Основатель Telegram Павел Дуров поделился своей новой статьёй, в которой он рассуждает об опасности использования мессенджера WhatsApp. «Код Дурова» приводит главные тезисы из материала.
Дуров напомнил о том, что несколько месяцев назад писал об уязвимости в WhatsApp, которая позволяла хакерам получать доступ ко всем данным пользователя, на телефоне которого установлен этот мессенджер. По его словам, Facebook тогда уверяли, что доказательств этому нет.
Тем не менее, на прошлой неделе оказалось, что данным бэкдором воспользовались для взлома переписки и фото в телефоне Джеффа Безоса, «который, к сожалению, полагался на WhatsApp», — пишет Дуров:
Поскольку атака, казалось бы, происходила от иностранного правительства, вполне вероятно, что мишенью для неё стало бесчисленное количество других бизнесменов и государственных лидеров. В своём ноябрьском посте я предсказал, что это произойдёт. Теперь ООН рекомендует своим должностным лицам удалить WhatsApp со своих устройств, в то время как людям, близким к Дональду Трампу, рекомендовано сменить телефоны.
Дуров подчеркнул, что, учитывая серьёзность всей ситуации, можно было ожидать извинений со стороны Facebook или WhatsApp, однако вместо этого компания объявила виновной в произошедшем Apple. «Вице-президент Facebook заявил, что была взломана iOS, а не WhatsApp».
Если вы следите за моим блогом, то вы знаете, что я не совсем фанат Apple. У устройств с iOS много своих проблем. Но это не одна из них по двум причинам:
— Уязвимость WhatsApp, связанная с отправкой видеофайлов, присутствовала не только на iOS, но и на Android, и даже на устройствах с Windows Phone. То есть, на всех мобильных устройствах с установленным WhatsApp.
— Эта уязвимость не присутствовала в других приложениях для обмена сообщениями на iOS. Если бы Джефф Безос полагался на Telegram вместо WhatsApp, он не был бы шантажирован людьми, которые скомпрометировали его переписку. Следовательно, проблема была не в iOS, а в WhatsApp.
«В своём маркетинге WhatsApp использует слова „сквозное шифрование“ как некое волшебное заклинание, которое само по себе должно автоматически сделать все коммуникации безопасными. Однако эта технология сама по себе не может гарантировать вам абсолютную конфиденциальность», — Павел Дуров
Telegram внедрил сквозное шифрование за годы до того, как WhatsApp последовал этому примеру, и мы помнили не только о сильных сторонах, но и об ограничениях этой технологии. Другие аспекты мессенджера могут сделать сквозное шифрование бесполезным. Ниже приведены три примера того, что может пойти не так.
Во-первых, есть резервные копии. Пользователи не хотят терять свои чаты при смене устройств, поэтому они создают резервные копии чатов в таких сервисах, как iCloud, часто не понимая, что они не зашифрованы. Об этом говорит тот факт, что компания Apple была вынуждена из-за ФБР отказаться от планов шифрования для iCloud. Это одна из причин, по которой Telegram никогда не полагается на сторонние облачные сервисы резервного копирования. При этом секретные чаты никогда нигде не резервируются.
Во-вторых, есть бэкдоры. Правоохранительные органы не слишком довольны шифрованием, заставляя разработчиков приложений тайно устанавливать уязвимости в своих приложениях. Я знаю это, потому что к нам обращались некоторые из них — и мы отказались сотрудничать. В результате Telegram запрещён в некоторых странах, где у WhatsApp нет проблем с властями, особенно в России и Иране.
«Кто-то может сказать, что WhatsApp всё ещё „очень безопасен“, несмотря на то, что за последние 12 месяцев было обнаружено 7 бэкдоров, но статистически это просто невероятно. Telegram пользуются сотни миллионов людей, в том числе главы государств и крупных компаний, — за последние 6 лет он не сталкивался с такими проблемами»
В-третьих, есть недостатки в реализации шифрования. Как кто-то может быть уверен в том, что шифрование, о котором говорит WhatsApp, на самом деле реализовано в их приложениях? Их исходный код скрыт, а двоичные файлы приложений запутаны, что делает их сложными для анализа. Напротив, приложения Telegram имеют открытый исходный код, а их шифрование полностью документировано с 2013 года. Telegram поддерживает поддающиеся проверке сборки для iOS и Android — это означает, что любой может убедиться, что вы скачали одно и то же — исходный код на GitHub и приложение Telegram. Никакой другой мессенджер не делает этого для обеих мобильных операционных систем, и можно просто начать задаваться вопросом, почему.
Дуров заявил, что не стоит позволять обманывать себя «техническим эквивалентом цирковых фокусников, которые хотели бы сфокусировать своё внимание на одном изолированном аспекте во время выполнения своих трюков в другом месте». По его словам, они хотят, чтобы пользователи думали о сквозном шифровании, как о единственном аспекте обеспечения конфиденциальности, на который нужно обращать внимание. «Реальность намного сложнее», — уверяет Дуров.
Кто-то может сказать, что я, как основатель конкурирующего приложения, могу быть предвзятым, критикуя WhatsApp. Да, это так. Конечно, я считаю, что секретные чаты Telegram гораздо более безопасны, чем любые конкурирующие средства коммуникации — зачем ещё мне разрабатывать и использовать Telegram?
Однако утверждения в этом посте основаны на фактах, а не на личных предпочтениях. И, как и код приложений Telegram, эти факты можно проверить и подтвердить сторонними источниками.
Читать первым в Telegram-канале «Код Дурова»
