Прочитал на днях статью на Хабре «Разрешения MAX** для Android. Сравниваем с Telegram* и WhatsApp*» пользователя Chumikov, в которой он подсветил интересный сервис Exodus Privacy. И решил немного сам с ним поковыряться.

Chumikov сосредоточился на сравнении 2 самых популярных мессенджеров* в РФ и одного куска кода для дистанционной слежки**, который маскируется под мессенджер. Мне же было интересно поместить всю ситуацию в более широкий контекст.

Для этого были взяты 2 списка мессенджеров. Первый из статьи «Альтернатива WhatsApp* и Telegram*: полный гид по децентрализованным чатам» с сайта SecurityLab, который принадлежит Positive Technologies. Второй был взят из таблички, которая создана прогером du82 (GitHub, сайт).

В итоге получился список из 32 мессенджеров. Всякие Grindr DMs*, Instagram DMs*, Twitch DMs* были выкинуты, так как не являются самостоятельными Android приложениями. Так же не был включен Cabal*, так как у этого проекта нет Android приложения.

При рассмотрении протоколов со множеством клиентов выбирался самый популярный проект с Android-клиентом.

Трекеры и разрешения брались из сервиса Exodus Privacy. Сведения для MAX** были взяты из статьи Chumikov'а (59 разрешений) и из комментария BarredEwe (4 трекера) под статьей «Технический разбор Max**: что внутри APK».

Количество скачиваний всего – по Google Play.

Количество скачиваний за последние 30 дней – по Sensor Tower.

Что вышло в итоге

Табличка на 32 строки.

Везде, где в столбце «Количество скачиваний за последние 30 дне» указано 5000 на самом деле это <5000.

Дальше можно перечислить находки, которые я лично для себя вынес из получившийся таблички.

Список из ТОП-5 самых популярных и относительно приватных мессенджеров

Если итоговую табличку отсортировать по параметру «Разрешения» от меньшего к большему, а потом по параметру «Трекеры» от меньшего к большему, то увидим такую картину:

Всего 10 мессенджеров. Если из них выделять 5 хотя бы немного популярных (на фоне WhatsApp*, FB Messenger*, Google Messages*, Snapchat* и Telegram* с их миллиардными установками за все время и миллионными установками за месяц), то увидим следующее:

1. Session*: 0 трекеров, 35 разрешений, 1.000.000 скачиваний всего, 200.000 скачиваний за месяц.

2. Briar*: 0 трекеров, 18 разрешений, 1.000.000 скачиваний всего, 90.000 скачиваний за месяц.

3. Threema Work*: 0 трекеров, 44 разрешений, 1.000.000 скачиваний всего, 6.000 скачиваний за месяц.

4. Wire*: 0 трекеров, 26 разрешений, 1.000.000 скачиваний всего, <5.000 скачиваний за месяц.

5. Delta Chat*: 0 трекеров, 43 разрешений, 500.000 скачиваний всего, 7.000 скачиваний за месяц.

Какие основные плюсы у этой пятерки?

1. Session*: сквозное шифрование, децентрализован, не требует привязки по номеру или почте, работает через схожую с TOR «луковичную» сеть, открытый исходный код, не собирает метаданные, не запрашивает доступ к контактам, людей можно добавлять через QR-код, доступны аудио и видео звонки (с меньшим уровнем приватности, чем текстовые сообщения). Сведения взяты из статьи.

2. Briar*: сквозное шифрование по умолчанию для всех сообщений, децентрализован, не требует привязки по номеру, удобен прежде всего для общения с теми, кого вы уже знаете лично (нет функций для поиска новых и старых друзей для общения; не запрашивает доступа к списку контактов), открытый исходный код, только текстовые сообщения (без видео и аудио), может работать с выключенным инетом через Wi-Fi или Bluetooth, добавление контактов возможно через отправку QR-кодов по почте или сканированию их при физической встрече, синхронизация сообщений после выхода из офлайн режима осуществляется через отдельное приложение Briar Mailbox*. Сведения взяты из статьи.

3. Threema Work*: сквозное шифрование, не требует привязки по номеру или почте, текстовые, аудио и видео сообщения, передача файлов, открытый исходный код, не собирает метаданные, сообщения и контакты хранятся на устройстве, небольшой набор метаданных хранится на серверах компании короткий промежуток времени, нужный для передачи сообщения. Основной минус – оно платное (6 евро единоразово за Threema Private*, 3 евро ежемесячно за Threema Work*). Сведения взяты из статьи.

4. Wire*: сквозное шифрование, открытый исходный код, требует привязки по номеру или почте, регистрирует метаданные пользователя на серверах разработчика (список контактов внутри Wire* в незашифрованном виде), ориентирование на корпоративных клиентов, а не частные лица, соответствует GDPR (регламент ЕС о защите персональных данных), клиенты под все популярные ОС (Android, iOS, macOS, Windows, Linux ), сообщение хранится на сервере компании только если нужно подождать пока адресат войдет в сеть и удаляется сразу после этого. Сведения взяты из статьи.

5. Delta Chat*: сквозное шифрование, отправка сообщений через почтовые сервисы (требуется аккаунт на том или ином почтовом сервисе с протоколами IMAP и SMTP), позволяет отправлять сообщение человеку не на другой клиент Delta Chat*, а просто на почтовый ящик (в этом случае страдает шифрование сообщений), децентрализован (своего сервера нет, но нужны почтовые сервера), метаданные хранятся у пользователя и у выбранного почтового провайдера, открытый исходный код, только текстовые сообщения (без аудио и видео). Сведения взяты из статьи.

Подводя итоги по этой пятерке:

Session* выглядит как все то, что было обещано Павлом Дуровым и его Telegram*, но +- реализованное и без подарочков в виде 2d-иконок в стиле Одноклассников.

Briar* выглядит как максимально приватное решение для человека, который любит игру Deus Ex и роман «Младший брат» Корри Доктороу. Приватный, защищенный, красноглазо-пердольный, твой.

Threema* и Wire* выглядят как более централизованные и корпоративные по духу решения, но все еще менее централизованные чем привычные WhatsApp*, Telegram* или, прости Господи, MAX**. Threema* в качестве скрытой опции предлагает твердую уверенность, что у вашего собеседника в кармане есть хотя бы 3 евро.

Delta Chat* предлагает интересную философию с «паразитированием» на почтовых сервисах, но вся приватность проекта в конечном итоге упирается в приватность почтовых серверов. Вероятно, можно развернуть домашний почтовый сервер и общаться через него, но не легче ли тогда посмотреть в сторону Matrix* или XMPP*, которые так же позволяют развернуть домашний сервер? Возможно, разработчику стоило бы подумать в сторону создания такой связки домашнего почтового сервера (специально оптимизированного под быстрый обмен сообщениями и простой в настройке и разворачивании) + уже существующего клиента.

Интересные наблюдения по странам

Если сначала отсортировать мессенджеры по «Количеству скачиваний всего», от большого к меньшему...

А потом сделать так же, но уже от меньшего к большему...

То мы увидим, что в десятке наиболее «жирных» мессенджеров 7 головные офисы находятся в США, а в десятке наиболее «тощих» на аудиторию мессенджеров 7 головные офисы находятся в ЕС (4 в Британии, 2 в Германии, 1 в Швеции).

Заодно видно, что с ростом аудитории в среднем резко возрастает количество трекеров и разрешений в клиенте.

Если построить круговую диаграмму по странам, то выйдет такая картина:

С США все понятно (Силиконовая долина, «The land of opportunity, cousin!», большой размер экономики). Со Швейцарией тоже все относительно понятно (можно почитать объяснение в блоге Proton Mail*), но вот Британия – это реально загадка. Из этой страны вышло аж 6 маленьких в плане аудитории мессенджеров, которые нацелены на приватность. Окей, пусть даже 5, если вычесть некого Evgeny Poberezkin из Simplex chat*.

Британцы восприняли близко к сердцу «1984» задолго до Online Safety Act? Похоже на то.

И еще удивительно, что нет мессенджеров из Франции. Из Британии, Швейцарии и Германии мессенджеры есть, а из Франции (3 экономика ЕС, если забыть про Брекзит) – нет.

Интересные наблюдения по годам

За последние 5 лет появилось 6 новых мессенджеров, а за период с 2004 по 2019 – 26.

То есть за последнюю пятилетку выходило в среднем 1,2 мессенджера в год, а за предыдущие 3 пятилетки – 1,74.

Вероятно, всплеск 2014-2016 годов (9 новых мессенджеров за этот период) случился из-за откровений Сноудена в 2013 и покупки WhatsApp* Цукербергом в 2014. Люди внезапно узнали про PRISM, кто-то узнал или вспомнил про USA Patriot Act 1-2, что такое сквозное шифрование (которого у WhatsApp* не было до 2016 года), а ведь все это было до скандалов с Cambridge Analytica...

Можно предположить, что в начале рынок заполнялся «хоть какими-то» мессенджерами, потом пошел запрос на приватность и анонимность, но, судя по всему, к текущему моменту исчерпан (удовлетворен) и этот запрос. А маркетологи и инженеры не могут придумать чего-то взрывного и меняющего правила игры настолько, чтобы перетянуть пользователей к себе из уже существующих сервисов. Отсюда мы видим снижение темпов появления новых мессенджеров на рынке.

Ограничения данной статьи и ее выводов

1. Количество мессенджеров. Очевидно, что учтены не все. Может быть есть какие-то мессенджеры из Африки или Латинской Америки, о которых мы просто не знаем? Или из Азии?

2. Ограничения Exodus Privacy. Неизвестно как работает этот сервис (надо изучать). По MAX** видно, что он выдает разные значения на сайте и через приложение (Telegram*: 72 разрешения через приложение, 71 через сайт; WhatsApp*: 85 разрешений через приложение, 83 через сайт).

3. Ограничения Sensor Tower и GooglePlay. Аналогично. Хорошо бы изучить как они ведут свой подсчет скачиваний.

Возможности для дальнейшего исследования данной темы

Самое главное что пришло в голову.

Хорошо бы, если нашелся человек, который не поленился бы поставить эти 32 мессенджера на телефон (или на эмулятор, если там все будет норм работать), проверил клиент каждого мессенджера через Exodus Privacy, вынес бы куда-то во внешний текстовый файлик обнаруженные разрешения по каждому мессенджеру, и уже потом попытался найти пересечения этих 32 множеств.

Это позволило бы установить «джентельменский набор» или «меньшее зло»: список разрешений, которые можно ожидать увидеть у мессенджера, и наличие которых можно расценивать как некую статистическую «норму».

И уже отталкиваясь от этого списка «нормальных» разрешений можно посмотреть на разрешения MAX** или любого другого мессенджера.

Хотя здесь, вероятно, потребуется анализ со стороны опытного Android-разработчика (или нескольких), чтобы он давал свои комментарии по ходу дела.

Выводы

1. Новый европейский децентрализованный мессенджер с маленькой аудиторией – твой бро.

2. Старый американский централизованный мессенджер с большой аудиторией – не твой бро.

3. MAX** пока выглядит как «ни рыба, ни мясо»: у него и не большая аудитория и не маленькая (не Cwtch*, но и не WhatsApp*), разрешений и трекеров у него тоже какое-то среднее количество (не aTox*, но и не WeChat*). Но, учитывая все законодательное и административное давление, которое используется для продвижения этого мессенджера, можно ожидать, что в плане количества трекеров и разрешений MAX**, скорее всего, будет двигаться в сторону WeChat*.

P.s. Если на сайте Exodus Privacy нажать кнопку «Сортировка по количеству трекеров», то увидим, что «почетное» 1 место в этом топе занимает приложение Perfect365 (редактирование фото) с 50+ млн. скачиваний. Трекеров в нем – 56 штук. Это легально вообще?

P.p.s. Еще хотелось бы под конец вкинуть еще пару ссылок на статьи, которые были найдены в процессе написания данного текста. Это статья про MAX** от ОУЗС (какая-то общественная организация, переживающих за образование в РФ), в которой мессенджер рассматривается с юридической точки зрения. Это анализ MAX** на Гитхабе, который уже успел «испариться» с Гитхаба, но WebArchive все помнит. И это две статьи от (раз, два) от SecurityLab про MAX**.

* – уже заблокированный или замедленный признанный террористическим, экстремистским или саксофонистским мессенджер, или пока еще не заблокированный или замедленный признанный террористическим, экстремистским или саксофонистским мессенджер.

** – сделай нас единым.

Первое - он работает внутри сети Tor. Это не то же самое, что пропустить через Tor трафик Telegram: в нашем случае трафик вообще не проходит через выходную ноду. Помимо очевидного end-to-end шифрования, которое необходимо в любом защищённом средстве связи, шифруется ещё и протоколом Tor. Шифрование ведётся также на самом устройстве, открытый текст не покидает самого приложения.

Второе - для регистрации не требуется ни номер телефона, ни электронная почта, вообще ничего. Более того, два пользователя могут быть зарегистрированы под одним и тем же именем: истинное "имя" - это ключ, а своим никнеймом вы выбираете как хотите быть записаны в записной книжке своих контактов.

Третье - добавление контактов осуществляется либо при лично встрече, либо через общего знакомого. Структура приложения не подразумевает дистанционного добавления незнакомца. Это делается для защиты от атаки MitM: вы должны удостовериться, что осуществляете знакомство именно с тем человеком, с которым намереваетесь. Ограничение легко обойти, но это делается на свой страх и риск.

Четвёртое и самое главное: полная децентрализация. В приложении нет самого понятия центрального сервера, все сообщения передаются peer-to-peer. Таким образом, никакие ковровые блокировки, никакие DDoS-атаки, никакие "перегревы серверов", никакие "мы больше не поддерживаем эту версию приложения, обновитесь до незащищённой версии с бэкдором" неприменимы. Можно разве что пытаться блокировать весь Tor, как в Китае, но даже там без особых проблем можно получить мосты для восстановления доступа. И даже в этом случае доступна передача данных по локальным сетям, без доступа к Интернету вообще.

Разумеется, приложение пока что очень сырое, только на Android, не предлагает передачи картинок и файлов, только текст, даже удаление части сообщений не реализовано (только вместе с аккаунтом или контактом), но будьте к нему милостивы: проект очень многообещающий и всем братьям-параноикам советовал бы обратить на него внимание. Никому не нравится, когда чужой читает письма, заглядывая через плечо.