«Злоумышленник может получить доступ к вашим контактам, фотографиям, файлам. Утечки данных из WhatsApp перманентно случаются. Как правило, происходит слежка за конкретными людьми, чаще всего на уровне государства. Поэтому, если вы можете отказаться от WhatsApp, лучше это сделать», — считают некоторые эксперты, комментируя сегодняшнее резонансное заявление Павла Дурова о том, что сам факт установки мессенджера, принадлежащего Meta*, делает все данные из всех приложений доступными хакерам. Другие полагают, что эта риторика — часть программы продвижения дуровского «Телеграма». О том, чем на самом деле рискуют пользователи мессенджеров и какие правила цифровой гигиены надо соблюдать обязательно, — в материале «БИЗНЕС Online».
Хакеры могут получить полный доступ ко всему, что содержится в телефонах пользователей WhatsApp. С таким категоричным заявлением выступил сегодня основатель «Телеграма» Павел Дуров
«Если у вас установлен WhatsApp, все ваши данные доступны хакерам»
Хакеры могут получить полный доступ ко всему, что содержится в телефонах пользователей WhatsApp. С таким категоричным заявлением выступил сегодня основатель «Телеграма» Павел Дуров. Он и раньше критиковал принадлежащий Meta* мессенджер за частые уязвимости, но в этот раз уровень обвинений оказался беспрецедентным.
Дуров обратил внимание на проблему безопасности, о которой сообщил сам WhatsApp на прошлой неделе. «Все, что хакеру нужно было сделать, чтобы получить доступ к вашему телефону, — это отправить вам вредоносное видео или начать видеозвонок с вами в WhatsApp. Вы, наверное, думаете: „Да, но если я обновлю WhatsApp до последней версии, я буду в безопасности, верно?“ Не совсем. <…> Каждый год мы узнаем о какой-то проблеме в WhatsApp, которая ставит под угрозу все устройства пользователей», — возмущается бизнесмен и разработчик.
28 сентября разработчики мессенджера WhatsApp объявили о критической уязвимости CVE-2022-36934 в недавних версиях мессенджера для iPhone и смартфонов на Android. С ее помощью киберпреступник мог использовать произвольный код на смартфоне жертвы с помощью видеозвонка, взлом также мог происходить через просмотр видеоролика, в который злоумышленники научились прятать вирус.
Разработчики заверили, что устранили обе бреши в безопасности мессенджера в новых версиях мессенджера 2.22.16.12.
Дуров собрал хронологию уязвимостей с 2017 года (а до 2016-го в WhatsApp, по его словам, вообще не было шифрования) и пришел к выводу, что почти наверняка в мессенджере уже есть новая брешь в системе безопасности, заложенная бэкдорами. «Не имеет значения, являетесь ли вы самым богатым человеком на земле, — если на вашем телефоне установлен WhatsApp, все ваши данные из каждого приложения на вашем устройстве доступны, как выяснил Джефф Безос в 2020 году», — продолжает Дуров, напоминая об известном случае взлома смартфона основателя Amazon.
Мобильный телефон главы компании Amazon Джеффа Безоса был взломан при помощи вредоносного файла, якобы полученного через приложение WhatsApp, в 2018 году. Британская газета The Guardian со ссылкой на источники уверяла, что сообщение Безосу мог послать наследный принц Саудовской Аравии Мухаммед бен Сальман Аль Сауд. В течение нескольких часов после получения сообщения с телефона главы Amazon «был скачан огромный объем файлов». Частный консультант Гэвин де Бекер, по данным газеты, также заявил, что телефон его клиента был взломан хакерами, работавшими на правительство Саудовской Аравии. Спустя несколько месяцев СМС-сообщения Безоса и его фотографии с любовницей попали в таблоид National Enquirer, принадлежащий компании American Media.
Впоследствии Саудовская Аравия отвергла эти обвинения и назвала их абсурдными.
Дуров заявил, что удалил WhatsApp со своих устройств несколько лет назад, аргументируя это тем, что сама его установка «создает дверь для входа в ваш телефон». «Я не подталкиваю людей переходить на „Телеграм“. У мессенджера более 700 миллионов активных пользователей и 2 миллиона ежедневных регистраций, так что он не нуждается в дополнительном продвижении. Вы можете использовать любое приложение для обмена сообщениями, которое вам нравится, но держитесь подальше от WhatsApp — он уже 13 лет является инструментом слежки», — заключает Дуров.
WhatsApp долгое время был безоговорочно самым популярным мессенджером в России, но шлейф уязвимостей и развитие альтернативного «Телеграма» постепенно корректирует баланс сил. Одним из поворотных моментов можно считать обновление политики безопасности сервиса Meta: в 2021 году всех пользователей WhatsApp обязали делиться данными с «Фейсбуком»*. Согласно обновленным правилам, социальная сеть получит сведения о номере телефона, транзакциях и IP-адресах пользователей. Это решение раскритиковали многие пользователи, и началась массовая миграция из WhatsApp.
Так, в январе председатель ЦИКа Элла Памфилова и редактор RT Маргарита Симоньян публично объявили, что удалились из WhatsApp и перешли в «Телеграм». В мае СМИ сообщили, что новые правила мессенджера о передаче персональных данных пользователей в «Фейсбук»* перестали нравиться уже многим российским чиновникам. «Оно мне надо, чтобы мои контакты, в том числе первых лиц, у Цукерберга были?» — рассказывал один из региональных чиновников телеканалу «Дождь» (иностранное СМИ, выполняющее функции иностранного агента, — прим. ред.). Федеральные министры и губернаторы, по данным канала, перебрались в «Телеграм», Signal и MyTeam, при этом подчеркивалось, что никакой команды «сверху» об отказе от мессенджера госслужащие не получали. Год назад у «Фейсбука»* произошел самый большой слив данных за всю историю: имена, имейлы, телефонные номера, локации и ID больше чем 1,5 млрд пользователей оказались в даркнете, что на фоне последней политики конфиденциальности тоже не укрепило авторитет связанного мессенджера.
Об уязвимости WhatsApp в мае 2021-го также сообщил Роскомнадзор. Тогда в ведомстве предупредили ТАСС, что «мессенджер уже передает значительный объем пользовательских данных компании „Фейсбук“*» начиная с 2014 года.
А ФБР сообщило, что WhatsApp по запросу силовиков передает следствию метаданные о действиях аккаунта с задержкой 15 минут. Как сказано в документе, если у пользователя iPhone и архив мессенджера сохраняется в сервис iCloud, следователи могут получить основную информацию о нем с помощью постановления суда. Если у них есть ордер на обыск, то им отправляют списки контактов и заблокированных пользователей, а также список тех, у кого интересующий пользователь записан в адресной книге. ФБР также отмечает, что iMessage от компании Apple по запросу следствия отправляет метаданные. Мессенджер Signal предоставляет только дату и время регистрации пользователя и время его последнего входа в приложение. «Телеграм» не предоставляет метаданные, за исключением дел о терроризме. В таком случае владельцы мессенджера раскрывают IP-адрес и номер телефона подозреваемого.
Ситуация актуализировалась с начала спецоперации. Отказаться от иностранных мессенджеров для рабочих переписок чиновникам как в регионах, так и в федеральных органах власти 1 июня поручил вице-премьер Дмитрий Чернышенко. После этого стало известно, что российские чиновники уже по поручению правительства начинают отказываться от использования Zoom, Webex и WhatsApp, заменяя их корпоративным мессенджером от VK и TrueConf. В распоряжении «Коммерсанта» оказалось письмо директора департамента цифровой трансформации минэкономики Александра Маслова первому замминистра Илье Торосову и ряду других сотрудников министерства, в котором говорилось о «недопустимости использования для служебного взаимодействия» зарубежных мессенджеров и сервисов видео-конференц-связи.
Об уязвимости WhatsApp в мае 2021-го также сообщил Роскомнадзор. Тогда в ведомстве предупредили ТАСС, что «мессенджер уже передает значительный объем пользовательских данных компании «Фейсбук»*» начиная с 2014 года
«Как правило, происходит слежка за конкретными людьми, чаще всего на уровне государства»
«БИЗНЕС Online» поинтересовался у экспертов, чем рискуют пользователи WhatsApp.
Эльдар Муртазин — ведущий аналитик Mobile Research Group, главный редактор сайта Mobile-Review.com:
— WhatsApp морально и технически устарел. Каждый год в нем находят уязвимости. И не так важно, заложены ли эти уязвимости на уровне системы специально или они появляются случайно, факт в том, что они есть. Злоумышленник может получить доступ к вашим контактам, фотографиям, файлам, и, собственно говоря, это неприятно. Массовых историй взлома WhatsApp нет, но тем не менее утечки данных оттуда перманентно происходят. Это слежка не массовая, как правило, происходит слежка за конкретными людьми, чаще всего на уровне государства. Мессенджер активно используют, чтобы смотреть за неугодными людьми, искать их и так далее. Поэтому можно говорить очень простую штуку: если вы можете отказаться от WhatsApp, лучше это сделать.
«Телеграм» часто обвиняли в подобных вещах, но ни одного доказательства того, что он был взломан, на данный момент не существует. Досужие сплетни есть, фактов нет. В отношении WhatsApp такие факты присутствуют.
Если говорить о российской специфике — WhatsApp крайне непопулярный сегодня мессенджер, большинство сидит в «Телеграме». Количество установок WhatsApp все еще больше, чем «Телеграма», при этом активность там минимальная. В «Телеграме» идет активное общение: пользователи получают и отправляют сообщения на порядок чаще, чем в WhatsApp.
Дуров строит из себя образ поборника приватности, защиты пользователей. Ему же надо на кого-то нападать. А WhatsApp — это отличная мишень, они крайне подставляются.
Александр Дворянский — директор департамента информационной безопасности Sitronics Group:
— Все мессенджеры в неравной степени уязвимы, но WhatsApp больше остальных. Определенная доля правды в словах Дурова есть.
Отказываться от WhatsApp, может, и не надо, он все равно достаточно сильно распространен, и отказ может привести к неудобству пользователей. Просто нужно с большим вниманием относиться к своей информационной гигиене — не отправлять по WhatsApp значимую для вас информацию. Ни в коем случае не отправлять какие-то банковские данные, учетные данные, пароли от учетных систем, коды подтверждения и подобные вещи. А для пересылки фотографий и обычных сообщений вполне себе нормальный инструмент.
«Отказываться от WhatsApp, может, и не надо, он все равно достаточно сильно распространен, и отказ может привести к неудобству пользователей. Просто нужно с большим вниманием относиться к своей информационной гигиене — не отправлять по WhatsApp значимую для вас информацию»
Владимир Ульянов — руководитель аналитического отдела Zecurion:
— В заявлении Дурова, наверное, есть часть его конкурентной борьбы с популярным мессенджером. Такой жесткий сценарий мне, конечно, не очень представляется. То, что в моменте обнаружена какая-то уязвимость, — это, наверное, даже позитивный факт: уязвимости есть в любом программном обеспечении, от этого никуда не деться. Невозможно выпустить изначально 100-процентно безопасное приложение, которое от всего и вся будет защищено. Потому задача разработчиков — оперативно найти эти уязвимости и устранить. Есть специальные программы, где пользователи или специальные сервисы по информационной безопасности ищут уязвимости, ошибки в программах и сообщают разработчикам. Соответственно, задача разработчиков — оперативно устранить их и выпустить обновление, чтобы пользователи могли скачать и чувствовали себя в безопасности. Поэтому задача пользователей сейчас не удалять WhatsApp, тем более мы понимаем, что если у тебя там сотни контактов, то пересесть на другой мессенджер будет проблематично, а скачать обновление и чувствовать себя в относительной безопасности.
*Деятельность американской транснациональной холдинговой компании Meta Platforms Inc. по реализации продуктов – социальных сетей «Фейсбук» и «Инстаграм» запрещена на территории Российской Федерации по основаниям осуществления экстремистской деятельности
Внимание!
Комментирование временно доступно только для зарегистрированных пользователей.
Подробнее
Комментарии 15
Редакция оставляет за собой право отказать в публикации вашего комментария.
Правила модерирования.