupMe с оценкой 40.

  1. В нем нет анонимности, для регистрации необходимы и электронная почта, и номер телефона.
  2. Приложение не имеет возможности установить пароль/PIN-код блокировки (как в мобильной, так и в desktop-версии), чтобы защитить приложение от прямого доступа к его экрану.
  3. Отсутствует сквозное шифрование.
  4. Все данные о пользователях и переписки хранятся в облачном сервисе.
  5. В desktop-версии мессенджера история сообщений и данные пользователя хранятся в открытом виде.

IMO

Ну и напоследок, самым небезопасным и незащищенным оказался мессенджер IMO. Его оценка всего лишь 32.5. Это практически в три раза меньше оценки мессенджера Threema. Почему такой большой разрыв?

  1. Регистрация и использование сервиса не предполагает анонимности, аккаунт привязывается к номеру телефона.
  2. Кроме того, в IMO отсутствует возможность установить пароль/PIN-код блокировки, чтобы защитить приложение от прямого доступа к его экрану.
  3. Нельзя установить пароль для защиты локально хранимых на устройстве данных, на случай полного доступа к устройству или его физическому образу посторонних лиц.
  4. Нет функции двухфакторной аутентификации, а значит нет дополнительной защиты от кражи аккаунта.
  5. Отсутствует сквозное шифрование.
  6. Все данные о пользователях и переписке хранятся на серверах IMO.
  7. Данные об аккаунте, контактах и истории переписок сохраняются в резервных копиях iTunes, в том числе в нешифрованных.
  8. Нет двухфакторной аутентификации в desktop-версии, как и другой доп.защиты (блокировки экрана).
  9. После удаления приложения IMO для iOS, при последующей его установке и запуске, оно автоматически авторизуется в последнем использованном аккаунте, без подтверждающих смс и звонков, даже автоматически подставляется раннее привязанный номер. Такой сценарий работает и в случае перезагрузки устройства после удаления приложения и последующей его установки.

Подводя итог, хочется отметить, что сегодня на рынке представлены десятки различных мессенджеров. Многие из них позиционируются как безопасные и защищенные, однако, как выяснилось, на практике это далеко не так. Мы провели исследование наиболее популярных мессенджеров и выяснили, какие из них, действительно, являются защищёнными, а какие только пускают пользователям «пыль в глаза» рекламными слоганами и обещаниями.

Что будет в дальнейшем и как поменяется положение мессенджера в нашем рейтинге, неизвестно. Но на сегодняшний день рейтинг мессенджеров, представленный в таблице, является актуальным.

Следите за новостями на нашем канале, чтобы своевременно узнать о том, что сервис общения, которым вы пользуетесь, вдруг начинает терять свои позиции по безопасности или же наоборот улучшает их.