Купить решения «Лаборатории Касперского»
в интернет-магазине Kaspersky-Security.ru
ГлавнаяНовости→Безопасно ли переписываться со сторонними мессенджерами из WhatsApp | Блог Касперского

Безопасно ли переписываться со сторонними мессенджерами из WhatsApp | Блог Касперского

В WhatsApp включат поддержку переписки с другими мессенджерами. Стоит ли использовать эту возможность? Какие преимущества и риски она несет?

Европейский закон Digital Markets Act обязал крупные технологические компании сделать свои продукты более открытыми. Благодаря DMA на iOS появятся сторонние магазины приложений, а крупные мессенджеры должны предоставить возможность переписки с другими подобными приложениями — создать кросс-платформенную совместимость, «интероп» (interoperability). О том, как эта совместимость будет реализована в WhatsApp и Messenger*, недавно написали инженеры Meta*. Достоинства совместимости очевидны любому, кто отправлял и получал SMS или e-mail, — вы можете пользоваться этими сервисами, вообще не задумываясь, на каком телефоне или компьютере, в каком приложении и в какой стране пользуется SMS или e-mail ваш собеседник. Но и недостатки тоже известны и весомы — к подобным перепискам часто имеют доступ посторонние (от спецслужб до хакеров), а также они являются самыми массовыми каналами спама и фишинга. Возможно ли, что DMA сохранит достоинства совместимости, избавившись от ее недостатков?

Отметим, что последствия DMA для App Store в iOS затрагивают только европейских пользователей, а вот кросс-платформенность, весьма вероятно, «накроет» всех, даже если подключаться к инфраструктуре WhatsApp будут только европейские партнеры.

Можно ли переписываться в WhatsApp с пользователями других мессенджеров?

Пока — только теоретически. Meta* опубликовала спецификации и технические требования к партнерам, которые хотят, чтобы в их приложениях можно было переписываться с абонентами WhatsApp или Messenger**. Теперь эти партнеры должны появиться, разработать мост между своим сервисом и WhatsApp и запустить его. Пока анонсов таких партнерств замечено не было.

Владельцы и разработчики других сервисов далеко не всегда готовы внедрять подобную функцию. Одни считают ее небезопасной, другие не готовы тратить ресурсы на довольно сложную технологическую интеграцию. Meta* требует от потенциальных партнеров реализовать сквозное шифрование, сопоставимое по надежности с имеющимся в WhatsApp, а это могут воплотить далеко не все платформы.

Но даже когда — и если — сторонние сервисы появятся, только те пользователи WhatsApp, которые сами явно захотели переписываться со сторонними сервисами, получат такую возможность. Автоматически она не включится.

Как будет выглядеть такая переписка?

Пока об этом известно только из бета-версий WhatsApp — для переписок со сторонними сервисами будет отдельный подраздел в приложении, чтобы отделить их от чатов с пользователями WhatsApp.

Изначально будут поддерживаться только переписки между двумя абонентами и обмен файлами/изображениями/видео. Звонков и групповых чатов не будет еще минимум год.

Открытым вопросом остается способ идентификации пользователей. Если в WhatsApp пользователи ищут друг друга по номеру телефона, а в Facebook** — по именам, общим местам работы или учебы, друзьям друзей и прочим подобным приметам (а в конечном счете — по уникальному идентификатору), то на других платформах могут использоваться несовместимые идентификаторы, например короткие имена пользователя в Discord и буквенно-цифровые идентификаторы в Threema. Вероятно, автоматический поиск и сопоставление пользователей будут сильно затруднены, а вот атаки с мошенниками, выдающими себя за других людей, упростятся.

Проблемы шифрования

Одной из ключевых проблем, которая встает при интеграции разных платформ мессенджеров, станет реализация надежного шифрования. Даже если обе платформы основаны на одном и том же протоколе шифрования, возникают технические вопросы хранения и согласования ключей, проверки аутентичности пользователей и многие другие.

А если шифрование значительно отличается, скорее всего, потребуется мост — промежуточный сервер, который расшифровывает сообщения из одного протокола и перешифровывает в другой. Если вам кажется, что вы только что прочитали описание атаки «человек посередине» (MITM) и взлом этого сервера идеален для «прослушки», то… вам не кажется. Недавно это наглядно продемонстрировало провальное приложение Nothing Chats, использовавшее аналогичную схему для реализации возможности общения в iMessage под Android. Иллюстративны и усилия различных подразделений самой Meta* — более пяти лет назад был анонсирован зашифрованный обмен сообщениями между Messenger** и Instagram**, но только в декабре прошлого года компания наконец развернула полномасштабное шифрование в Messenger**, а сквозное шифрование для обмена с Instagram** полноценно не работает и по сей день. И, судя по этой подробной статье, дело не в лени и дефиците времени, а в большой технической сложности проекта.

В целом криптографы относятся к идее кросс-платформенного сквозного шифрования с большим скепсисом. Есть, правда, и специалисты, которые считают проблему решаемой, — например, мост может находиться прямо на компьютере у пользователя. Или же все платформы перейдут на единый децентрализованный протокол обмена сообщениями. Но в этом направлении «киты» рынка мессенджеров не двигаются вообще. Их сложно обвинить в лени и инертности — весь имеющийся по этому поводу практический опыт демонстрирует, что удобное и надежное шифрование сообщений в рамках открытых экосистем реализовать сложно: почитайте хотя бы сагу о PGP-шифровании в e-mail и признания лучших экспертов по криптографии.

Мы собрали имеющуюся информацию о планах по интеграции с WhatsApp/Messenger** крупных платформ для общения и оценили техническую возможность кросс-платформенности.

Сервис Заявление о совместимости с WhatsApp Совместимость шифрования
Discord Не было Не поддерживает сквозное шифрование, интеграция маловероятна
iMessage Не было Использует свою систему шифрования, сопоставимую по надежности с WhatsApp
Matrix Заинтересованы в технической интеграции с WhatsApp и поддерживают DMA в целом Использует свою систему шифрования, сопоставимую по надежности с WhatsApp
Signal Не было Использует протокол Signal, как и сам WhatsApp
Skype Не было Использует протокол Signal, как и сам WhatsApp, но только для приватных чатов (private conversations)
Telegram Не было Большинство чатов не шифруется, а приватные чаты зашифрованы сомнительным алгоритмом
Threema Опасается угроз конфиденциальности при интеграции с WhatsApp. Интеграция маловероятна Использует свою систему шифрования, сопоставимую по надежности с WhatsApp
Viber Не было Использует свою систему шифрования, сопоставимую по надежности с WhatsApp

Проблемы безопасности

Кроме проблем с шифрованием, интеграция различных сервисов приносит дополнительные сложности с защитой от спама, фишинга и других киберугроз. Когда вас спамят в WhatsApp, вы можете мгновенно заблокировать пользователя. После нескольких подобных блокировок от разных пользователей спамер будет ограничен в возможностях писать незнакомым людям. Насколько подобные антиспам-техники смогут работать со сторонними сервисами — большой вопрос.

Еще один вопрос — модерация нежелательного контента, от порнографии до мошеннических лотерей. Везде, где это должны делать алгоритмы и специалисты не одной, а двух компаний, скорость и качество реагирования, вероятней всего, снизятся.

Усложнятся и проблемы конфиденциальности. Устанавливая приложение — например, Skype — вы делитесь информацией с Microsoft, которая и будет ее хранить. Но как только вы захотите написать из Skype в WhatsApp, определенная информация о вас и вашей активности попадет на серверы Meta*. Кстати, на этот случай у WhatsApp уже готово «соглашение для гостей«. Именно эта проблема смущает швейцарцев из Threema, выразивших опасение, что переписка с пользователями WhatsApp приведет к деанонимизации пользователей Threema.

Ну и, конечно, новости о поддержке кросс-платформенности станут идеальным подарком для авторов вредоносного ПО — ведь теперь им станет куда легче заманивать жертв «модами WhatsApp с возможностью переписки с Telegram» или другими вымышленными удобствами. Эта проблема, впрочем, решается проще остальных — вам достаточно устанавливать приложения только из официальных магазинов приложений и использовать надежную защиту на своих смартфонах и компьютерах.

Что делать пользователям?

Если вы пользуетесь WhatsApp и обдумываете общение с абонентами других сервисов

Оцените, сколько людей в вашем окружении не используют WhatsApp, но пользуются иными сервисами, объявившими о совместимости с WhatsApp. Если их мало, то функцию поддержки сторонних мессенджеров лучше вообще не включать: риски спама и нежелательных сообщений перевешивают возможные выгоды.

Если таких людей много, вспомните, общаетесь ли вы на конфиденциальные темы. Даже с учетом требований Meta* к шифрованию переписку со сторонними сервисами «через мост» стоит считать уязвимой к перехвату и несанкционированной модификации. Соответственно, для конфиденциального общения лучше использовать один и тот же защищенный мессенджер (например, Signal).

Если вы решили, что лучшим вариантом станет все сочетание «WhatsApp + сторонний мессенджер», усильте до максимума настройки конфиденциальности в WhatsApp и настороженно воспринимайте новые переписки, особенно если вам пишут незнакомые люди — или знакомые, но по необычным темам. Старайтесь перепроверить, что через сторонний сервис вам пишет именно тот человек, а не мошенник.

Если вы пользуетесь другим мессенджером и он объявил о совместимости с WhatsApp

Конечно, получить в рамках любимого мессенджера доступ ко всем абонентам WhatsApp привлекательно, но если вы используете иной мессенджер для повышения конфиденциальности переписки, то подключение WhatsApp, скорее всего, снизит ее. Сервисы Meta* при переписке будут собирать определенные метаданные, которые могут привести к деанонимизации вашего аккаунта, ну а мост шифрования создаст риски доступа посторонних к переписке. В целом мы не рекомендуем активировать подобную функцию в защищенных мессенджерах, даже когда — и если — она там появится.

Совет для всех

Опасайтесь «модов» и малоизвестных приложений, обещающих связь со всеми платформами и другие чудеса. В большинстве случаев за красивым интерфейсом скрывается вредоносное ПО. Обязательно установите защиту на свой компьютер и смартфон, чтобы зловреды не могли красть вашу переписку прямо из легитимного мессенджера.

 

* Компания Meta признана экстремистской организацией в Российской Федерации.

** Instagram, Facebook и Messenger принадлежат компании Meta*, признанной экстремистской организацией в Российской Федерации.


Источник: Лаборатория Касперского

17.04.2024