Суд оштрафовал Telegram за отказ сотрудничать с ФСБ
Пруф: https://news.yandex.ru/yandsearch?cl4url=ria.ru%2Fincidents%...
Whatsapp хранит переписку на смартфоне в открытом виде
Disclaimer:Однажды, почти случайно, залез я посмотреть что хранит Whatsapp в своих базах данных на смартфоне. Изначально цель была не эта, но потом стало интересно.
Пост несёт сугубо информативно-познавательный характер, не несёт в себе призывов к действию. За рейтингом не гонюсь, можете минусить, но советую сначала прочесть
Мой смартфон — на андроиде. Поскольку есть рут и я не боюсь экспериментов над своим девайсом, мне не составляет труда изредка пользоваться приложением, название которого я не назову :) Во-первых, это может спровоцировать кого-то на неразумные действия в чей-то адрес, а такую ответственность брать на себя мне не хочется, а во-вторых, пикабушники люто не одобряют рекламные (либо похожие на таковые) посты.
Приложение позволяет на рутованном андроиде включать и отключать разные компоненты других приложений, например, выключить активность ("окно"), которое отображает полноэкранную рекламу, либо выключить сервис, в фоне отправляющий какую-то инфу чёрт знает кому. А также даёт просматривать и изменять хранимые другими приложениями данные в их базах данных.
В андроиде есть встроенный механизм баз данных (на движке SQLite). Мулечка в том, что любое приложение может иметь БД в защищённом хранилище системы, где будет накапливать и хранить свои данные. Это если на пальцах объяснять, более опытные разработчики могут внести дополнения в комментах.
Я не силён в шифрованиях, устройстве мессенджеров и шизой на тему информационной безопасности не страдаю. Однако обнаружил любопытную вещь.
После появления Телеграма, Whatsapp начал хвастаться сквозным шифрованием. Даже если оно есть по факту и работает, то почему в БД этого месссенджера хранятся все данные в открытом виде и никак (от слова совсем) не зашифрованы?
Отправляю тестовое сообщение:
Смотрю в базу (БД msgstore, таблица messages):
Список всех баз данных:
Там хранятся различные настройки, которые в рамках данного поста неинтересны.
Список всех таблиц самой интересной БД msgstore:
Если вкратце, тут хранятся служебные данные о чатах, местоположениях и всяком таком.
В том числе — сами переписки.
Список чатов (таблица chat_list). Это тот список контактов, с которыми у вас уже начато общение, и который вы видите в первую очередь, открывая приложение.
Ещё раз покажу таблицу messages — список всех сообщений.
Отображается ИД собеседника (поле key_remote_jid, значения включают номер телефона), само сообщение в открытом виде (data), Unix-метка даты сообщения (timestamp), прямая ссылка на медиа-контент (адрес ведёт на сервера Whatsapp; поле media_url), подпись к медиа-контенту в открытом виде (к фотографии, например; поле media_caption)и много чего ещё.
Поле data пустое там, где вместо чистого текста отправлено, например, фото или состоялся звонок.
Ссылка на медиа примерно следующая:https://mmi652.whatsapp.net/d/кучарандомныхсимволов/кучадруг...
Эту ссылку можно открыть в браузере. Если она действительна, то скачивается файл file.enc, который, к счастью, зашифрован: это может быть фото, аудио, видео, что угодно ещё. Если ссылка оказывается недействительной, то в браузере ответом будет строка Media object not found.
Ниже таблица messages_fts_content (есть ещё аналогичная messages_fts). Тут тоже сообщения, и они тоже в открытом виде. Предназначение таблицы мне непонятно, ибо детально не разбирался.
Чем это опасно?
Если смартфон попадёт в руки опытного и знающего подлеца, получить все ваши переписки в Whatsapp ему не составит никакого труда. Вообще никакого. Защищены только медиафайлы, которые зашифрованы и хранятся на серверах WA.
К слову, для тех, кто не в курсе: это объясняет тот факт, что после удаления папки Whatsapp из памяти телефона, где хранится кеш фотографий, зашифрованные бекапы чатов и прочее, медиа-контент заново выкачивается при открытии чата.
Послесловие
На закуску — вот что хранит Telegram. Одна БД, предназначенная для сбора статистики об использовании приложения для отправки в Google. И все таблицы этой БД пусты!
Может быть, это общеизвестный факт в кругах (около)айтишников, но знать об этом надо каждому. Подумайте, прежде чем отдавать смартфон, например, в сервисный центр (увы, там часто работают нездоровые идиоты) или подпускать к нему идиота типа меня :)
Всем добра!
БМ сходил с ума от скриншотов.
Какие мессенджеры самые безопасные?
Все задумываются о том, читают ли переписки или записывают все спецлужбы.
Попробуем разобраться, можно ли вести виртуальное общение так, чтобы никакие спецслужбы, не прочитали диалог, а также выясним, какой он – безопасный мессенджер.
Каждое сообщение, неважно, текстовое оно или голосовое, сохраняется локально на устройствах со стороны отправителя, и со стороны получателя. Кроме этого, все то же сообщение, до того как будет доставлено адресату, пройдет дальний маршрут по различным сетям и в придачу пройдет через серверное оборудование. В первом случае историю сообщений можно немного контролировать. Во втором же оказать какое-либо влияние на тайну переписки просто не выйдет. Проблему конфиденциальности, конечно же, можно попробовать решить шифрованием, но в АНБ уже давно научились взламывать даже самые технологичные шифры. К тому же в шифровальных протоколах могут быть уязвимости, о которых знают спецслужбы.
Вот взять, например, известный всем и каждому Skype. Еще 10 лет назад это был удобный, отличный и вполне безопасный мессенджер. Взломать его не могли даже профессионалы из правительственных структур. Но после того как компания перешла в собственность "Майкрософт", очень многое изменилось. Сегодня специалисты по информационной безопасности, к сожалению, не дают гарантий безопасности указанного протокола и системы.
WhatsApp, через который каждый день проходит около 10 миллиардов сообщений, также отнюдь не безопасен, как об этом говорят создатели. О его многочисленных уязвимостях только в версиях приложения для Android каждый день пишут в соответствующих изданиях. Взять хотя бы недавние исследования – в них утверждается, что логи переписки, даже если они зашифрованы, успешно взламываются при помощи небольшого и несложного скрипта. Нет доверия к этому сервису еще и потому, что недавно компанию купила Facebook. Цукерберг заплатил миллиарды за технологии, но не за личную переписку пользователей.
Для начала приведем список, в который попали все те сервисы, защищенность которых не соответствует заявлениям разработчиков или не дает гарантий, что невозможен перехват сообщения на пути к получателю. В обыкновенной жизни использовать эти популярные мессенджеры можно, но для партизанской работы они уже не подойдут
И вот сам список :
Это по своему уникальный продукт. Сообщение выведется на экран смартфона в виде прямоугольников, под которыми скрыт текст. Чтобы прочитать, необходимо провести пальцем по этому прямоугольнику. Программа не хранит историю, поэтому, даже получив доступ к устройству, прочитать что-нибудь очень сложно. Если пользователь захочет снять скриншот в момент общения, то попадет в контакт-лист, а собеседник получит сообщение. Разработчики утверждают, что прочесть все-таки можно, но сохранить – нет. Правда, при желании процесс чтения можно снять на камеру или сделать фото.
Это далеко не изящный, но достаточно амбициозный инструмент. Он обещает, что на устройстве не останется никаких следов истории сообщений – все стирается без возможности восстановления как со смартфона, так и с серверов. Данные надежно защищены «военным алгоритмом шифрования», пользователь может контролировать время доступа к сообщениям, а участники диалога не могут скопировать переписку. Но вот о том, чтобы снять процесс переписки на камеру, которой сегодня не оснащены только утюги, производитель не подумал.
Есть еще одна небольшая деталь. Если не брать во внимание сложный протокол, который заложен в данном сервисе, он не выстоит перед одной очень простой атакой. При регистрации, пользователь получит SMS с кодом активации, если получить доступ к этому сообщению, то не составит никакого труда активировать копию приложения этим чужим кодом. Так злоумышленник может легко читать все сообщения. Чем этот так называемый самый безопасный мессенджер всех времен и народов хорош, так это высокой скоростью работы. Быстрый да, а безопасный ли? Только условно.
Хорошая защищенность: Thremma В этой категории мы постарались разместить те сервисы, уровень защиты которых может гарантировать затрудненный доступ третьих лиц к переписке или истории сообщений. И первый, о ком пойдет речь, - Thremma. Это безопасный мессенджер из Швейцарии, который стал популярным на волне сообщений о продаже WhatsApp. Разработчики гарантируют высокую безопасность за счет шифрования на базе алгоритма Elliptic Curve Cryptography.
В отличии от всех остальных продуктов, данный инструмент для общения бесплатен. Разработчиков хвалил сам Сноуден. Это максимально простой мессенджер без ненужных наворотов. Шифрованию тут подвергаются все сообщения.
Какой мессенджер безопаснее? Наверное, это Signal. Его рекомендует Эдвард Сноуден, а это кое-что значит. Здесь применена система сквозного шифрования, однако кроме отправки файлов и текстовых сообщений можно совершать голосовые звонки. Программа привязывается к телефонному номеру. Это отличный выбор для настоящих параноиков.
P.S. Но в Госдуму в среду внесли законопроект о регулировании работы мессенджеров.
В проекте предлагается устанавливать личность пользователя по номеру его сотового телефона по соглашению с операторами связи. Как сообщает ТАСС, мессенджеры также планируют обязать рассылать обязательные сообщения госорганов, а также по просьбе пользователей ограничивать рассылку.
Также в Госдуму внесен отдельный законопроект о штрафах за несоблюдение мессенджерами новых правил. Нарушители должны будут выплатить, согласно документу, до миллиона рублей.
Источник : https://businessman.ru/new-bezopasnyj-messendzher-obzor-samy...
Telegram отказался шпионить за пользователями
Мессенджер Telegram не будет делиться информацией с правительством или спецслужбами kлюбой страны мира. Заставить разработчиков выдать данные для расшифровки трафика будет сложно, заявили представители мессенджера.
http://www.rbc.ru/technology_and_media/16/05/2017/591adfa99a...
Исследование: Telegram и WhatsApp можно взломать одной картинкой
Взлом, как гласит сообщение в блоге компании, произойдет, если злоумышленник снабдит изображение специальным кодом. Он начинает распространяться как вирус после того, как пользователь откроет присланный файл.
Вредоносный код может получить доступ к контакт-листу получателя и автоматически отправлять зараженную информацию всем, кто находится в этом списке.
Несмотря на то, что Telegram и WhatsApp приняли меры для исправления ситуации, пользователям настоятельно рекомендуется не открывать файлы, присланные от незнакомых собеседников.
http://blog.checkpoint.com/2017/03/15/check-point-discloses-...
«Нас с вами держат за идиотов»: Павел Дуров раскритиковал самый защищённый в мире мессенджер
Международная правозащитная организация Amnesty international составила рейтинг мессенджеров с точки зрения защиты информации пользователей от несанкционированного доступа. На первом месте оказались приложения Facebook Messenger и WhatsApp, на втором – iMessage, FaceTime и Telegram. Основатель Telegram Павел Дуров с такой позицией не согласен.
«Печально видеть неправительственные организации, которые выступают в качестве PR-инструментов для правительств и корпораций», — написал он в своем Twitter.
«Утверждая, что Facebook, в который поступает более 100 000 запросов от спецслужб ежегодно, является самым конфиденциальным мессенджером, организация Amnesty International должна принимать общественность за идиотов», – добавил Дуров.
В рейтинг Amnesty international попали 11 компаний с 16 мессенджерами. Только у шести мессенджеров по умолчанию включено end-to-end шифрование, при котором ключи от переписки хранятся только у собеседников. Так работают WhatsApp, iMessage, FaceTime, Duo от Google, Line и Viber.
Авторы рейтинга подчеркивают, что в Telegram шифрование end-to-end не включено по умолчанию. Однако основатель мессенджера Павел Дуров говорил, что мессенджер никогда не передает информацию третьим лицам, включая чиновников.
QQ и WeChat оказались внизу рейтинга, поскольку не предупреждают пользователей о возможных угрозах, не выражают приверженности свободе выражения мнений и у них нет end-to-end шифрования.
Работа пяти мессенджеров противоречила публичной политике их компаний-владельцев. Microsoft говорит об обязательстве соблюдать права человека, но не применяет end-to-end шифрование в Skype.
Сноуден не советует пользоваться новым сервисом Google
Бывший сотрудник Агентства национальной безопасности США Эдвард Сноуден советует не пользоваться Allo, новым смарт-мессенджером от Google.
«Скачать бесплатно сегодня: Google Mail, Google Maps и Google Surveillance. Теперь и Allo. Не используйте Allo», — написал Сноуден в своём Twitter, после чего посоветовал использовать или Tor, или Signal.