Менее 20% IM-приложений полностью защищают данные переписки своих пользователей. Такие данные приводит исследование Фонда электронных рубежей. Из сорока рассмотренных им мессенджеров только семь соответствуют всем видам безопасности. Как злоумышленникам удается “влезть” в наши приложения и что кроме информации они могут украсть?
IM-клиенты несколько отошли на второй план с широким распространением мобильных телефонов и удешевлением SMS-сообщений. Но с приходом смартфонов стали появляться IМ-приложения, ориентированные на пользователей таких устройств. Эти сервисы даже напоминают социальные сети, поскольку позволяют добавлять фотографию профиля, устанавливать статусы, обмениваться сообщения и файлами.
Особенность мобильных IМ-приложений состоит в том, что в качестве логина они используют номер телефона. Таким образом была решена проблема добавления новых контактов. Как только владелец смартфона вводит новый номер телефона в адресную книгу, новый контакт автоматически переносится в его IМ-мессенджер.
Защита от спама и инфоворов
Из множества IM-приложений рассмотрим информационную безопасность трех самых популярных на сегодня: WhatsApp, Viber, Telegram. Все эти приложения используют клиентсерверную архитектуру, позволяют создавать группы и чаты между двумя собеседниками, а также передавать файлы и местоположение пользователей.
Как воров привлекают большие города, так и интернет-мошенников привлекают популярные приложения. Поэтому все приложения, которые обрабатывают персональные данные пользователей, должны заботиться о максимальной защищенности данных. И чем менее защищено приложение, тем больше в нем рекламы, спама и взломанных профилей и украденной личной информации. Это основные статьи дохода злоумышленников, атакующих IM-мессенджеры. Как же от них защищаются мессенджеры?
Для борьбы с рекламной рассылкой во всех рассмотренных приложениях предусмотрена функция черного списка, куда попадают все спамеры. Однако такая мера теряет свою эффективность при смене номера. Тогда автоматически меняется логин, и все настройки безопасности, в том числе и черные списки, приходится устанавливать заново. Ни в одном из приложений со стороны провайдера сервиса на данный момент не внедрено фильтрации.
Кроме того, даже если внести рекламных спамеров в черный список, рекламные сообщения все равно могут приходить от действительных контактов пользователя — его друзей и знакомых, которые пользуются этим же приложением. А поскольку механизма аутентификации пользователей при добавлении в список контактов в рассмотренных приложениях не предусмотрено, злоумышленник может воспользоваться этим для рассылки рекламы от имени друзей пользователя.
Шифры не спасают
Для защиты пользовательской информации от перехвата и модификации все три приложения шифруют сетевой трафик. Такая защита в приложениях появилась совсем недавно. Раньше большое количество информации — ссылки на файлы, картинки, местоположение — передавалось вообще в открытом виде. Но по мере того, как приложения становились все более популярными, они стали привлекать внимание и исследователей информационной безопасности. Они находили уязвимости и публиковали в открытых источниках. У разработчиков не оставалось выхода, как только исправлять ошибки.
Но даже зашифрованный трафик не исключает взлома профиля и заспамливания ящика. Причина незащищенности проста: все приложения создаются людьми, и человеческий фактор может привести к сбоям в работе приложения. Поэтому всегда существует вероятность возникновения уязвимости, которая позволит украсть у пользователя данные или сделать приложение недоступным. Такие уязвимости могут возникнуть в форме ввода сообщения.
Дело в том, что даже правильно сформированное сообщение при такой уязвимости может вызвать отказ в обслуживании или позволит выполнить произвольную команду, которая выполнится в приложении пользователя — адресата сообщения. В случае отказа в обслуживании или потери личных данных может пострадать большое количество пользователей. Опасность потери личных данных заключается в том, что они могут быть проданы. Самый безобидный способ использования этих данных — показ таргетированной рекламы. Если же происходит отказ в обслуживании приложения, пользователи не могут использовать приложение.
Следит ли за нами Большой Босс?
Многих пользователей интересует, способны ли владельцы IM-сервиса читать сообщения и файлы пользователей. Согласно исследованию Фонда электронных рубежей, из трех представленных приложений только Telegram позволяет создавать полностью зашифрованные чаты между двумя пользователями. Даже Blackberry Messenger, в свое время считавшийся весьма защищенным, оказался уязвимым.
А некоторые приложения не то что не зашифрованы, но даже изначально позволяют другим следить за активностью пользователей. Как, например, Slack — мессенджер, появившийся год назад. Он ориентирован на корпоративную коммуникацию и позволяет начальству не только следить, но и редактировать публичную и даже личную переписку своих сотрудников в этом мессенджере.
Как следует из рейтинга Фонда электронных рубежей, самые популярные приложения остаются самыми незащищенными. Другие же приложения, разработанные энтузиастами и неизвестные широкому кругу пользователей, качественно отличаются уровнем своей защиты. А какое из приложений выбрать — популярное, но не защищенное, или любительское, но безопасное, — каждый пользователь решает сам.
Автор: Алексей Абрамович