что лучше сигнал или телеграмм

laptops 593296 1920 Рейтинг Топ 10
Содержание
  1. Telegram против Signal: сравниваем мессенджеры
  2. Особенности Telegram
  3. Чем интересен Signal
  4. Илон Маск советует мессенджер Signal. Чем он лучше (и хуже) Telegram
  5. Что за Signal такой
  6. Что умеет Signal
  7. Чем он отличается от Telegram
  8. Попробуйте сами
  9. Мессенджер Signal против Telegram и WhatsApp: стоит ли на него переходить
  10. Что это за мессенджер
  11. Различия с другими мессенджерами
  12. Используют ли Signal в России?
  13. Кому стоит переходить на Signal
  14. Signal и Telegram – как создавались самые «шумные» мессенджеры января 2021 и в чем разногласия их основателей
  15. Telegram, Signal, Wickr Me: выбираем самый безопасный мессенджер и разбираемся, существует ли он
  16. О каких мессенджерах пойдет речь?
  17. Как сравнивали мессенджеры?
  18. И что получилось?
  19. Открытость сообществу
  20. Архитектура
  21. Основная функциональность
  22. Информация о найденных недостатках
  23. Возможность обхода биометрической аутентификации
  24. Android
  25. Хранение чувствительной информации в локальном хранилище
  26. Некорректная обработка исключений
  27. Ответы разработчиков
  28. Вывод

Telegram против Signal: сравниваем мессенджеры

Долгое время самым безопасным мессенджером считался Telegram, однако конкуренция растет, и многие переходят на более защищенный Signal. Разбираемся, чем отличаются эти два приложения.

fit 300 200 false crop 5111 2874 0 91 q90 455412 3071dfd81e959e12554cf2641

fit 960 530 false crop 5111 2874 0 91 q90 455412 3071dfd81e959e12554cf2641

Особенности Telegram

Telegram — это бесплатный мессенджер, который благодаря своему большому диапазону функций подходит также для компаний и стартапов. С его помощью пользователи могут отправлять пакеты данных размером до 1,5 Гбайт через облачное хранилище.

Функции: кроме обязательной функции чата, в приложении можно записывать аудио и видеосообщения. Также здесь можно совершать голосовые и видеозвонки, отправлять большие объемы данных в виде документов, изображений, графиков или видео.

Групповые чаты: Необычно и непривычно то, что пользователи Telegram могут общаться с большим количеством других людей в одной группе — до 1000 человек.

Хранение данных: Telegram хранит все загруженные файлы в облаке. Это позволяет использовать информацию на любом устройстве, на котором установлено приложение. Однако у этой технологии есть слабое место: получается, что сервис хранит весь контент на своих серверах. Правда, через некоторое время данные автоматически удаляются.

fit 110 73 false crop 1758 989 0 0 q90 450042 5008c0f4cf8daa8d9985e4a53

Шифрование: сообщения в Telegram шифруются. «Обычные» облачные чаты имеют шифрование клиент-сервер/сервер-клиент. С другой стороны, так называемые «секретные чаты» зашифрованы сквозным шифрованием, а контакты, хранящиеся на смартфоне, не считываются Telegram. Однако сначала вам нужно активировать этот секретный режим.

Требования: вы не можете зарегистрироваться в Telegram без номера телефона. При этом не имеет значения, является ли указанный номер мобильным или стационарным.

Доступность: Telegram можно использовать как на смартфонах, так и в виде версии десктопной версии на ноутбуке или компьютере (Windows, MacOS, Linux). Бесплатное приложение доступно для Android и iOS.

Чем интересен Signal

Бесплатный мессенджер Signal базируется на открытом исходном коде. Это означает, что используемый код является общедоступным и может быть изменен, если это необходимо. У программы есть знаменитые сторонники: Эдвард Сноуден, по его собственным словам, использует Signal каждый день. Однако среди рядовых пользователей эта программа мало популярна — в основном ей пользуются программисты и те люди, которые работают в IT-сфере.

Функции: Signal предлагает все популярные функции мессенджера — от отправки текстовых и голосовых сообщений до аудио и видеозвонков. С помощью этого приложения также можно отправлять файлы, например, документы, фотографии или видео. Облачного хранилища, как в Telegram, здесь нет.

Хранение данных: Signal считывает контакты, хранящиеся на вашем смартфоне. Тем не менее, контакты используются только в приложении, а не хранятся на серверах мессенджера.

fit 110 73 false crop 4943 2780 0 165 q90 447152 1749cd7c987f013feb192eecc

Шифрование: вся связь по Signal защищена сквозным шифрованием. Таким образом, только стороны, присутствующие в чате, могут расшифровать (то есть прочитать) отправленные сообщения. Телефонные звонки здесь защищены от прослушивания: это работает благодаря уникальному номеру безопасности, который присваивается каждому разговору, будь то чат или вызов. Соответственно, Signal подходит для общения, содержание которого не предназначено для чужих ушей.

Требования: чтобы использовать Signal, вы должны указать номер телефона устройства, на которое сможете получать сообщения — проверка при регистрации осуществляется с помощью SMS.

Доступность: Signal может использоваться как приложение для смартфонов на Android (от версии 4.4) и iOS, а также как настольная версия на ноутбуках и компьютерах.

Источник

Илон Маск советует мессенджер Signal. Чем он лучше (и хуже) Telegram

11F6B99E 4D89 44EB 871E 59BBD1730F44

В США в последнее время растёт популярность мессенджера Signal.

Даже Илон Маск поддержал волну хайпа. Он посоветовал пользоваться «Сигналом» у себя в Твиттере:

Что умеет мессенджер и чем он так хорош? Разбираемся.

Что за Signal такой

Сервис обмена сообщениями и звонков Signal во многом похож на Telegram.

Однако он позиционируется как самый защищённый в мире. Абсолютно вся проходящая через него информация скрывается end-to-end шифрованием. То есть доступ к ней есть только у участников беседы.

При передаче информации с помощью сквозного шифрования у отправителя и получателя генерируется специальный ключ, без наличия которого невозможно расшифровать переписку, благодаря чему данные передаются по сети интернете в полной конфиденциальности.

Даже разработчики приложения не могут посмотреть, что вы отправляете друг другу: от сообщений до видео и голосовых.

Кроме того, в Signal используется открытый исходный код, чтобы люди могли увидеть, что в программе нет скрытых функций.

Ну и последнее. Долгое время бывший сотрудник ЦРУ и АНБ Эдвард Сноуден рекомендовал использовать для общения именно Signal.

Что умеет Signal

В этом мессенджере можно отправлять текстовые, голосовые сообщения и файлы, создавать групповые чаты. Есть даже таймер самоуничтожения сообщений.

В Signal можно настроить запрос аутентификации пользователя при входе в программу. Есть код-пароль, привычный Touch ID или Face ID.

B94625F7 1D47 4217 9B60 B29F2B7C685A

Приложение позволяет поставить защиту от предпросмотра содержимого в чате при переключении приложений в iOS. Таким образом переписка будет защищена от посторонних глаз.

7ABF1FDF BC71 463D 80DE 4D2F6D9A40FF

Удобная фишка: в Signal можно настроить запрос пароля при бездействии и выбрать необходимый интервал времени для этого, чтобы ненароком не открыть чат для чужих глаз.

Кроме того, мессенджер позволяет подтвердить личность людей, с которыми вы общаетесь, чтобы убедиться, что их ключ шифрования не был изменён во время загрузки на ключ хакера.

9E2FE1DA 4BFB 49E5 AD08 A109926C074E

Сделать это можно с помощью уникальных QR кода и столбцов с цифрами верификационного ключа, которые необходимо отсканировать с помощью камеры своего смартфона.

Что радует, так это то, что настроек приватности огромное множество:

8C389D20 F4E0 411D AB91 04B6C7A8371B

▪️ Ретрансляция звонков через сервера Signal для защиты IP-адреса
▪️ Отображение звонков вне мессенджера, например, в штатном приложении Телефон
▪️ Изменение пин-кода, настройка напоминания о необходимости его смены
▪️ Запрос пин-кода при повторной регистрации в Signal
▪️ Блокировка мессенджера с помощью пин-кода, Face ID или Touch ID
▪️ Защита экрана: содержимое мессенджера не отображается в многозадачности
▪️ Разрешение на переписку с абонентами, которых нет в списке контактов
▪️ Очистка истории чатов

Читайте также:  повер банк какой лучше выбрать для андроид

Кроме того, можно настроить отображение уведомлений на экране блокировки. Например, показывать только имя отправителя или скрыть даже его, оставив просто логотип Signal.

Если нажать на имя собеседника прямо в чате, можно просмотреть вложения и включить исчезающие сообщения. Они будут удаляться через определенное время, которое вы установите сами.

Чем он отличается от Telegram

38C6AFAC E9D3 40A1 BA98 06865E92A843

Первое, что отличает Telegram от Signal — это методы защиты переписок. В «телеге» сквозное шифрование сообщений по умолчанию недоступно, оно работает только в Секретных чатах. Это означает, что обычные сообщения зашифрованы на вашем устройстве, а затем расшифрованы на сервере Telegram.

«Сигнал» же использует end-to-end везде. То есть любая переписка хранится только на устройствах пользователей.

В Telegram можно отправлять видеосообщения и запланированные на определённое время сообщения, а также их редактировать и удалить у обоих собеседников. В Signal таких функций нет.

Наконец, в «самом защищённом мессенджере» ограничен функционал, касаемый стикеров. Их нельзя добавить одним тапом по понравившейся наклейке, а только по ссылке. Вернее, добавить по тапу можно, но только при условии, что изображение скинул другой участник чата.

Каналов и публичных чатов здесь нет, так что и найти что-то внутри мессенджера не получится.

Попробуйте сами

Signal распространяется в App Store и Google Play совершенно бесплатно. В нём нет встроенных покупок.

Источник

Мессенджер Signal против Telegram и WhatsApp: стоит ли на него переходить

facebook post 15

facebook post 15

В январе Илон Маск посоветовал своим Twitter-подписчикам перейти на супербезопасный мессенджер Signal. Вскоре после этого WhatsApp анонсировал изменение политики конфиденциальности, и пользователи стали активно переходить в новое приложение. «Служба добрых дел разбирается», нужно ли вам последовать этому примеру.

Что это за мессенджер

Создатели Signal позиционируют мессенджер как самый безопасный на рынке. В подтверждение на главной странице сайта приложения находится цитата Эдварда Сноудена: «Я использую Signal ежедневно».

screenshot 2

В отличие от других приложений единственные данные, которые Signal собирает о пользователях – номера мобильных телефонов. Все остальное либо хранится локально на устройствах, либо подвергается сквозному шифрованию.

Различия с другими мессенджерами

По интерфейсу Signal – классический мессенджер, который практически не отличается от Telegram или WhatsApp. Его главная особенность – многоступенчатая защита любого способа общения.

1. Первая ступень безопасности – end-to-end шифрование. Чат могут прочитать только отправитель и получатель. Переписку не может увидеть даже разработчик.

Такую же технологию использует Telegram, но только в секретных диалогах. В WhatsApp шифруется каждый диалог – но если хотя бы один участник переписки создает резервную копию чата или экспортирует его, то шифрование становится бессмысленным.

facebook post 16

В Signal защищен каждый чат, видео- и аудиозвонки – в том числе групповые беседы и групповые конференции. Создать резервную копию можно только при переносе данных с одного смартфона на другое – у пользователя при этом должен быть доступ к обоим устройствам.

2. Вторая ступень безопасности – возможность подтвердить собеседника. Сквозное шифрование само по себе – не новость: его используют и WhatsApp, и Telegram. Но если одним из устройств завладеют, то у собеседников не будет возможности об этом узнать.

В «Сигнале» собеседники получают коды сверки – их можно сверить при личной встрече и отметить диалог как подтвержденный. Если один из собеседников авторизуется с нового устройства, второй получит уведомление о том, что контакт больше не является подтвержденным.

3. Переписка и данные пользователей не хранятся на серверах разработчика. Создатели Signal выложили код приложения в открытый доступ: каждый желающий может проверить, что мессенджер не перехватывает сообщения.

Для сравнения: Telegram собирает дополнительно ваше имя, контакты и ID. WhatsApp добавляет к этому списку данные о рекламе, историю покупок, местоположение, то, как часто вы используете приложение и многое другое.

4. Пароль. Приложению можно присвоить PIN-код – вы сможете увидеть переписку после того, как правильно его введете. Эта опция копирует возможности WhatsApp и Telegram, но без нее защита не была бы полной.

Чтобы сохранить полную приватность, стоит учитывать некоторые отличия от других мессенджеров.

Используют ли Signal в России?

Мессенджер начал активно расти только в 2020 году. После новости об изменении политики конфиденциальности WhatsApp количество пользователей за месяц увеличилось в 2 раза: с 20 миллионов в декабре до 40 миллионов в январе 2021. Но это количество несравнимо с популярностью Telegram (500 млн человек в январе 2021 года) и тем более – WhatsApp (2 млрд человек в декабре 2020 года).

В России ситуация еще более однозначная. По данным мобильных операторов, российские пользователи больше всего переписываются в WhatsApp и Telegram. Часть населения использует Viber, Skype, FaceTime, Facebook, IMO и WeChat – и ни один оператор не упоминает Signal.

Кому стоит переходить на Signal

Тем, кому важна приватность переписки – например, кому нужно держать в полной безопасности рабочие чаты. Мессенджер позволяет создавать конфиденциальные групповые чаты и проводить групповые звонки, надежно защищенные шифрованием.

А вот личную переписку вести там сейчас смогут далеко не все. Российские пользователи предпочитают пока что другие средства связи – менее безопасные с точки зрения конфиденциальности.

Источник

Signal и Telegram – как создавались самые «шумные» мессенджеры января 2021 и в чем разногласия их основателей

С 2013 года Telegram динамично развивался, имея в ноябре того же года первый миллион установок. Размещенный в открытом доступе исходный код способствовал распространению мессенджера: одним из программистов-участников дуровского хакатона была сделана Android-версия приложения, а бывший разработчик «ВК» Игорь Жуков сделал веб-версию Webogram.

Помимо возможности облачного общения с помощью протокола защиты MTProto, Telegram поддерживал и приватные чаты со сквозным «end-2-end» шифрованием, который предусматривал хранение информации только между двумя пользователями, без их отправки на серверы приложения и дальнейшей расшифровки. 24 марта 2014 года Telegram объявил, что мессенджер достиг 35 миллионов пользователей в месяц и 15 миллионов активных пользователей. Лютые угары с Роскомнадзором только усилили интерес и хайп вокруг Telegram и помогли ему разрастись еще сильнее, что в конце концов привело к снятию блокировки, а Роскомнадзор выразил позицию, что Дуров – «наш, русский, и уж лучше Telegram, чем все эти WhatsApp и прочее». В принципе, пересказ дальнейшей истории Telegram смысла не имеет, все происходило совсем недавно и на наших глазах.

Читайте также:  чем лучше отмывать пластиковые подоконники

Казалось бы, стоит хорошенько поискать, чтобы найти персонажа, который будет еще ярче, чем Дуров.

В 10-х годах 21 века наблюдался бум смартфонов. Для Марлинспайка это был вызов и возможность показать себя, сделав общение текстовыми и голосовыми сообщениями безопасным. Мокси и его друг Стюарт Андерсон (робототехник с докторской степенью) создали компанию Whisper Systems, с конвейера которой сошли проекты TextSecure, защищавший тестовую переписку, и RedPhone, отвечавший за защиту общения посредством голосовых сообщений. Арабские партнеры и инвесторы способствовали незначительному, но распространению продуктов Whisper Systems. Мокси Мерлинспайк хотел большего распространения.

На Мокси вышел Twitter, в начале 10-х годов страдающий от постоянных утечек информации из аккаунтов звезд, журналистов и прочих медийных мира сего. Мерлинспайк пошел на сделку, после которой возглавил службу по безопасности Twitter. Он мечтал о том, что Twitter вообще не будет хранить IP-адреса своих пользователей, чтобы власти не могли идентифицировать личности пользователей, как это получилось сделать во времена протестов 2012 года на Уолл-стрит. Мечта требовала серьезных вложений, целесообразность которых совет директоров не понял. Мокси покинул Twitter, получив от суммы сделки лишь миллион долларов и разрешением выпускать продукты с открытым исходным кодом.

Мерлинспайк зарегистрировал Open Whisper Systems, добился инвестиционной поддержки, нанял команду разработчиков, с которой любил ездить на Гавайи, чтобы кодить и заниматься сёрфингом. Однажды они насёрфили и накодили Signal – мессенджер, считающийся самым надёжным прямо сейчас. Да, популярности уровня Telegram он не имеет. Но алгоритм сквозного шифрования Signal Protocol, отвечающий за безопасность общения в мессенджере, очень даже популярен. Настолько, что его используют в своих продуктах Google, Facebook и Microsoft.

Жизнь столкнула Дурова и Марлинспайка все в том же Twitter. Не чужой для истории нашей страны Эдвард Сноуден решился вслух порассуждать о безопасности в Интернете, назвав мессенджер Signal самым безопасным средством общения, которым он пользуется каждый день, а Telegram назвал не самым безопасным местом, так как тот хранит переписку в облаке, чтобы пользователь мог иметь к ней доступ с разных устройств. На этот «зов» откликнулся Мокси Марлинспайк, сказав, что то, чем Telegram себя позиционирует, и то, что он есть на самом деле – максимально отдаленные друг от друга вещи. Переписку увидел Павел Дуров, после чего напомнил, что в его мессенджере есть секретный чат, защищенный сквозным шифрованием, как и у Signal, а что выбирать – облачное хранение или сквозное шифрование – решает сам пользователь. Попутно Дуров назвал сообщение Мокси «проплаченным бредом».

В 2017 году Мокси Марлинспайк снова обрушился с критикой на мессенджер Павла Дурова, сказав, что Павел подкупает пользователя, вследствие чего последний доверяет Дурову, а не безопасному мессенджеру. «Дуров – миллиардер, убеждающий пользователей, что его нельзя купить».

Источник

Telegram, Signal, Wickr Me: выбираем самый безопасный мессенджер и разбираемся, существует ли он

i ud2bzdkndb0a7ag9sdvy9n5ps

Нас часто спрашивают, насколько хорошо те или иные популярные мессенджеры хранят тайны своих пользователей — переписку и пересылаемые файлы, существуют ли риски взлома самих сервисов, да и вообще, есть ли он — идеальный безопасный мессенджер? Команда департамента аудита и консалтинга Group-IB провела сравнительный анализ защищенности трех основных мессенджеров, которых чаще других называют в списке наиболее защищенных. В этой обзорной статье мы представим результаты независимого исследования и дадим свой ответ, какой мессенджер безопаснее.

О каких мессенджерах пойдет речь?

Сразу оговоримся, что отбор мессенджеров для нашего обзора производился на основе анализа существующих открытых исследований защищенности мессенджеров, их популярности в России и их позиционирования на рынке.

По итогам оценки и изучения мнений экспертов отрасли наша команда выбрала три мессенджера, ориентированные на защиту данных пользователей:

image loader

Мессенджеры устанавливались на смартфоны с iOS версии 13.3.1 и Android версии 7.1.2, при этом на смартфонах заранее были получены права суперпользователя (jailbreak для iOS и root-доступ для Android).

Как сравнивали мессенджеры?

Теперь вкратце расскажем о методике проведенного анализа защищенности. На рисунке ниже отображена схема формирования оценки по каждому мессенджеру.

image loader

Для проведения анализа мы выбрали три основные категории:

В категориях «Архитектура» и «Основная функциональность» оценка складывалась на основе результатов технических (инструментальных) проверок, которые проводились по стандарту OWASP Mobile Security Testing Guide.

В категории «Архитектура» после проведения инструментальных проверок мы получили оценку:

В категории «Основная функциональность» оценивалась корректность работы следующих функций мессенджеров:

Таким образом, максимальная итоговая оценка мессенджера может составить 332 балла и складывается в следующем отношении:

image loader

Если вам интересно узнать больше — полную информацию о методологии проведенного анализа защищенности можно найти здесь.

Сразу оговоримся, что в границы нашего исследования не вошли:

И что получилось?

Пришло время поделиться результатами исследования: как видно на диаграмме ниже, наибольшее количество баллов набрал Wickr Me — 304 из 332 возможных:

image loader

В таблице отражено, как складывалась оценка каждого мессенджера:

image loader

Давайте рассмотрим лидеров в каждой категории и найденные недостатки, после чего немного детальнее рассмотрим каждый из них.

Открытость сообществу

Лидеры в этой категории — Signal и Telegram — набрали одинаковое значение, 10 баллов. Репозитории мессенджеров содержат исходный код приложения и протоколы, доступные для исследования всем желающим. Однако мессенджеры держат закрытой серверную часть приложения, поэтому не получили максимальную оценку.

Wickr Me набрал меньше баллов, так как мессенджер не раскрывает исходный код.

Архитектура

В этой категории есть общий для мессенджеров недостаток — возможность обхода биометрической аутентификации. Эксплуатируя этот недостаток, можно получить доступ к данным пользователя мессенджера.

Лидером в категории «Архитектура» является Wickr Me, который содержит меньше выявленных недостатков, чем у конкурентов.

Signal и Telegram набрали меньше баллов, так как «небезопасно» хранят чувствительные данные мессенджера и профиля пользователя на клиентской стороне.

Из плюсов следует отметить, что все мессенджеры поддерживают E2EE-шифрование передаваемых данных, поэтому оценка Certificate pinning не проводилась.

Основная функциональность

Эту категорию можно расширять до бесконечности, но у нашей команды не было цели исследовать все реализованные фичи, и мы остановились на изучении основной функциональности мессенджеров и их безопасности:

Читайте также:  что лучше синекод или коделак или омнитус

Лидерами данной категории стали Wickr Me и Telegram, набрав максимальное количество баллов.

Версия мессенджера Signal под платформу Android содержит недостаток обработки исключений, который приводит к остановке приложения (то есть мессенджер сразу закрывается), поэтому Signal набрал меньше баллов в этой категории.

Информация о найденных недостатках

Мы описали общие результаты исследования, а теперь перейдем к более технической части. Ниже описаны некоторые детали выявленных недостатков мессенджеров.

Напомним, что все выявленные недостатки были обнаружены на устройствах с root-доступом (или к устройству применен jailbreak).

Первый недостаток, характерный для всех трех мессенджеров (для обеих платформ) — это возможность обхода описанной выше биометрической аутентификации. Дальше мы рассмотрим этот недостаток для каждой платформы.

Возможность обхода биометрической аутентификации

Современные смартфоны поддерживают несколько механизмов аутентификации, и один из возможных — это биометрическая аутентификация при помощи Touch ID или Face ID. При включенной функции биометрической аутентификации устройство сканирует отпечаток пальца (или лицо) и сравнивает с эталонным, заранее занесенным в систему.

У всех приложений, в том числе мессенджеров из нашего списка, для платформы iOS биометрическая аутентификация пользователя осуществляется при помощи Local Authentication Framework с использованием функции evaluatePolicy класса LAContext. Рассмотрим работу биометрической аутентификации немного подробнее.

Как выглядит биометрическая аутентификация для пользователя?

При нажатии на логотип мессенджера отображается диалоговое окно аутентификации, которое запрашивает у пользователя подтверждение действия, например, изменение настроек, покупку и т.д. с помощью биометрической аутентификации (Touch ID/Face ID).

В зависимости от того, как закончился процесс биометрической аутентификации, функция evaluatePolicy возвращает значение («true» или «false»), которое используется далее для управления приложением (например, открывается мессенджер или нет).

В чем заключается недостаток?

У всех исследуемых мессенджеров недостаток реализации биометрической аутентификации состоит в том, что пользователь аутентифицируется лишь на основе результата функции evaluatePolicy («true» или «false») и мессенджер не использует системные механизмы авторизации при доступе к значениям из защищенного хранилища Keychain. Более подробно о локальной аутентификации можно узнать в Mobile Security Testing Guide: здесь и здесь.

Как устранить недостаток?

Один из способов устранить описанный недостаток — создать в защищенном хранилище Keychain запись, которая будет содержать некоторый секрет (например, упомянутый ранее аутентификационный токен). При сохранении записи в Keychain необходимо задать соответствующие атрибуты, например, kSecAccessControlTouchIDAny или kSecAccessControlTouchIDCurrentSet.

Далее, чтобы получить значение этой записи, нужно будет обязательно успешно пройти локальную аутентификацию (в зависимости от заданных настроек доступа в Keychain — с помощью Touch ID/Face ID или ввода парольной фразы). Использование Keychain с необходимыми атрибутами сохраняемых в нем объектов позволит снизить возможность получения доступа к данным мессенджера.

Android

Описанный выше недостаток характерен и для мессенджеров платформы Android, поэтому мы рассмотрим работу биометрической аутентификации немного подробнее.

В приложении для платформы Android биометрическая аутентификация пользователя осуществляется с использованием классов FingerprintManager (не используется с Android 9), BiometricPrompt, BiometricManager.

Процесс биометрической аутентификации для пользователя на платформе Android выглядит абсолютно так же, как и на iOS.

В чем заключается недостаток?

Недостаток реализации биометрической аутентификации исследуемых мессенджеров для платформы Android аналогичен недостатку для iOS — не используются возможности операционной системы и устройства: мессенджеры не запрашивают системную авторизацию пользователя через KeyStore. Таким образом, потенциальный злоумышленник может подменять результат выполнения процедуры аутентификации для ее обхода.

Как устранить недостаток?

Для устранения данного недостатка в приложении рекомендуется использовать симметричные/асимметричные криптографические ключи (класс KeyGenerator), при инициализации которых вызывать функцию setUserAuthenticationRequired (true). Вызов данной функции позволяет получить доступ к значениям соответствующих криптографических ключей только после успешного прохождения процесса локальной аутентификации. Ключи при этом используются для шифрования некоторого секрета, например, аутентификационного токена в приложении.

Хранение чувствительной информации в локальном хранилище

Еще один обнаруженный недостаток — небезопасное хранение чувствительных данных в локальном хранилище — характерен для двух из трех мессенджеров.

Ниже мы привели примеры небезопасного хранения чувствительной информации в локальном хранилище, которые встречаются у некоторых мессенджеров платформы iOS:

Для устранения данного недостатка рекомендуется пересмотреть архитектуру и способы хранения чувствительных данных мессенджера.

Еще раз напомним, что вышеуказанные чувствительные данные мессенджера недоступны без использования root-доступа (или jailbreak) на устройстве.

Некорректная обработка исключений

Данная уязвимость относится только к платформе Android и мессенджеру Signal.

При исследовании основной функциональности мессенджеров осуществлялась отправка файлов разных форматов. В результате был найден один сценарий, при котором отправка файла вызывала остановку в работе мессенджера со следующей ошибкой: «Signal has stopped».

Исследование лог-файлов мессенджера показало, что у мессенджера есть необрабатываемое исключение. Информация об ошибке на внешние серверы не отправляется.

Как устранить недостаток?

Чтобы избавиться от данного недостатка, нужно реализовать проверку формата файла, который пользователь выбирает для отправки.

Ответы разработчиков

Обо всех описанных выше недостатках наша команда сообщила разработчикам мессенджеров. На момент публикации мы получили ответ от двух из трех мессенджеров (Signal и Telegram), третий на наши вопросы так и не ответил.

Разработчики поблагодарили нашу команду за предоставленную информацию и сообщили, что не считают выявленные недостатки уязвимостью, поскольку исследуемые версии мессенджеров используют для защиты данных мессенджера штатные механизмы защиты информации операционной системы. Используемые механизмы не позволяют эксплуатировать выявленные недостатки, а использование на устройстве root-доступа (или jailbreak) остается на усмотрение пользователя.

Тем не менее, мессенджеры могут реализовать проверку наличия root-прав на устройстве и уведомлять об этом пользователя устройства для снижения риска потенциальной компрометации данных.

Вывод

Мы провели сравнительный анализ защищенности трех мессенджеров, позиционирующих себя как безопасные, и выяснили, что все мессенджеры имеют ряд общих недостатков, а у Signal и Telegram также выявлены недостатки реализации хранения чувствительной информации в локальном хранилище.

Несмотря на то, что эксплуатация вышеуказанных недостатков возможна только при наличии физического доступа к смартфону, по оценке нашей команды, все эти недостатки снижают уровень защищенности данных пользователя.

По итогам всех проверок лидером нашего исследования стал мессенджер Wickr Me, который набрал 304 балла и у которого выявлено меньше всего недостатков.

Вывод прост: абсолютно безопасных мессенджеров нет, но мы надеемся, что благодаря этому исследованию вы сможете сохранить конфиденциальность и повысить безопасность своего общения, зная обо всех подводных камнях выбранного вами сервиса.

Источник

Рейтинг товаров
Adblock
detector