Spaceship Blog

Este WhatsApp sigur și care aplicații de mesagerie sunt cele mai sigure?

A scrie că „securitatea devine mai importantă în fiecare an” a devenit atât de evident încât pare aproape demodat. Fiecare organism de guvernare care măsoară criminalitatea cibernetică are statistici care dovedesc că aceasta crește de la an la an, iar cei mai mulți dintre noi probabil simțim acest fapt în mod instinctiv în timp ce privim explozia (uneori) neliniștitoare a AI.

Când ne gândim la date care ar putea fi folosite ca armă împotriva noastră, ne gândim imediat la detaliile cardului de credit, dosarele medicale și chiar adresele noastre — dar rareori ne gândim la istoricul conversațiilor noastre. Și totuși, deschide conversațiile cu cei mai apropiați prieteni ai tăi și îți garantez că vor conține unele, dacă nu toate, dintre aceste detalii personale.

Odată ce deschizi Cutia Pandorei, începi rapid să te întrebi dacă îți pui încrederea în aplicațiile potrivite. La urma urmei, există un motiv pentru care aplicații de nișă precum Telegram au proliferat la începutul anilor 2020. Dar ne grăbim. Să începem prin a privi mai atent cel mai mare pește, WhatsApp.

Cui nu-i place WhatsApp?

WhatsApp. Amploarea sa pur și simplu îți taie răsuflarea.

Este singura aplicație la care mă pot gândi care a încercat — și a reușit — să înlocuiască mesajul text ca opțiunea noastră principală. De-a lungul timpului, au existat câțiva concurenți (BBM de la BlackBerry, cineva?), iar unii ar susține că, și astăzi, iMessage îi face concurență serioasă…

Dar arată-mi pe cineva cu iMessage și îți garantez că are și WhatsApp instalat. Pentru că WhatsApp nu discriminează în funcție de platformă. Natura sa universală este probabil ceea ce a făcut ca WhatsApp să cucerească piața SMS într-un timp relativ scurt. Într-adevăr, „Îți dau un WhatsApp” este acum aproape la fel de omniprezent ca „mesaj” înainte.

Dar este sigură?

Depinde cum definești „sigur”. Confidențialitatea are multe fațete, mai ales când implică ceva atât de nuanțat precum conversațiile. Să analizăm câteva dintre elementele-cheie și apoi să revenim la întrebare.

Criptarea WhatsApp

WhatsApp se laudă cu criptare end-to-end folosind Protocolul Signal. Are sens să explorăm mai întâi acest aspect, deoarece ar putea fi cea mai discutată funcție de securitate a lor, apoi să revenim la întrebarea principală.

WhatsApp folosește Protocolul Signal din 2014 (și l-a implementat complet până în 2016). Colaborarea sa cu Signal (mai multe despre ei mai târziu) a fost determinată, chiar și în 2014, de nevoia unei securități mai mari în aplicația lor.

Faptul că WhatsApp a ales un protocol terț dovedește poate că erau, cel puțin parțial, dedicați să facă mai mult pentru securitate. Protocolul Signal înseamnă, în esență, că mesajele, datele și chiar apelurile video/vocale sunt criptate din momentul în care părăsesc telefonul tău și pot doar să fie decriptate de telefonul destinatarului.

Nici măcar WhatsApp nu are cheia de decriptare. Mai mult, ei nu stochează mesajele (dincolo de stocarea temporară a mesajelor care nu pot fi livrate imediat). Pe scurt, mesajele tale rămân niște blocuri ilizibile de text criptat din perspectiva WhatsApp.

Dar, oricât de bine ar suna asta, așa cum am analizat anterior, vine cu câteva avertismente destul de importante. În primul rând, dacă un utilizator raportează un mesaj, acesta va fi trimis moderatorilor WhatsApp, împreună cu câteva mesaje anterioare (probabil pentru context). Așadar, deși trebuie să fie invitați, WhatsApp poate vedea în continuare mesaje pe care ai prefera să rămână private.

Stai… am primit un telefon nou și tot istoricul meu de mesaje era acolo

Acesta este poate cel mai mare defect dintre toate. Dacă folosești WhatsApp pe Android sau iPhone, vei fi încurajat să faci backup mesajelor tale. Dar este posibil ca aceste copii de rezervă să nu fie criptate. Dacă nu sunt, WhatsApp sau chiar Apple/Google ar putea accesa aceste înregistrări dacă li s-ar cere prin ordin judecătoresc sau de către un guvern.

Este destul de ușor de remediat:

  1. Accesează setările WhatsApp de pe dispozitivul tău.

  2. Accesează Chats > Chat Backups

  3. Atinge End-to-end Encrypted Backup

Și, dacă poți, asigură-te că și prietenii tăi fac asta — este nevoie doar de o singură copie de rezervă necriptată.

Advanced Chat Privacy

La începutul acestui an, WhatsApp a început să lanseze Advanced Chat Privacy. Descrisă ca fiind „pentru cele mai sensibile conversații ale tale”, aceasta este menită să „ajute la prevenirea scoaterii conținutului în afara WhatsApp” — orice ar însemna asta. Este orientată în principal către conversațiile de grup mai mari (ceea ce are sens) și îi împiedică pe oameni atât să exporte conversația, cât și să descarce automat atașamentele.

După ce am testat eu însumi această funcție, se pare că permite în continuare capturi de ecran și copierea și lipirea mesajelor, așa că nu sunt pe deplin sigur ce rezolvă. Dacă te îngrijorează conversațiile de grup, mesajele care dispar ar putea fi în continuare o opțiune mai sigură (deși ușor pedantă) pentru un plus de liniște sufletească.

Criza metadatelor din 2021

Așa cum am menționat în introducere, începutul anilor 2020 a adus un exod în masă de la WhatsApp către alternative precum Telegram. Nimic nu a fost mai evident decât în 2021, când WhatsApp și-a schimbat politica de confidențialitate.

Modificările au permis WhatsApp să își partajeze metadatele cu compania-mamă, Meta (AKA: Facebook). Această schimbare a fost întâmpinată cu multă ostilitate, parțial din cauza modului în care a fost implementată (o simplă notificare în aplicație, al cărei mesaj era „Acceptă sau pleacă”), și, desigur, din cauza implicațiilor partajării datelor.

Se credea că WhatsApp folosea aceste date suplimentare pentru a-și monetiza și mai mult utilizatorii. De asemenea, le-a permis utilizatorilor business să își stocheze conversațiile cu clienții la terți, ceea ce mulți au considerat că slăbește puțin poziția sa anterioară de neclintit privind criptarea. Companiile puteau (teoretic) să vândă aceste date pentru targetare publicitară și analize.

Ce sunt metadatele?

În cazul WhatsApp, este vorba în esență despre numere de telefon, informații despre dispozitiv, adrese IP, contacte și tipare de utilizare. Luate individual, acestea s-ar putea să nu pară atât de interesante, dar împreună pot oferi perspective destul de detaliate dacă sunt analizate corect.

Jamie, bărbat, 34

  • Petrece timp în Exeter, UK.

  • Interacționează frecvent cu Penhaligons Ltd.

  • Are o proporție semnificativă de prieteni în Londra.

  • Este de obicei activ între 8AM și 10PM (cu siguranță nu asta ar spune, dar pot visa).

În acest scenariu ipotetic, vedem rapid cum WhatsApp poate folosi micile fragmente din metadatele mele pentru a-mi construi un mini-profil. Ignorând orice date pe care le pot colecta de pe Facebook și Instagram, ar putea deja să mă țintească cu reclame:

  • Când este cel mai probabil să fiu activ.

  • Care sunt legate de parfumuri sau săpunuri.

  • Care sunt locale pentru Exeter.

  • Care plantează ideea unei vizite la Londra, inclusiv călătorii, locuri de cazare și lucruri de făcut.

Și toate acestea sunt doar idei foarte superficiale. Nu este greu să ne imaginăm că mă introduc într-un algoritm complex care stoarce până la ultima picătură de valoare monetară din datele limitate pe care le-au colectat de pe WhatsApp. Și asta au realizat mulți în 2021.

Alte preocupări legate de WhatsApp

Plăți și tranzacții

Dacă folosești WhatsApp pentru a procesa plăți, este posibil ca acele tranzacții să nu fie criptate end-to-end în același mod în care sunt conversațiile.

Acest lucru ridică câteva probleme. Plățile în sine nu sunt criptate end-to-end, ci sunt gestionate de bănci terțe. Deși acest lucru în sine nu este neapărat o problemă, dacă dispozitivul tău este compromis de spyware sau malware, criptarea Meta nu te va proteja. Există, de asemenea, îngrijorări că metadatele achizițiilor ar putea fi folosite de Meta pentru a consolida și mai mult profilul personal pe care l-am menționat deja.

Date de grup

Deși datele de grup nu sunt în mod inerent o „problemă”, pe WhatsApp există mai puține opțiuni decât pe alte platforme pentru a-ți ascunde datele personale. Dacă participi la un chat de grup mare în care ai prefera ca numele, numărul și fotografia ta să nu fie vizibile, acesta este un dezavantaj al WhatsApp.

Corupția guvernamentală și a forțelor de ordine

În timp ce mulți s-au îndepărtat de WhatsApp din cauza preocupărilor privind confidențialitatea metadatelor, pentru alții aceasta este doar o parte a poveștii. Pentru unii, o aplicație mai sigură este o necesitate, nu un lux, iar alegerea celei potrivite poate face o mare diferență.

Unele guverne sunt corupte și pot folosi mijloace nefaste pentru a obține sau chiar doar pentru a monitoriza mai multe date decât au dreptul despre cetățenii lor. Dintre cele 5 miliarde de oameni cu acces la internet, 79% trăiesc în țări în care persoane au fost arestate sau închise pentru publicarea de conținut pe teme politice, sociale sau religioase.

Un articol recent sugerează că până și FBI-ul american poate obține considerabil mai multe date din WhatsApp și iMessage decât din Telegram și Signal. Este un material interesant, dar ia-l cu rezerve, deoarece se bazează foarte mult pe o singură sursă.

Având în vedere acest lucru, să aruncăm o privire la unele dintre celelalte aplicații și de ce oamenii care au mai multe de pierdut le-ar putea alege. Un mic spoiler: Toate aplicațiile de mesagerie pe care urmează să le menționăm (cu excepția Telegram) au criptare end-to-end în mod implicit. Fiind standardul de referință în securitatea mesajelor, acest lucru nu este surprinzător, așa că îl vom considera de la sine înțeles și ne vom concentra pe celelalte funcții.

Teoretic, nicio aplicație de mesagerie nu este mai sigură decât alta doar datorită criptării. Cea mai mare parte a diferenței ține de metadate și de modul în care sunt folosite. Așadar, diferențierea în materie de securitate ține în principal de monitorizarea metadatelor, dar mai exact, se reduce la credință — dacă utilizatorii cred că aceste companii ar colabora cu forțe de ordine corupte pentru a preda date pe care nu ar trebui să le predea.

Telegram

Când ne gândim la aplicații alternative, Telegram este probabil în fruntea listei. Totuși, acesta este un caz interesant de percepție versus realitate. Pentru că, dacă ai fost atent mai sus, ai observat că Telegram este de fapt singura dintre cele pe care urmează să le analizăm care nu este criptată end-to-end, bazându-se în schimb pe o metodă de criptare client-server. Asta înseamnă că Telegram chiar le poate decripta, spre deosebire de alte platforme.

Doar Secret Chats pe Telegram beneficiază de criptare completă. Așadar, de ce și-ar fi câștigat reputația de a fi mai sigură (chiar dacă realitatea s-ar putea să nu susțină asta)?

O mare parte ține de marketing. Fondatorii Telegram au subliniat adesea că nu este pentru profit, dar acest lucru nu este același lucru cu non-profit, ceea ce este o distincție crucială.

Totuși, are controale mai „granulare” privind confidențialitatea pe care WhatsApp nu le are. De exemplu, îți poți ascunde numărul de telefon și poți alege cine vede datele de profil — cum ar fi fotografia ta. Există și un mod de administrator anonim pe care îl poți folosi pentru a posta fără a-ți dezvălui identitatea. Așadar, există modalități de a face Telegram mai sigur, dar este mai puțin automat decât te-ai aștepta de la un nume atât de sinonim cu securitatea.

De asemenea, la fel ca WhatsApp, este legată de un număr de telefon. Asta înseamnă că, la un nivel mai profund, comunicațiile tale pot fi urmărite până la tine. Ceea ce este rău dacă chiar ai nevoie să fii incognito. Acesta este un lucru care va deveni mai puțin comun pe măsură ce coborâm în listă.

Poate că, dincolo de aparența de securitate, Telegram a avut mai mult succes datorită comunităților pe care le încurajează și ideii de a putea vorbi liber cu oameni care gândesc la fel. Dar își merită totuși locul ca alternativă la WhatsApp.

Signal

Am menționat deja Signal, deoarece protocolul lor de criptare end-to-end este cel care securizează WhatsApp. A fost cândva recomandat de Edward Snowdon, ceea ce spune multe despre nivelurile sale de securitate. Ca și în cazul WhatsApp, criptarea face imposibil accesul la nivel de server la mesaje.

Cu Signal, ai nevoie de un număr de mobil pentru a te înregistra, dar după aceea poți opta pentru un nume de utilizator, ceea ce face urmărirea mai dificilă. Etosul Signal în jurul securității este puternic și, deși nu este imposibil să urmărești mesajele până la tine, este conceput să fie dificil.

Ceea ce păstrează este, de asemenea, faimos de puțin. Ei știu numărul tău, data la care ți-ai înregistrat contul, când te-ai conectat ultima dată și dacă ești online în prezent. Nu păstrează alte metadate și chiar criptează detaliile despre cui îi scrii folosind Sealed Sender. Serverul știe unde să livreze mesajul, dar nu și cine l-a trimis.

Un mic dezavantaj este că Signal poate fi blocat mai ușor de țări și jurisdicții din cauza modului în care funcționează în culise. De exemplu, s-a confruntat cu blocaje în unele țări, inclusiv Iran și Egipt.

Acest lucru se întâmplă deoareceSignal se bazează pe servere centralizate pentru livrarea mesajelor și înregistrare, ceea ce înseamnă că guvernele pot identifica și bloca acele adrese IP specifice. În al doilea rând, Signal necesită verificare prin SMS sau apel vocal în timpul configurării, oferind furnizorilor telecom șansa de a intercepta sau bloca complet procesul de înregistrare.

Dar Signal este o alegere puternică în majoritatea teritoriilor și, spre deosebire de Telegram, Signal este non profit, ceea ce oferă o anumită liniște în privința motivațiilor lor financiare.

Session

Session este ca Signal pe steroizi. Nu păstrează metadate și, spre deosebire de aplicațiile menționate până acum, nici nu are nevoie de un număr de telefon sau de o adresă de email pentru înregistrare.

În schimb, atribuie dispozitivului tău un ID folosind o combinație inteligentă de cookie-uri și metode de identificare din culise, ceea ce înseamnă că poți rămâne cu adevărat anonim (se aplică termenii și condițiile). În mod similar, elimină serverele pe care celelalte aplicații le folosesc pentru a transfera și procesa fizic datele mesajelor, optând în schimb pentru o structură descentralizată care folosește noduri, într-un mod similar cu browserul TOR.

Asta înseamnă că nu există un computer central care să proceseze datele, ceea ce face lucrurile mult mai greu de urmărit.

Așadar, de ce nu folosim cu toții pur și simplu Session? Ei bine, există câteva dezavantaje. Lipsa serverelor centrale (și dependența de noduri) creează probleme de viteză, atât pentru apeluri, cât și pentru mesajele text.

Identificatorii unici pot prezenta riscuri. Anonimatul are două tăișuri, iar Session facilitează uzurparea identității sau mascarea altor activități malițioase. Nu doar atât, ei sunt și ușor incomozi în majoritatea situațiilor obișnuite. Trebuie să partajezi manual ID-ul tău de sesiune alfanumeric de 66 de caractere, ceea ce poate duce la erori.

Fie că îți plac sau nu, numerele de telefon și riscurile asociate lor vin și cu beneficii — cum ar fi posibilitatea de a găsi ușor prieteni (prin legăturile cu celelalte conturi ale tale) sau pur și simplu simplitatea de a oferi un număr.

Per total, Session este excelentă dacă ai nevoie de anonimat real din cauza unei amenințări iminente, dar este destul de nepractică pentru utilizarea de zi cu zi. Acesta este prețul anonimatului real.

Thunderbolt

Thunderbolt este o aplicație de comunicare axată pe securitate, care pune confidențialitatea pe primul loc într-un mod similar, dar nu identic, cu Session și Signal.

Într-un mod similar cu Session, încearcă să elimine datele tale personale, dar într-un mod ceva mai puțin nepractic. În loc să înlocuiască pur și simplu un număr de telefon sau o adresă de email cu un cod infinit de lung, folosește în schimb un domeniu ca identificator. Acest lucru este semnificativ diferit de o adresă de email, atât în ceea ce privește aspectul, cât și modul în care funcționează. Ca aspect, este partea pe care o introduci într-o bară de adrese, fără nume și simbolul @. Din punct de vedere funcțional, permite o securitate mai bună, rămânând în același timp util și practic ori de câte ori vrei să îl partajezi.

În acest fel, Thunderbolt este și descentralizat. Deși nu folosește „nodurile” complet independente pe care le utilizează Session (optând în schimb pentru servere centralizate mai fiabile), se bazează pe identitatea descentralizată prin proprietatea asupra domeniului. Prin utilizarea DNS, Thunderbolt este și puțin mai dificil de interzis de către țări.

Identitatea bazată pe DNS înseamnă că utilizatorii se verifică prin proprietatea asupra domeniului, care este descentralizată și, prin urmare, mai greu de reglementat (decât sistemele centralizate bazate pe numere de telefon). Blocarea infrastructurii DNS riscă și daune colaterale — guvernele ar trebui să intervină în rezolvarea domeniilor în sine, ceea ce ar putea perturba servicii și site-uri fără legătură. Nu merită cu adevărat riscul.

Niveluri mai mari de anonimat pot fi obținute cu Thunderbolt dacă optezi pentru un domeniu Handshake sau ENS. Acesta folosește o rețea descentralizată de tip blockchain care pune anonimatul în centrul procesului de înregistrare a domeniului. Spre deosebire de Session, poți fi nelistat și totuși să îți partajezi cu ușurință domeniul (identificatorul).

Un beneficiu suplimentar al acestei metode, care nu este comparabil cu celelalte aplicații, este că DNS face și mai dificilă uzurparea identității tale. Numerele de telefon și adresele de email sunt ambele notorii pentru cât de ușor pot fi falsificate. Deoarece un cont de domeniu va fi de obicei protejat prin autentificare în doi factori (2FA) și o parolă puternică, acesta devine în mod inerent mai sigur și mai greu de compromis sau falsificat.

Thunderbolt combină acest sistem unic de ID cu valori fundamentale de securitate și confidențialitate. Prin urmare, ar putea fi văzut ca un scenariu „ce e mai bun din ambele lumi”, oferind ce e mai bun din anonimat, fiind în același timp accesibil și având livrare rapidă.

Deși Thunderbolt păstrează niveluri similare de metadate ca Signal, afirmă clar că aceste date nu vor fi niciodată monetizate sau folosite în alt mod.

Prezentat sub formă de tabel

Au fost multe de analizat, așa că am condensat punctele principale într-un tabel util.

Aplicație

Puncte forte

Puncte slabe / Avertismente

Telegram(Secret Chats)

• Criptare end-to-end opțională• Funcții precum mesajele care se autodistrug și setări granulare ale permisiunilor de profil.

• Conversațiile obișnuite nu sunt criptate end-to-end în mod implicit• Percepția poate masca slăbiciunile• Unele metadate sunt păstrate

Signal

• Criptare end-to-end în mod implicit• Păstrare minimă a metadatelor• Non-profit și etos clar

• Necesită număr de telefon pentru înregistrare• S-a confruntat cu blocaje temporare în țări precum Iran și Egipt din cauza modului în care funcționează• Unele metadate sunt păstrate

Session

• Nu este necesar număr de telefon sau adresă de email• Servere descentralizate• Anonimă prin design

• Livrare mai lentă a mesajelor; funcții limitate• Partajare relativ complexă a ID-ului

Thunderbolt

• Criptare end-to-end în mod implicit• Identificator de domeniu securizat prin DNS robust• Politică de confidențialitate și etos clare.

• Aplicație nouă cu o bază limitată de utilizatori• Unele metadate sunt păstrate

Care aplicație este cea mai sigură?

Dacă reducem totul la esență, majoritatea aplicațiilor se laudă cu un anumit grad de confidențialitate, iar restul ține de încrederea individuală pe care o ai în companie. De măsura în care ai crede că ar putea coopera cu forțe de ordine sau guverne corupte.

Toți cei care ne ținem cu mândrie diplomele în True Crime de la Netflix știm că nici cea mai puternică criptare din lume nu te protejează dacă cineva ți-a compromis dispozitivul sau pur și simplu ți-l ia. În aceste situații, adesea sunt analizate mult mai multe decât mesajele. Așadar, aplicațiile de comunicare și beneficiile lor de securitate sunt întotdeauna relative la lumea mai largă în care trăiești și reprezintă doar o parte a ecuației.

Pentru majoritatea dintre noi, este mai degrabă vorba despre monetizarea datelor noastre decât despre transformarea lor în arme, iar o simplă trecere la ceva precum Signal sau Thunderbolt îți poate consolida securitatea fără dezavantajele aplicațiilor de mesagerie mai restrictive.

Întrebări adresate frecvent

Depinde ce înțelegi prin sigur. Este criptată end-to-end, ceea ce înseamnă că WhatsApp, ca companie, nu poate decripta (și, prin urmare, nu poate vedea) mesajele. Cu toate acestea, WhatsApp păstrează multe metadate despre activitățile tale, care pot fi monetizate și folosite pentru a-ți afișa reclame.

Da. Este ușor de făcut și remediază o vulnerabilitate care altfel îți poate compromite securitatea. Accesează setările WhatsApp de pe dispozitivul tău. Accesează Chats > Chat Backups Atinge End-to-end Encrypted Backup

Contrar percepției multor oameni despre Telegram, nu este cea mai sigură aplicație. De fapt, nici măcar conversațiile nu sunt criptate end-to-end în mod implicit, ceea ce înseamnă că ar putea fi citite de companie. Cu toate acestea, își subliniază poziția privind confidențialitatea și securitatea și reprezintă o alternativă solidă la WhatsApp, cu funcționalitate similară și controale mai granulare pentru datele de profil.

Signal este criptată end-to-end și îți permite să selectezi un nume de utilizator în loc să folosești un număr de telefon sau o adresă de email (deși este necesar un număr de telefon pentru înregistrare). Este considerată una dintre opțiunile mai sigure, fără a adăuga complexitate utilizării sale. Totuși, Signal a fost interzisă în anumite țări.

Session este considerată una dintre cele mai sigure aplicații de mesagerie existente. Poate permite un anonimat aproape total și nu necesită un număr de telefon sau o adresă de email pentru înregistrare. În schimb, folosește dispozitivul tău în sine. Acest lucru poate duce la unele dificultăți în găsirea prietenilor. Este și descentralizată, ceea ce înseamnă că mesajele tale nu sunt transmise folosind servere (ci noduri), dar acest lucru cauzează unele probleme de viteză. Din cauza acestor factori, dacă nu ai nevoie de confidențialitate extremă dintr-un motiv întemeiat, Session ar putea fi puțin incomodă.

Thunderbolt folosește criptare end-to-end și a fost creată ca o soluție de mesagerie orientată spre securitate. Are avantajul suplimentar de a folosi domenii în locul numerelor de telefon și adreselor de email, beneficiind astfel de siguranța suplimentară inerentă sistemului DNS. Este rapidă și folosește un identificator ușor de reținut (un nume de domeniu), deci este ușor de partajat. Acest lucru o face o soluție ideală pentru persoanele care vor să fie atente la securitate fără dezavantajele unor aplicații precum Session.


Articole sugerate

Împărtășiți-vă gândurile

Sunt necesare mai mult de 10 caractere.
Identitatea dumneavoastră pentru afișare publică.
Furnizarea adresei dumneavoastră de email este opțională. Nu va fi partajată cu terți.

Ajutați-ne să îmbunătățim blogul nostru

Împărtășiți-vă gândurile într-un sondaj rapid de două minute.

Este necesară o adresă de email validă