Показване на локацията чрез просто обаждане, некриптиране на линкове, документи и снимки, даване на информация на рекламодатели и множесто уязвимости в десктоп версииите. Това са само малка част от проблемите със сигурността на най-популярните приложения за чат, които използваме, пише „24 часа“.
Така например широко рекламиращият се като най-сигурен чат Signal е пълен с капани за потребителите. Той стана популярен с това, че криптира от край до край – т.е. съобщията се пазят само на телефоните на участващите в чата. Апликацията обаче е толкова ненадеждна, че само с едно обаждане по приложението човек може да разбере къде се намира този, когото набира. Дори не е нужно адресатът да вдигне.
За да приеме обаждането му, телефонът му се свързва със сървър. Най-близкият, а набиращият може да го открие и определи локацията на адресата с точност до 20 метра. Може например да разбере, че той не е вкъщи, и да го обере.
Друг проблем беше отстранен едва наскоро. Той пак бе при разговорите, но с обратен знак – за набиращия. Приложението автоматично усилваше микрофона до такава степен, че се чуваше абсолютно всичко в стаята, от която човек се обажда. Уязвимостта бе отстранена едва след като от “Гугъл” докладваха за нея.
Най-слабо защитена е десктоп версията на програмата. Тя може да бъде пробита и през операционната система, и през пропуски в защитния код на софтуера. Затова и повечето експерти не го ползват и го наричат “безопасния чат на лаиците”.
Проблем с декстоп версията има и при Viber. На практика той е същият като при Signal. Всички съобщения се архивират в облака на гугъл и не са критптирани от край до край, освен ако изрично не започнете такъв чат. Заради архивирането могат да бъдат хакнати от клауда. Има и друг проблем – Viber уведомява, когато човек пише от устройство с “Мак” или “Уиндоус”. Тоест другият човек разбира, че потребителят е у дома, и може да реши да обере незащитения му офис например. Сериозна слабост е това, че приложението е с реклами. Дава личните ви данни на всички, които са склонни да си платят, за да се популяризират в платформата.
Същият проблем има и WhatsApp. Той споделя информацията с тези, които рекламират във фейсбук. Двете услуги са собственост за Марк Зукърбърг. Приложението има и друга уязвимост. То не криптира добре споделените снимки, линкове и документи, казва експертът по киберсигурност Свилен Маринов. Иначе това е единственото приложение, което изрично ви уведомява, ако разговорът не е криптиран от край до край.
Може би най-незащитеното приложение е Messenger на фейсбук. То споделя всичките ви данни с рекламодатели, дори може да използва снимката ви, за да рекламира други хора. Това става, като показва, че вие сте сред харесалите дадена страница. Така може да станете за резил, когато приятелите ви разберат, че сте ударил лайк на страница за нетрадиционен секс.
Съобщенията не са криптирани, а и самият фейсбук има ужасно много уязвимости. Това прави приложението най-малко защитено.
Сравнително надеждни са апликациите на Google – Goggle Duo и Google Hangouts. Техните два проблема са, че всичко се архивира и може да бъде пробито оттам и че споделят данните на потребителите с рекламодатели.
Сред по-сигурните чатове е Telegram. Неговата слабост обаче е, че не криптира от край до край съобщенията, освен ако изрично потребителите не пуснат такова общуване.
Иначе приложението е доста надеждно. то е изборът на международния експерт по киберсигурност Явор Колев, бивш национален координатор по киберсигурност и бивш шеф на отдел “Киберпрестъпност” в ГДБОП. Той посочва, че ако човек ползва телефон с операционна система Android, рискът е по-голям, без значение от приложението. Причината е, че това е най-атакуваната платформа.
Най-сигурният чат е confide. Той е криптиран от край до край. Не ползволява скрийншоти и при всеки опит за такъв изхвърля от чата участника и уведомява неговия събеседник. Самите съобщения се показват скрити от тухли. Разкриват се, когато човек прокара пръст по тях, и то само редът от текста, на който е пръстът.
По същия начин се процедира и с изпратените изображения. Приложението поддържа и обаждания. За огромно съжаление обаче, то е доста слабо популярно и това го прави почти неизползваемо.
Така например човек с 5000 номера в указателя видя, че само 3-ма от тях го употребяват.
И докато всяко приложение има свои слаби страни, някои от тях са съвсем общи. Една от тях е свързана с първата буква в съобщението. При мобилните телефони тя винаги е главна, докато от компютър е малка, освен ако човек сам не зададе да е голяма. Така всеки може да разбере къде се намира неговият събеседник – дали у дома, на работа – ще се ориентира по часа и деня от седмицата, или някъде навън. Макар и не съвсем точен, ориентирът е сравнително надежден.
Друг проблем е, че мнозина си инсталират апликациите на служебните компютри.
Те са свързани в мрежа и дори само един да бъде пробит от хакери, се компрометират всички компютри по веригата.
Нищо не помага при физически достъп до апарата
Макар че приложенията имат редица защити, поне на хартия, при физически достъп до мобилния телефон нищо не помага.
Причината е, че има редица апликации, с които мобилният телефон да бъде отключен. Така например преди 3 години ГДБОП купи специализиран софтуер, който да прави именно това. За целта телефоните се свръзват с компютър с помощта на обикновен кабел. Когато покупката стана факт, няколко медии обявиха, че службата ще подслушва целия фейсбук, и изобщо не забелязаха, че цената на програмите е под 15 000 лв.
Друг трик на службите е, когато изземат телефон от офиса на някого. Гледат камери и виждат защитния код. В повечето случаи обаче това не се налага. Причината е, че обвиняемите сами предоставят кода и апаратите си на разследващите.
Именно така бе разпространена информацията от чатовете на Пламен Бобоков, обвинен за незаконния боклук. Оказа се, че той е получил проект на непубликувано решение на Върховния административен съд за либийския танкер “Бадр”. Изпратил му го секретарят на президента по сигурността о.р. старши комисар Пламен Узунов. Заради чатовете им двамата станаха обвиняеми за търговия с влияние. Самите чатове бяха водени в две програми – WhatsApp и Telegram. Пламен Бобоков бе обвинен в търговия с влияние заради чатове.
От подобни програми за разбиване на кодове са защитени само разговорите. Те не се записват никъде и това ги прави неоткриваеми за разследващите. Много от чат приложенията обаче сътрудничат на властите, макар и да не го афишират публично. Така дори при липсващ апарат кореспонденцията е компрометирана. Затова екпертите съветват след всеки чат веднага да го изтривате.