Сегодня вряд ли найдется хоть один человек, который не пользовался бы интернет-сообщениями. Один только WhatsApp установлен на сотнях миллионов устройств по всему миру и обрабатывает в общей сложности десятки миллиардов сообщений ежедневно. Сервисы мгновенного обмена сообщениями мегапопулярны — вспомните, какие приложения вы скачивали первыми, когда покупали новый телефон? Скорее всего, это были именно мессенджеры.
Большинство пользователей сервисов обмена сообщений всерьез не задумываются о безопасности своих данных. Информация, которую они отправляют друг другу в Интернете, может быть использована для разных целей, и самая невинная из них — таргетированная реклама. То, что вы ее видите, когда заходите в Интернет свидетельствует о том, что с вашего устройства собирается огромный пул данных о том, где вы находитесь и что предпочитаете. Эти данные постоянно отправляются без вашего ведома заинтересованным в них сторонам. Скачивая приложение и принимая пользовательское соглашение вы априори принимаете условия мессенджера о сборе и использовании ваших данных в неких туманных целях.
Популярность мессенджеров вызывает к жизни одну из главных проблем современного Интернета: проблему конфиденциальности обмена сообщениями. Мысль о том, что переписку в мессенджере читает кто-то посторонний, может показаться абсурдной, учитывая то, каким объемом информации мы каждый день делимся друг с другом. Однако в ряде случаев, когда речь идет о бизнес-переписке, передаче платежных данных, личных фотографиях и множестве других моментов, конфиденциальность становится критичной, а ее нарушение может повлечь за собой катастрофические последствия: раскрытие деловых документов, шантаж, потерю денег, личную драму.
Проблемы с конфиденциальностью популярных мессенджеров
Большинство современных мессенджеров, включая самые популярные, такие как WhatsApp, Viber, Facebook Messenger зачастую гарантируют пользователю анонимность и конфиденциальность только на словах. Skype, например, изначально считался хорошим средством обмена личными сообщениями, неприступной крепостью для хакеров и правительственных организаций. Однако после того как в 2011 году Microsoft приобрел Skype Ltd. и организация потеряла свою независимость, все изменилось, и теперь мы не можем быть уверены, что обмен сообщениями в Skype на 100% безопасен.
Сервис WhatsApp, к сожалению, также едва ли можно считать безопасным. Об уязвимостях мессенджера новостные источники сообщают чуть ли не ежемесячно, и эти новости сопровождаются такими подробностями, которые заставляют пользователей кипеть от возмущения. Например, исследование приложения доказало, что зашифрованный файл, хранящий историю сообщений на вашем устройстве, можно взломать за считанные секунды с помощью простого скрипта. В мае 2019 года стало известно о том, что израильская компания NSO Group, помогая правительственным спецслужбам, через WhatsApp отслеживала переписку не менее 1400 человек, в основном правозащитников и журналистов сразу нескольких стран. С помощью звонка вредоносный код внедрялся на смартфон жертвы, причем той для его установки даже не надо было снимать трубку.
Другие бесплатные платформы обмена сообщениями, в частности Viber и iMessage, также неоднократно позволяли злоумышленникам получить доступ к частной переписке. Например, в 2017 году пользователь Хабра под ником tambovchanin сообщил в Viber об обнаруженной им уязвимости, благодаря которой можно было прослушивать чужие разговоры. Примечательно, что компания никак не отреагировала на это заявление, после чего tambovchanin предал проблему огласке. В следующем обновлении баг был исправлен, однако возможность прослушки надолго осталась открытой для всех, кто не обновил приложение вовремя. Аналогично в 2019 году была обнаружена уязвимость в iMessage, которая позволяла атакующему удаленно читать содержимое пересылаемых файлов без какого-либо взаимодействия с пользователем.
Даже Telegram, который позиционирует себя как свободную площадку, практикует модерацию и удаляет неугодный контент с каналов. В сущности, Telegram — проприетарная, полностью закрытая, централизованная система. Заявление о том, что Telegram — open source глубоко ошибочно. Мессенджер с 2013 года обещает открыть код своих серверов, и вот уже 7 лет его не открывает. Единственное, что открыто в Telegram — часть API и официальный клиент. Никто не может гарантировать, что на серверах мессенджера, к примеру, не предустановлено следящее ПО. Для того, чтобы создать аккаунт в системе, требуется ваш личный номер телефона, то есть почитай регистрация по паспорту. Без этого вполне можно было бы обойтись, особенно учитывая, что такая система создает проблемы для пользователей: узнать номер вашего телефона для умельцев не составляет труда, и так ежедневно “уводятся” каналы у их владельцев. Помимо этого мессенджер раскрывает ваш IP-адрес. Для чего все это нужно, на самом деле большой вопрос.
Мессенджер Omega: гарантия анонимности и приватности переписки
Все существующие мессенджеры привязаны к телефонной книге, номеру телефона и персональным данным. В случае взлома, помимо этой информации, злоумышленники могут получить сведения о транзакциях, банковские и персональные данные. Люди, которым приходится делиться конфиденциальной информацией, нуждаются в безопасном мессенджере, и такой мессенджер существует. Omega IM — написанный международной группой разработчиков, который позволяет пользователям общаться без сканирования телефонной книги и списка контактов.
Наша задача, рассказывают создатели мессенджера, состояла в том, чтобы создать мессенджер без необходимости идентификации пользователя. Как и ряд других мессенджеров, Omega использует сквозное шифрование, когда сообщения напрямую поступают на устройства пользователей в обход сервера оператора и иных путей следования. Однако само по себе end-to-end шифрование не гарантирует конфиденциальность переписки, в том же WhatsApp оно также реализовано в качестве базовой функции, что не мешает мессенджеру оставаться проблемным в плане безопасности.
Протокол, на котором развернут мессенджер Omega — Proteus, гибрид Axolotl и Double Ratchet, наследник Off-The-Record, классического протокола сферы защищенных коммуникаций, который много лет удерживает пальму первенства в этой сфере. Это открытый протокол без возможности расшифровки переписки пользователя со стороны третьих лиц. Так же, как и у протоколов, на базе которых он написан, код Proteus открыт для просмотра любым желающим убедиться, что в нем отсутствуют уязвимости и закладки, позволяющие следить за пользователем.
Для улучшения качественных характеристик сквозного шифрования в Omega использован алгоритм Double Ratchet (DR). Он работает по методу, согласно которому участники общения получают общий секретный ключ по каналу связи, на котором невозможна подмена. Связь с серверами платформы защищена SSL-протоколом с шифрованием TLS версии 1.3. Помимо этого Omega использует обфускацию трафика — запутывание кода, при котором исходные данные сохраняют функциональность, но приводятся к виду, недоступному для анализа и понимания алгоритма их работы. Обфускация не дает третьим лицам возможности определить, кем именно является абонент мессенджера.
Omega предоставляет пользователю полный набор функций, которые сегодня используются в мессенджерах: обмен голосовыми и видеосообщениями, групповые и индивидуальные звонки, чаты и конференции. Можно отправлять файлы, в том числе большого размера, в настольной версии — делиться экраном. Бизнес-сервисы Omega включают возможность ведения документоооборота с цифровой подписью и расчетов непосредственно в чате в рамках встроенной платежной системы с токеном стандарта ERC-20 OMEG. Токен свободно конвертируется в фиат и обратно через платежный шлюз DixiBank. В Omega можно войти как с помощью пароля, так и технологий отпечатка пальца и FaceID. Приложение можно скачать в Google.Play и App.Store.