18+ UNILA.RU 2020
10 лет онлайн с вами
support@unila.ru

Павел Дуров об угрозах использования мессенджера WhatsApp. Полный текст в переводе на русский язык

 Павел Дуров об угрозах использования мессенджера WhatsApp. Полный текст в переводе на русский язык
Павел Дуров в своём официальном телеграм-канале разместил большой пост, в котором снова предупредил пользователей интернета об угрозах для конфиденциальности данных, при использовании популярного мессенджера WhatsApp.

Ранее, несколько месяцев тому назад, он уже выступал с публичным заявлением на этот счёт и рекомендовал пользователям воздержаться от использования WhatsApp, если приватность важна для них.

В этот раз он подробно разъяснил свою позицию.


Скриншот сообщения, котоое было опубликовано в телеграм-канале Павла Дурова @durov


Сообщение было опубликовано на английском языке, ниже его перевод.

Примечание 1. В тексте несколько раз упоминаются бэкдоры. Возможно кому-то не понятен этот термин, это англоязычное слово "backdoor" (задняя дверь или чёрный вход). Обозначает лазейки, которые оставляют разработчики защищённых систем, при помощи которых потенциально возможно проникнуть в защищённую систему.

Примечание 2. Павел Дуров упоминает историю Джеффа Безоса. Подробнее об этом случае - видеоролик в самом конце


30 января 2020, Павел Дуров:

Почему использование WhatsApp опасно

Несколько месяцев назад я написал о бэкдоре WhatsApp, который позволял хакерам получать доступ ко всем данным на любом телефоне с WhatsApp [1]. Facebook, материнская компания, в то время утверждала, что у них нет доказательств того, что злоумышленники когда-либо использовали уязвимость [2].

На прошлой неделе стало ясно, что эта лазейка использовалась для извлечения личных сообщений и фотографий Джеффа Безоса - самого богатого человека на планете - который, к сожалению, полагался на WhatsApp [3]. Поскольку атака, по-видимому, исходила от иностранного правительства, вполне вероятно, что бесчисленные другие лидеры бизнеса и правительства так же стали жертвами [4].

В своем ноябрьском посте я предсказывал, что это произойдет [5].

В настоящее время Организация Объединенных Наций рекомендует своим должностным лицам удалить WhatsApp со своих устройств [6], а окружению Дональда Трампа советуют сменить телефоны [7].

Учитывая серьезность ситуации, можно ожидать, что Facebook / WhatsApp извинится и пообещает не внедрять бэкдоры в свои приложения в будущем. Вместо этого они объявили, что виновата Apple, а не WhatsApp. Вице-президент Facebook заявил, что это iOS, а не WhatsApp, была взломана [8].

Если вы следите за моим блогом, вы знаете, что я не совсем фанат Apple [9]. Устройства iOS имеют множество проблем, связанных с конфиденциальностью. Но дело было не в одной из них - по двум причинам:

1) Уязвимость «поврежденного видео» в WhatsApp присутствовала не только на iOS, но и на устройствах Android и даже Windows Phone. То есть на всех мобильных устройствах с установленным WhatsApp.

2) Эта ошибка безопасности не присутствовала в других приложениях обмена сообщениями для iOS. Если бы Джефф Безос полагался на Telegram, а не на WhatsApp, его бы не шантажировали люди, которые скомпрометировали его каналы коммуникации [10].

В своем маркетинге WhatsApp использует слова «сквозное шифрование» как магическое заклинание, которое само по себе должно автоматически обеспечивать безопасность всех коммуникаций [11]. Однако эта технология не является серебряной пулей, которая сама по себе может гарантировать вам абсолютную конфиденциальность.

Telegram развернул сквозное шифрование для массовых коммуникаций за годы до того, как WhatsApp последовал их примеру, и мы помнили не только о сильных сторонах, но и об ограничениях этой технологии. Другие аспекты приложения обмена сообщениями могут сделать сквозное шифрование бесполезным. Ниже приведены три примера того, что может пойти не так.

Во-первых, есть резервные копии.

Пользователи не хотят терять свои чаты при смене устройств, поэтому они создают резервные копии чатов в таких сервисах, как iCloud - часто, даже не осознавая, что их резервные копии не шифруются.

Тот факт, ФБР вынудило Apple отказаться от планов шифрования для iCloud, показателен[12]. Это одна из причин, по которой Telegram никогда не использует сторонние резервные копии в облаке, а секретные чаты никогда никуда не копируются.

Во-вторых, есть бэкдоры.

Правоохранительные органы не слишком довольны шифрованием, заставляя разработчиков приложений тайно внедрять уязвимости в свои приложения. Я знаю это, потому что к нам приходили некоторые из них - и мы отказались сотрудничать. В результате Telegram запрещен в некоторых странах, где у WhatsApp нет проблем с властями, наиболее подозрительно это выглядит в России и Иране [13].

Бэкдоры обычно маскируются как «случайные» недостатки безопасности.
Только за последний год в WhatsApp было обнаружено 12 таких «изъянов». Семь из них были критическими - как тот, с которым столкнулся Джефф Безос [14]. Кто-то может сказать вам, что WhatsApp по-прежнему «очень безопасен», несмотря на то, что за последние 12 месяцев было открыто 7 бэкдоров, но это просто статистически невероятно. Telegram, приложение, используемое сотнями миллионов людей, включая глав государств и крупных компаний, не сталкивалось с подобными проблемами в течение последних 6 лет.

В-третьих, есть недостатки в реализации шифрования.

Как кто-нибудь может быть уверен, что шифрование, которое, по утверждению WhatsApp, используется, действительно применяется в их приложениях? Их исходный код закрыт, а двоичные файлы приложений запутаны, что затрудняет их анализ. В то же время, приложение Telegram было с открытым исходным кодом, и его шифрование полностью документировано с 2013 года. Telegram поддерживает проверяемые сборки как для iOS, так и для Android - это означает, что любой может убедиться в том, что исходный код на GitHub и загружаемое приложение Telegram одно и то же [15]. Ни одно другое приложение для обмена сообщениями не делает этого для обеих мобильных операционных систем, и можно только задуматься, почему.

Не дайте себя одурачить техническому эквиваленту цирковых магов, которые хотели бы сосредоточить ваше внимание на одном изолированном аспекте, выполняя свои трюки в другом месте. Они хотят, чтобы вы думали о сквозном шифровании как о единственной вещи, на которую вы должны обратить внимание в отношении конфиденциальности. Реальность намного сложнее.

Некоторые могут сказать, что, как основатель конкурирующего приложения, я могу быть предвзятым, критикуя WhatsApp.
Конечно это так.
Конечно, я считаю, что секретные чаты Telegram значительно более безопасны, чем любые конкурирующие средства связи - зачем мне еще разрабатывать и использовать Telegram?

Однако утверждения в этом посте основаны на фактах, а не на личных предпочтениях.
И так же, как и в коде приложений Telegram, эти факты поддаются проверке и подтверждаются сторонними источниками, приведенными ниже. Когда дело доходит до безопасности, никто не должен принимать слова кого-либо как должное.


В заключении своего послания Павел Дуров приводит список публикаций в мировых СМИ, на которые он ссылается в качестве источников приведённых сведений.


Эти публикации на английском языке, и нет смысла переводить список - для того, что бы найти упомянутые публикации и ознакомиться с ними, в любом случае потребуется английский язык.


Sources:

[1] Techspot: Hackers can use a WhatsApp flaw in the way it handles video to take control of your phone – November 19, 2019
[2] ZDNet: Attackers using WhatsApp MP4 video files vulnerability can remotely execute code – November 18, 2019
[3] Popular Mechanics: How Jeff Bezos Got Hacked on WhatsApp—and How It Could Happen to You – January 26, 2020
[4] Forbes: If Jeff Bezos’ iPhone Can Be Hacked Over WhatsApp, So Can Yours – January 22, 2020
[5] Pavel Durov: A New Backdoor Was Quietly Found In WhatsApp – November 20, 2019
[6] Reuters: U.N. says officials barred from using WhatsApp since June 2019 over security – January 23, 2020
[7] CNN: UN expert recommends Kushner change his phone after suspected Saudi hack – January 23, 2020
[8] Gizmodo: Facebook Gives Unintelligible Response to Jeff Bezos Hack, Deciding to Blame iOS – January 26, 2020
[9] Pavel Durov: iCloud Is Now Officially a Surveillance Tool – January 21, 2020
[10] Jeff Bezos: No thank you, Mr. Pecker – February 7, 2020
[11] BBC Radio 4: We're as sure as you can be that the technology of end-to-end encryption cannot be hacked into: Facebook’s Nick Clegg – January 24, 2020
[12] Reuters: Apple dropped plan for encrypting backups after FBI complained – January 21, 2020
[13] (a) The Verge: Russia orders immediate block of Telegram messaging app – April 13, 2018
(b) New York Times: Russian Court Bans Telegram App After 18 Minute Hearing – April 13, 2018
[14] Business Insider: WhatsApp disclosed 12 security flaws last year, including 7 classified as 'critical,' after Jeff Bezos phone was reportedly hacked – January 28, 2020
[15] Telegram: Verifiable Builds, New Theme Editor, Send When Online and So Much More – December 31, 2019

История Джеффа Безоса, о которой упоминает Павел Дуров, широко обсуждается мировыми СМИ в настоящее время. Джефф Безос - основатель американской компании Amazon, один из самых богатых людей на планете, считает, что стал жертвой хакерской атаки.

Подробнее об этой истории рассказывается в сюжете телеканала НТВ.




Фото Павла Дурова с его официальной страницы в Twitter twitter.com/durov
31 января 2020 199

Другие посты

Комментарии (1)

Сталкер
31 января 2020 в 22:06
Кто бы сомневался