USD/RUB 74.01
EUR/RUB 89.85
EUR/USD 1.2141
10.03.2021, среда, 18:35
 

Forbes: не надо пользоваться приложением Android Messages

Приложение для обмена сообщениями на экране смартфона
Перед сотнями миллионов пользователей операционной системы «Андроид» по всему миру встала серьезная проблема, и о ней по идее должна была предупредить мощная волна критики, прокатившаяся по приложению «Вотсап» (WhatsApp) в январе. Однако этого не произошло: ей уделяется на удивление мало внимания, хотя она подвергает риску вас и ваши личные данные. Вот что вам нужно знать.
Эта неделя принесла пользователям «Андроид месседжис» (Android Messages) отличные новости: теперь вы можете запланировать отложенную отправку текстов — по словам «Гугл», это «еще больше улучшит ваше общение и поможет вам оставаться на связи». Он же сообщает, что «полмиллиарда человек во всем мире ежемесячно используют „Андроид месседжис" для беспрепятственного и безопасного общения с семьей, друзьями и другими пользователями». Беспрепятственного — да. Но безопасного ли? Не факт.
Ни с того ни с сего в 2021 году все запоздало заинтересовались безопасностью и конфиденциальностью (ну, или их отсутствием) в приложениях для обмена сообщениями, которыми все пользуются каждый день. «Вотсап» досталось за масштабный сбор данных и внутренние ссылки на владельца — компанию «Фейсбук». «Мессенджер» раскритиковали за различные нарушения безопасности и конфиденциальности. А «Аймесседж» (iMessage) [компании «Эппл»], наоборот, похвалили за новые достижения в защите пользовательской базы «Эппл».
Единственная платформа, что ускользнула от столь пристального внимания, — это «Андроид месседжис» от «Гугл», что весьма удивительно при сотнях миллионов пользователей. Если вы пользователь «Андроида», то, скорее всего, это ваш вариант по умолчанию. Если это не так, и вы пользуетесь «Самсунг месседжис» (Samsung Messages), то читайте дальше: эти серьезные проблемы вас тоже касаются.
«Андроид месседжис», «Самсунг месседжис» и их аналоги — это просто клиенты СМС-сообщений, которые теперь обновляются до «Обширных коммуникационных услуг» (Rich Communication Services) или RCS. По сути это СМС XXI века. Если вы регулярно читаете эту колонку, то наверняка знаете, что по защите данных у СМС-службы полный незачет. И если вы рассчитываете, что RCS эту проблему решит, то подумайте хорошенько. Новехонькая, с иголочки, RCS не намного безопаснее СМС.
Когда «Гугл» ускорил внедрение RCS в 2019 году, немецкая компания SRLabs предупредила, что обновление СМС до RCS без переосмысления безопасности для большинства пользователей смартфонов «чревато риском взлома», потому что RCS-служба «во многих сетях плохо защищена, что позволяет хакерам полностью захватить учетные записи пользователей». Кроме того, «Гугл месседжис» (Google Messages) «не производит достаточной проверки домена и сертификата, что дает хакерам возможность перехватывать сообщения и рассылать подложные благодаря атакам с подменой DNS».
Обновление для RCS-чата в приложении «Андроид месседжис» либо аналогичная функция на платформе «Самсунга» у вас уже наверняка есть. Все возможности приложения «Гугла» для обмена сообщениями будут и на RCS — платформа «Гугл» его поддерживает независимо от вашего оператора связи. На платформе «Самсунга» все немного сложнее, но даже если у вас его еще нет, то скоро появится. Определить, есть ли у вас на телефоне RCS, легко — у этого сервиса возможности шире, чем у СМС. Но хотя может показаться, что RCS — аналог «Аймесседжа» или «Вотсапа», это совсем не так.
Проблема в безопасности сообщений. Вы наверняка слышали споры, бушующие вокруг сквозного шифрования — в конце концов, к этому сводится защита «Вотсапа» от недавней критики. На этой неделе «Вотсап» пошел еще дальше, предупредив десятки миллионов пользователей, мечущихся в поисках альтернативы: «Мы заметили, что некоторые из наших конкурентов пытаются убедить пользователей, что не видят их сообщения, — но если в приложении нет сквозного шифрования по умолчанию, это означает, что все ваши сообщения им доступны».
На первый взгляд, это шпилька в адрес «Телеграм», который, как известно, так и не смог обеспечить сквозное шифрование своих сообщений по умолчанию, хотя (по иронии судьбы) безопасность подается как одно из его главных преимуществ. Но эта же критика в той же степени справедлива как для «Фейсбук мессенджер» (Facebook Messenger), так и для «Андроид месседжис» (и «Самсунг месседжис» тоже) — независимо от того, обновлены ли их приложения до RCS или нет. Я видел, что некоторые технические сайты рекомендуют «Андроид месседжис» как альтернативу «Вотсапу», учитывая недавний шквал критики. Так вот, это очень плохой совет.
Поклонники «Андроид месседжис» отмечают, что «Гугл» наконец-то добавил в свою платформу RCS технологию сквозного шифрования, которая сейчас находится в стадии бета-тестирования. Но здесь слишком много оговорок, чтобы ее рекомендовать. Во-первых, это всего лишь бета-версия, а это значит, что вам и вашим собеседникам придется зарегистрироваться в бета-программе, чтобы ею воспользоваться. Во-вторых, и это гораздо серьезнее, сквозное шифрование в «Андроид месседжис» имеет те же ограничения, что и в «Телеграме».
Как и в «Телеграме», сквозное шифрование RCS от «Гугла» работает только между двумя пользователями (а не в группах!) и только на одном устройстве на человека. Устроено оно проще некуда и не идет ни в какое сравнение с уровнем безопасности «эппловского» «Аймесседжа», «Сигнала» (Signal) или «Вотсапа». Последние два, разумеется, доступны на «Андроиде» и намного лучше RCS. Можете даже сделать «Сигнал» своим мессенджером по умолчанию.
Перед тем, как «Гугл» запустил бета-версию сквозного шифрования, я спросил их, решили ли они отмеченные ранее проблемы безопасности RCS. Они так и не ответили. Но бета-версия слишком ограничена, чтобы снять все вопросы. А там, где RCS «Гугл» перенаправляет трафик из сетевых систем, его безопасность ничуть не лучше, чем у «Фейсбук мессенджера», где ваши данные открыты для платформы.
Как сообщает «Гугл», «функция „гугл-чат" использует для защиты ваших сообщений шифрование TLS. Это значит, что любой, кто попытается перехватить сообщения между вами и „Гуглом", увидит лишь зашифрованный, нечитаемый текст». При этом сам «Гугл» видит всё. А ведь это основной аргумент против «Фейсбук мессенджера», хотя здесь все то же самое.
Важно, чтобы пользователи «Андроид месседжис» понимали эту разницу: жаркие споры вокруг конфиденциальности «Вотсапа» (или ее отсутствия) подчеркивают, что некоторые плохо себе представляют различия в безопасности приложений. И мысль, что «Вотсап» можно сменить на «Андроид месседжис» или «Самсунг месседжис» — серьезный шаг назад. Тем не менее десятки миллионов пользователей стекаются в «Телеграм», хотя с точки зрения безопасности он ничуть не лучше. Я уже предупреждал об этом.
Помимо шифрования есть еще одна причина, почему пора отказаться от приложения «Гугл месседжис». Критика в адрес «Вотсапа» полилась из-за «эппловских» ярлыков конфиденциальности, которые вынуждают разработчиков раскрывать данные, полученные от пользователей. Но вскоре стало ясно, что «Вотсап» сильно отличается от своих аналогов — «Сигнала», «Аймесседжа» и «Телеграма».
Что касается сбора данных, то «Гугл» часто ставят в один ряд с «Фейсбуком». И хотя проверить ярлык конфиденциальности «Андроид месседжис» мы не можем — очевидно, что приложения для iOS нет, — чтобы понять политику сбора данных «Гуглом», достаточно взглянуть на «Джимейл» (Gmail) и сравнить с «Эппл». Как можно догадаться, все очень плохо.
Теперь вернемся к предупреждению насчет «Вотсапа». Если ваши сообщения не зашифрованы, это означает, что платформа может их читать. Так, мы знаем доподлинно, что «Фейсбук» читает содержимое «Мессенджера», чтобы отслеживать нарушения своей политики. «Гугл» может делать то же самое: когда сообщения проходят через его платформу RCS, они шифруются между вашим телефоном и «Гуглом» — но не сквозным. И ключ к этому шифру у «Гугла» есть.
Пока RCS от «Гугла» не предложит сквозное шифрование по умолчанию и не обеспечит аналогичный уровень безопасности группам пользователей, а также обмен сообщениями «один к одному» — это по сути то же самое, что и «Фейсбук мессенджер». И альтернатива от «Самсунга» — тоже.
Итак, что же делать? Надо отказаться от этих приложений в пользу сквозного шифрования. «Вотсап» (по иронии судьбы) вариант предпочтительный, — несмотря на маячащую на заднем плане тень «Фейсбука». В противном случае, учитывая, что «Аймесседж» с его лучшей архитектурой безопасности пользователям «Андроида» недоступен, выбирайте «Сигнал» — это тоже отличный вариант по безопасности с быстрорастущей пользовательской базой.
Вас также может заинтересовать