Современный мобильный телефон представляет собой разновидность мини-компьютера. Установленные на смартфоне программы используются как в игровых, так и в деловых целях. Немалую часть софта составляют приложения, предназначенные для общения, или мессенджеры. Эти утилиты позволяют юзерам разговаривать между собой в режиме реального времени, используя аудио или видео связь, обмениваться текстовыми месседжами или мультимедийными файлами.
Мессенджер WhatsApp завоевал популярность у абонентов благодаря удобному интерфейсу, широкому набору опций, соблюдению требований конфиденциальности общения. Тайна переписки и разговоров соблюдается прежде всего благодаря применению методики «сквозного шифрования». Подробное описание этого термина приведено ниже.
Принцип работы
В технической документации вместо наименования «сквозное шифрование» используется термин «end-to-end». Такое обозначение обусловлено методом передачи данных в зашифрованном виде.
Альтернативный метод «транспортного шифрования», при котором закодированная информация пересылается на удаленный сервер, где заново шифруется и отсылается адресату.
Оба метода кодирования надежно защищают от взлома, однако при «транспортном» кодировании хозяин удаленного сервера может просматривать пользовательские данные. «Сквозное» кодрование исключает подобную вероятность.
Кодирование методом «end-to-end» в сервисе WhatsApp организовано по следующей схеме:
- На устройстве отправителя послания создаются публичный и секретный ключи.
- Открытый ключ отправляется собеседнику и служит для кодирования информации.
- Закодированные сведения поступают на устройство инициатора переписки, который может расшифровать послание при помощи секретного ключа.
Секретный код записывается только на устройстве отправителя и не пересылается через серверы. Перехватив открытый ключ, злоумышленник узнает только метод кодирования послания, но не сможет выполнить дешифровку.
Таким образом кодировка способом «end-to-end» является одним из наиболее надежных методов защиты информации, которой пользователи обмениваются по открытым каналам связи. Метод имеет также уязвимые места, о которых будет рассказано ниже.
Применение в WhatsApp
Кодирование информации является надежным способом защиты персональных сведений пользователя. Соцсети и поисковые системы не применяют метод сквозного шифрования, поскольку ставят одной из задач отслеживание пользовательских потребностей для навязывания целевой рекламы. Подобные сервисы не гарантируют пользователям анонимности, в том числе по отношению к запросам со стороны официальных государственных органов.
Создатели мессенджера WhatsApp выбрали шифрование «end-to-end» в качестве меры защиты конфиденциальности подписчиков прежде всего для повышения популярности приложения. Большинство абонентов сервиса признается, что защищенность персональных сведений является немаловажным фактором для выбора мессенджера.
Кодировка используется при пересылке всех типов данных, а не только текстовых фрагментов. При разработке методов кодирования были использованы самые новейшие разработки. В связи с тем, что секретный ключ шифрования хранится на определенном гаджете, при замене смартфона у одного из собеседников генерирование кода выполняется заново. Процедура осуществляется автоматическим образом, а контактным лицам система отправляет соответствующие предупреждения.
Многие критики недовольны тем, как организована процедура замены кода. Предупреждения отправляются только тем абонентам сервиса, у кого активирована соответствующая опция. Остальные контакты могут быть не в курсе замены ключа, чем могут воспользоваться хакеры. Ниже раскрываются методы, позволяющие проверить совпадение ключей и удостовериться в личности собеседника.
Проверка ключей
Создатели сервиса Ватсап советуют абонентам не отключать функцию доставки системных сообщений. При получении соответствующего оповещения рекомендуется проверить, совпадают ли ключи.
Для проверки ключей можно применить различные способы:
- Сохранить код из 60 знаков, хранящийся в информационном разделе, а затем отправить цифровую последовательность контакту, не используя WhatsApp. При этом также следует соблюдать требования секретности. Собеседник на собственном устройстве сравнит код из системного оповещения с последовательностью цифр, полученной из альтернативного источника. Совпадение ключей гарантирует отсутствие взлома.
- Поделиться с контактным лицом графическим кодом, выполнив команду «Поделиться» на экране демонстрации. QR код состоит из беспорядочно размещенных квадратиков с рисунком. Если проверка покажет совпадение кодов, на экране Вотсап возникнет «птичка», окрашенная в зеленый цвет. После этого юзер может быть уверен, что обмен данными через мессенджер выполняется со всеми требованиями конфиденциальности.
Основная трудность осуществления проверки заключается в правильном выборе метода отправки цифровой последовательности или графического кода собеседнику. Наиболее просто выполнить верификацию при встрече с собеседником. В этом случае пользователи просто сверяют цифровые последовательности или выполняют сканирование кода QR при помощи камеры смартфона. Отсутствие совпадения означает подмену кода. Подобная ситуация может возникнуть, если на устройствах собеседников установлены различные версии приложения WhatsApp.
Следует знать, что ни один из описанных кодов не является ключом шифрования и служат только для проверки подлинности контактов.
Уязвимые места
Как и любые системы защиты информации, схема шифрования «end-to-end» обладает уязвимыми местами. Декодирование перехваченных сведений возможно теоретически, но требует больших затрат времени и финансов, поэтому на практике не применяется. Вместе с тем факт обмена сообщениями с конкретным лицом скрыть невозможно. Таким путем органы правопорядка «вычисляют» связи преступников даже без прочтения конкретных сообщений.
Второе уязвимое место заключается в том, что любой человек, получивший доступ к чужому мобильнику, сможет читать и дублировать переписку, а также рассылать сообщения от лица абонента. Чтобы исключить подобный риск, рекомендуется блокировать телефон, назначая в качестве кода доступа индивидуальные характеристики: пальцевый отпечаток или скан лица. Даже такая строгая мера не дает полной гарантии конфиденциальности переписки, поскольку к злоумышленнику может попасть телефон собеседника.
В 2021 году владельцы WhatsApp приняли решение делиться частью сведений о пользователях с материнской компанией Facebook. Хотя эта мера не относится к содержимому чатов, факт передачи информации оттолкнул часть абонентов, ожидавших от мессенджера большей степени конфиденциальности. Например, мессенджеры Telegram и Signal не собирают метаданных в подобных масштабах. В случае взлома баз данных Facebook персональная информация миллионов юзеров попадет в руки посторонних лиц.
Отключение
Кодирование пересылаемой информации по схеме «end-to-end» является встроенной опцией мессенджера Вотсап. Отключение шифрования функционал приложения не предусматривает.
Отдельные юзеры протестуют против шифрования, считая кодировку пересылаемых данных навязанной услугой. Некоторые пользователи уверены, что пересылка зашифрованных сообщений занимает больше времени, поскольку процедура становится более продолжительной за счет времени на кодирование и декодирование.
Юзерам, настроенным против использования опции сквозного кодирования, можно порекомендовать инсталлировать старую версию WhatsApp, в которой кодирование еще не использовалось. Правда, при этом набор опций приложения существенно сократится.
Найти устаревший вариант программы на сайте разработчиков невозможно, поэтому пользователю придется использовать сторонние источники. К сожалению, при этом присутствует серьезный риск установки вирусных программ.
Для установки программ со сторонних ресурсов обладатели смартфонов с ОС Android должны включить разрешение инсталляции ПО из неизвестных источников. Владельцам iPhone для установки устаревшего ПО придется взламывать систему, что еще рискованнее.
Заключение
Обзор посвящен описанию процедуры сквозного шифрования в WhatsApp. Описан принцип работы и применения в WhatsApp схемы кодирования. Приведен алгоритм проверки. Раскрыты уязвимые места описываемого способа информационной защиты. Обсуждается отключение кодирования при пересылке информации через мессенджер.