Безопасно ли использовать WhatsApp? Как работает его сквозное шифрование?

WhatsApp, как вы знаете, стал самым популярным приложением для обмена сообщениями, обойдя даже таких конкурентов, как Messenger, Signal и Telegram. Но вот вопрос: насколько оно безопасно? Принимая во внимание, сколько личной информации мы отправляем через него, можно ли полностью доверять этому приложению? И стоит ли переживать о возможных взломах и утечках данных, несмотря на то что WhatsApp утверждает, что у него есть сквозное шифрование?

Чтобы разобраться в этом, я решил погрузиться в детали безопасности WhatsApp и посмотреть, как работает его сквозное шифрование. Также обсудим, какие дополнительные функции могут помочь вам защитить свои чаты от посторонних глаз.

Безопасен ли WhatsApp? Что такое сквозное шифрование?

WhatsApp обеспечивает безопасность благодаря использованию системы сквозного шифрования, основанной на открытом исходном коде протокола Signal от компании Open Whisper Systems, который используется с 2014 года. По данным WhatsApp, практически все ваше общение на платформе защищено этим шифрованием — будь то сообщения, мультимедиа, голосовые заметки, звонки или даже обновления статуса. Протокол шифрования был разработан создателями Signal, который тоже ставит безопасность и конфиденциальность на первое место. Так почему это имеет значение?

Мгновенные сообщения существуют с самого начала Интернета, но ранние версии были далеко не безопасными. Во-первых, многие из них передавали сообщения в открытом виде, что позволяло любому, кто имел доступ к серверам, прочитать ваши сообщения, не говоря уже о посредниках и злоумышленниках. Хотя шифрование стало популярным в конце 2000-х, многие компании, которые разрабатывали чат-приложения, все равно имели ключи для расшифровки сообщений пользователей. В результате, ваши чаты никогда не были действительно конфиденциальными.

В последнее время многие платформы стали использовать сквозное шифрование (E2EE), чтобы улучшить конфиденциальность сообщений и защиту пользователей. В такой системе только отправитель и получатель имеют ключи для расшифровки сообщений. Ни кто другой — ни сама платформа, ни ваш интернет-провайдер, ни даже хакеры, получившие доступ к зашифрованным данным — не смогут прочитать ваши сообщения.

Насколько безопасен WhatsApp? Объяснение шифрования

Протокол шифрования Signal, который используется в WhatsApp, сочетает несколько криптографических методов, начиная с шифрования с открытым ключом. Вкратце, это означает, что у каждого пользователя есть пара случайно сгенерированных ключей: один из них остается в секрете, а другой доступен публично.

Суть в том, что отправитель использует открытый ключ получателя для шифрования сообщений. Получатель, в свою очередь, расшифровывает сообщения своим закрытым ключом. Поскольку закрытый ключ создается на вашем устройстве, WhatsApp никогда не имеет к нему доступа. Этот простой метод криптографии применяется уже несколько десятилетий и используется для защиты всего, от электронной почты до криптовалютных кошельков.

Однако стандартное шифрование с открытым ключом не полностью защищает от всех рисков. Оно подвержено проблеме единой точки отказа: если ваш закрытый ключ будет скомпрометирован, злоумышленник сможет бесконтрольно расшифровать ваши старые, текущие и будущие чаты. Чтобы устранить этот недостаток, разработчики протокола Signal внедрили новую технику, известную как двойное храпповое шифрование.

Вместо использования статического набора ключей для каждого пользователя протокол применяет сочетание постоянных и временных ключей. Последние обновляются каждый раз, когда вы отправляете новое сообщение. Это означает, что даже если злоумышленник получит доступ к одному конкретному ключу, он сможет расшифровать лишь несколько сообщений. Хотя постоянное обновление ключей может показаться избыточным, оно достаточно простое, чтобы наши смартфоны могли эффективно справляться с ним.

Конечно, в системе шифрования WhatsApp есть много других деталей, которые можно изучить в технической документации компании. Однако ключевое заключается в том, что шифрование достаточно надежно и эффективно защищает от подслушивания и других базовых атак.

Защищен ли WhatsApp от хакеров? Что думают эксперты?

Чтобы убедиться в безопасности от хакеров, WhatsApp позволяет проверить, что ваши чаты и звонки зашифрованы сквозным шифрованием. Для этого откройте чат в приложении, нажмите на имя контакта, а затем на метку «Шифрование». Вы увидите QR-код и 60-значный номер. Выполните те же шаги на телефоне получателя и сравните значения.

Если номер совпадает на обоих устройствах, это означает, что ваш чат правильно зашифрован сквозным шифрованием. WhatsApp называет это «кодом безопасности», но это по сути просто удобный способ представления открытого ключа, о котором мы говорили ранее. Этот процесс также помогает убедиться, что ваше сообщение доходит до правильного человека, а не до злоумышленника, который может выдавать себя за вашего контактного лица. Кроме того, это делает компанию более ответственной — если ключи не совпадут, это привлечет внимание к потенциальным проблемам.

Тем не менее, WhatsApp не идеален — он собирает много информации о вас помимо самого чата. Сюда входят ваш список контактов, местоположение, идентификаторы устройств и история транзакций. В отличие от него, Signal — единственная альтернатива, которая утверждает, что собирает меньше данных и акцентирует внимание на безопасности через независимые аудиты. Другие популярные мессенджеры, такие как Messenger и Telegram, даже не предлагают сквозное шифрование по умолчанию.

По этой причине многие исследователи безопасности рекомендуют WhatsApp по сравнению с его конкурентами. Electronic Frontier Foundation критикует практику обмена данными в приложении, но признает, что «WhatsApp по-прежнему использует надежное сквозное шифрование, и нет оснований сомневаться в безопасности ваших сообщений в этом приложении».

Соучредитель Signal и известный криптограф Мокси Марлинспайк также подтверждал надежность приложения в прошлом. В блоге 2017 года он отметил: «Мы [Signal] считаем, что WhatsApp по-прежнему является отличным выбором для пользователей, которые беспокоятся о конфиденциальности своих сообщений».

Как WhatsApp собирает и использует мои данные?

На данный момент ясно, что WhatsApp не хранит ваши чаты, медиа и другие личные данные. Но что еще приложение знает о вас и как оно управляет этой информацией? Мы проанализировали Политику конфиденциальности WhatsApp и вот основные моменты в упрощенном виде:

• При регистрации в WhatsApp вы указываете свой номер телефона, а также основные данные, такие как имя, статус и фотография профиля.
• Если вы разрешаете доступ к вашему местоположению и используете функции вроде Live Location, WhatsApp может собирать данные о вашем географическом положении. Также приложение может определять ваше приблизительное местоположение по вашему интернет-соединению и региональному коду номера телефона.
• При использовании функции WhatsApp Payments платформа может видеть данные о транзакциях, включая получателя, информацию о доставке и сумму.
• Платформа не хранит ваш список контактов, но сохраняет запись, если обнаруживает, что контакт уже зарегистрирован в WhatsApp.
• WhatsApp собирает данные о вашей активности, такие как время последнего визита, активность в сети, модель устройства, уровень сигнала и часовой пояс.

Большая часть этой информации может показаться безобидной на первый взгляд. Однако WhatsApp является частью экосистемы Meta, и даже такие базовые данные могут существенно помочь в вашей идентификации, когда они объединяются с данными из ваших профилей в Facebook и Instagram  (соцсети Facebook и Instagram запрещены в России как экстремистские). Например, Meta (признана в России экстремистской и запрещена) может использовать ваши телефонные номера для рекомендации новых друзей на Facebook, основываясь на частых взаимодействиях в WhatsApp. Хотя компания не видит содержимое ваших сообщений, она все равно знает о наличии общения.

Как защитить WhatsApp от хакеров

Ваши чаты в WhatsApp остаются зашифрованными и конфиденциальными. Тем не менее, существуют некоторые потенциальные риски безопасности, о которых стоит помнить. Несмотря на то что ваши сообщения не могут быть перехвачены по пути, они становятся уязвимыми, как только достигают конечного устройства. То есть ваш телефон и устройство получателя могут стать более легкой целью для возможных атак.

Например, если вы потеряете свой смартфон, злоумышленник с физическим доступом к устройству может скопировать базу данных сообщений WhatsApp. К счастью, WhatsApp шифрует этот файл, и для его расшифровки требуется root-доступ на Android. Если вы не знакомы с этим, вам не о чем беспокоиться. Тем не менее, злоумышленники все равно могут получить доступ к медиафайлам, таким как изображения и видео. Решение — простая блокировка экрана на вашем смартфоне.

Еще один потенциальный вектор атаки — это резервное копирование в облачных сервисах, таких как Google Drive и iCloud. По умолчанию WhatsApp сохраняет ваши чаты в этих сервисах без шифрования. Это значит, что если злоумышленник получит доступ к вашей учетной записи облачного хранилища, теоретически он также может получить доступ к вашим данным WhatsApp.

К счастью, WhatsApp теперь предлагает возможность шифрования резервных копий чатов с помощью пароля или ключа шифрования, который представляет собой случайно сгенерированный 64-значный код. Для максимальной безопасности вы можете сохранить этот ключ в менеджере паролей. Эта функция является опциональной, поэтому убедитесь, что она включена в разделе «Настройки» > «Чаты» > «Резервное копирование чатов» в приложении WhatsApp на Android.

Что касается дополнительных функций безопасности в WhatsApp, подумайте о включении двухфакторной аутентификации. Эту опцию можно найти в разделе Настройки WhatsApp > Учетная запись > Двухэтапная аутентификация. Она требует ввода PIN-кода при регистрации вашей учетной записи на новом телефоне. Хотя это не защитит от утечки данных, такая мера может предотвратить попытки мошенничества со стороны злоумышленников.

Читайте также: Как зашифровать телефон Android

Часто задаваемые вопросы