Проект ADAMANT: централизованные мессенджеры реального времени небезопасны
Cпонсорский контент
Отправка текстовых сообщений сегодня не составляет ни малейшего труда для пользователей самых разных современных IT-продуктов. Функции коммуникации, передачи данных, мультимедиа — всё это является самой важной и неотъемлемой для юзеров частью использования сегодняшнего интернета. Но лишь критически малая их доля задумывается о том, что происходит с данными после нажатия на красивые иконки отправки текста и просмотра приятных анимаций во всех популярных мессенджерах.
Куда доставляются сообщения помимо ваших собеседников, как они хранятся, кто имеет к ним доступ? Обходя споры по поводу технических частей продуктов, имеющих сотни миллионов активных пользователей, и постоянное использование неточных терминов и формулировок в СМИ, попытаемся разобрать основные моменты систем шифрования и доставки сообщений в нескольких популярных на сегодняшний день сервисах, используя конкретные факты.
Первым на очереди будет WhatsApp — наиболее используемый мессенджер планеты с ежемесячным количеством активных пользователей в 1.5 миллиарда. Еще в середине 2016 года его представители заявили о планах, пообещав полноценное «end-to-end» шифрование для каждого отправленного сообщения. Через некоторое время их обещания сбылись. Системы шифрования обновились и обрели новое название для указаний в CМИ, до определенного момента.
Как оказалось спустя несколько дней, почти в каждом официальном текстовом релизе проекта находилась доля прямой лжи читателям. Несмотря на заявления о полном непосредственном шифровании новоиспеченным «end-to-end» способом во всех случаях переписки, необходимые настройки безопасности находились “на самом глубоком дне”, и их было почти невозможно отыскать. А на случай, если вы их обнаружите, разработчики подготовили огромный бэкдор, то есть намеренную системную уязвимость в безопасности всей структуры.
Манипуляции с данными могли осуществляться в виде повторной отправки сообщений с измененным ключом шифрования, дублированием данных в облаке, вплоть до доступа к действиям со всей информацией внутри приложения. Полные материалы с примерами и подтверждениями, включая отрывки кода, были опубликованы в скором времени на мелких ресурсах, не подконтрольных правительству США или влиянию Facebook. Стоит отметить, что WhatsApp имеет закрытый, юридически защищенный исходный код, что означает полную невозможность проверки заявлений разработчиков.
Теперь посмотрим на занимающий вторую позицию Facebook Messenger с 1.3 миллиардов активных пользователей. «End-to-end» чаты были введены около года назад, характеризующиеся волной положительных отзывов СМИ и иконкой замочка на аватаре собеседника. При закрытом исходном коде уровень доверия к Facebook Messenger может быть сопоставлен с аналогом выше, с учетом репутации Facebook в сфере безопасности и уважении к данным пользователей. Как и у большинства «классических» мессенджеров, в случае переписки без специально установленных заранее настроек, о безопасности данных не было представлено абсолютно никакой информации.
Более интересная ситуация, подчеркивающая значение заявлений о конфиденциальности двух приведенных выше примеров, сложилась с «народным» китайским мессенджером WeChat. Вспоминая политику Китая о приватности и требованиям к IT-продуктам, ниже будут представлены цитаты, найденные на официальном сайте одного из самых часто используемых мессенджеров на территории КНР:
В WeChat наши высшие приоритеты — конфиденциальность пользователей и защита данных.
WeChat считает конфиденциальность пользователей и защиту данных не только ответственностью нашей компании, но и ключевой частью опыта наших пользователей.
В заявлениях мессенджера о приватности также часто описываются сложные технологии и способы шифрования данных, не предоставляя использования «end-to-end». Также там часто даются гарантии о безопасности использования, настаивая на приватности при полном отсутствии доказательств таких заявлений. Исходный код также закрыт.
Количество пользователей WeChat сегодня — 1 миллиард. Еще один популярный китайский сервис — QQ Mobile с почти 800 миллионами активных пользователей ежемесячно. В мессенджере нет и следа «end-to-end» или его признаков, включая уже классическое отсутствие открытого кода системы.
Похожие ситуации и с другими, не менее известными сервисами. Viber, Skype, Snapchat, Line, все имеют закрытый исходный код, отыгрывая его скрытность рекламными кампаниями, громкими заявлениями, статьями в доверенных СМИ, и полностью игнорируя факт невозможности подтверждения сказанного.
Занимающий в самые жаркие дни скандалов все заголовки в СМИ популярный мессенджер Telegram тоже не отличился открытием исходного кода и предоставлением информации о том, что происходит с личными данными пользователей. Из опубликованных данных известно только о самой работе приложения, без данных о реальных операциях с сообщениями и их хранении. Тем не менее значительная часть СМИ самых разных стран охотно отделяет Telegram от других мессенджеров «тёмной стороны», аргументируя это теми же словами, которыми не стесняются выражаться WhatsApp, WeChat и другие представители не менее авторитетных продуктов. Ниже приведена единственная известная цитата из F.A.Q. с официального сайта Telegram о причинах фактически полностью закрытого кода:
«В конечном итоге весь код будет опубликован. Мы начали с самых полезных частей — хорошо документированного API, который позволяет разработчикам создавать новые приложения Telegram и клиенты с открытым исходным кодом, которые могут быть проверены специалистами по безопасности.»
Если внимательно перечитать текст, то самого ответа вы можете не найти. За весь период в более чем четыре года, помимо частей кода для разработчиков по типу API, направленных исключительно на поддержание актуальности Telegram со стороны свободных программистов, больше ничего опубликовано не было. Сегодня огромное число СМИ продолжают безвозмездно популяризировать и прививать ощущение доверия и безопасности к Telegram, не показавшего ни одного оправданного преимущества перед десятками своих аналогов, исключая количество громких заявлений и утверждений со стороны его представителей.
Приложения, нацеленные на конфиденциальность либо безопасность обмена сообщениями вроде бы постоянно вводят все больше функций защиты, но возвращаются к одному результату. Речь идет об отсутствии анонимности из-за одних и тех же систем авторизации и идентификации, постоянном раскрытии IP-адресов, хранении информации об использовании на устройстве, свободной возможности блокировки пользователей, централизованном хранении данных.
Исходя из такого критического положения в сфере безопасности данных был создан мессенджер ADAMANT, построенный на кардинально новой концепции для мессенджеров, в основе которой лежит блокчейн. Стараясь сохранить комфорт общения, ADAMANT предоставляет безопасность и анонимность использования для каждого желающего. И полностью открытый исходный код системы позволяет в этом убедиться.
Задействуя блокчейн, этот мессенджер не имеет зависимостей от центральных серверов, разработчиков или внутренних систем идентификации. Поддержка его работы осуществляется самими пользователями, получающими за это внутреннюю валюту. Мессенджер активно развивается — совсем недавно реализована поддержка ETH.
Созданный небольшой командой разработчиков проект даёт абсолютно новый взгляд на способ обмена сообщениями и мультимедиа в современном мире.
Если вы готовы помочь развитию этого проекта, участвуйте в ICO, а при наличии знаний — подключайтесь в Гитхабе к разработке. С представителем команды разработчиков можно связаться в самом мессенджере: U15677078342684640219.
Источник: bits.media