Почему WhatsApp никогда не станет безопасным
В отличие от Telegram, WhatsApp не открывает исходный код, поэтому исследователи безопасности не могут легко проверить, есть ли там бэкдоры. WhatsApp не только не публикует код, они делают прямо противоположное: WhatsApp специально обфусцирует бинарные файлы своих приложений, чтобы никто не мог их тщательно изучить.
Возможно, WhatsApp и её материнская компания Facebook даже обязаны реализовать бэкдоры — через секретные процессы, такие как секретные приказы ФБР. Нелегко запустить безопасный мессенджер, находясь в США. За неделю, проведённую нашей командой в США в 2016 году, к нам трижды пытались проникнуть агенты ФБР. Представьте, что произойдёт с американской компанией за 10 лет работы в такой среде.
Я понимаю, что силовые структуры оправдывают установку бэкдоров антитеррористическими усилиями. Проблема в том, что такие бэкдоры могут также использоваться преступниками и авторитарными правительствами. Неудивительно, что диктаторы, похоже, любят WhatsApp. Отсутствие безопасности позволяет им шпионить за своими гражданами, поэтому WhatsApp не блокируют в таких странах, как Россия или Иран, где Telegram запрещён властями.
Собственно говоря, моя работа над Telegram стала прямым ответом на личное давление со стороны российских властей. Тогда, в 2012 году, WhatsApp все ещё передавал сообщения открытым текстом. Это безумие. Не только правительства или хакеры, но и мобильные провайдеры и администраторы WiFi имели доступ ко всем текстам WhatsApp.
Позже WhatsApp добавил некоторое шифрование, которое быстро оказалось маркетинговой уловкой: ключ для расшифровки сообщений был доступен, по крайней мере, нескольким правительствам, включая Россию. Затем, когда Telegram начал набирать популярность, основатели WhatsApp продали свою компанию Facebook и заявили, что у них «конфиденциальность встроена в ДНК». Если это правда, то это, наверное, спящий или рецессивный ген.
Три года назад WhatsApp объявил, что они внедрили сквозное шифрование, поэтому «никакая третья сторона не может получить доступ к сообщениям». Это совпало с агрессивным призывом ко всем пользователям создать резервную копию своих чатов в облаке. При этом WhatsApp не сказал пользователям, что при резервном копировании сообщения больше не защищены сквозным шифрованием и могут быть доступны хакерам и правоохранительным органам. Блестящий маркетинг, в результате которого некоторые наивные люди теперь отбывают тюремный срок.
Тех, кто не поддался на постоянные всплывающие окна, рекомендующие создавать резервные копии своих чатов, всё ещё можно отследить с помощью ряда трюков — от доступа к резервным копиям контактов до незаметных изменений ключа шифрования. Метаданные, генерируемые пользователями WhatsApp — логи, описывающие, кто с кем и когда общается, — просачиваются во все агентства в больших объёмах через материнскую компанию. Кроме того, вы получаете набор критических уязвимостей, сменяющих друг друга.
У WhatsApp стабильная и последовательная история — от нулевого шифрования при создании до нынешних уязвимостей, странно подходящих для целей наблюдения. Оглядываясь назад, за их десятилетнюю историю не было ни одного дня, когда этот сервис был безопасным. Вот почему я не думаю, что простое обновление мобильного приложения WhatsApp сделает его безопасным. Чтобы стать сервисом, ориентированным на конфиденциальность, WhatsApp должен рискнуть потерей целых рынков и столкнуться с властями в своей стране. Они, кажется, не готовы к этому.
В прошлом году основатели WhatsApp покинули компанию из-за опасений за конфиденциальность пользователей. Они определённо связаны либо секретными приказами, либо NDA, поэтому не могут публично обсуждать бэкдоры, не рискуя потерять своё состояние и свободу. Однако они смогли признать, что «продали конфиденциальность своих пользователей».
Я могу понять нежелание основателей WhatsApp предоставить более подробную информацию — нелегко поставить под угрозу свой комфорт. Несколько лет назад мне пришлось покинуть свою страну после отказа соблюдать санкционированные правительством нарушения конфиденциальности пользователей «ВКонтакте». Это было неприятно. Но сделаю ли я что-то подобное снова? С удовольствием. Каждый из нас рано или поздно умрёт, но мы, как вид, останемся здесь на некоторое время. Вот почему я думаю, что накопление денег, славы или власти не имеет значения. Служить человечеству — это единственное, что действительно имеет значение в долгосрочной перспективе.
И всё же, несмотря на наши намерения, я чувствую, что мы подвели человечество во всей этой шпионской истории WhatsApp. Многие люди не могут прекратить использовать WhatsApp, потому что их друзья и семья всё ещё там. Это означает, что мы в Telegram проделали плохую работу, убеждая людей переключиться. Хотя за последние пять лет мы привлекли сотни миллионов пользователей, этого оказалось недостаточно. Большинство пользователей интернета по-прежнему остаются заложниками империи Facebook/WhatsApp/Instagram. Многие из тех, кто использует Telegram, также находятся на WhatsApp, то есть их телефоны по-прежнему уязвимы. Даже те, кто полностью отказался от WhatsApp, вероятно, используют Facebook или Instagram, оба из которых думают, что это нормально хранить ваши пароли в открытом тексте (я до сих пор не могу поверить, что техническая компания способна сделать что-то подобное и выйти сухой из воды).
