Весь мир потрясла новость о том, что приложение WhatsApp превратило устройства его пользователей в шпионские приспособления для слежки за людьми. Само наличие WhatsApp дало хакерам полный доступ к личным данным пользователя, включая фотографии, электронную почту и сообщения [1].

Однако эта новость меня совсем не удивила. В прошлом году WhatsApp столкнулись с похожей проблемой, которую им пришлось признать публично: одного видеозвонка было достаточно, чтобы получить доступ к абсолютно всем данным вашего устройства [2].

Стоит WhatsApp исправить одну серьезную уязвимость в работе приложения, на ее месте появляется новая. Все проблемы, связанные с защитой персональных данных, подозрительно удобны для обеспечения постороннего доступа, а по своему виду и функционированию они напоминают бэкдоры (дефект алгоритма, который намеренно встраивается в него разработчиком и позволяет получить несанкционированный доступ к данным или удаленному управлению операционной системой и компьютером в целом. — Правила жизни).

В отличие от Telegram, WhatsApp не является открытым источником, поэтому провести быструю проверку кода на наличие бэкдоров практически невозможно. WhatsApp не просто не публикует код своего приложения, но поступает ровно наоборот: намеренно делает все возможное, чтобы скрыть свой двоичный код и предотвратить любые попытки его изучения.

Не исключено, что компании Facebook (Социальная сеть признана экстремистской и запрещена на территории Российской Федерации) и принадлежащая ей WhatsApp вынуждены внедрять бэкдоры по приказу правительственных структур, например ФБР [3]. Разрабатывать приложение с защищенной связью на территории США очень нелегко. За одну неделю, что моя команда провела в США в 2016 году, мы зафиксировали три попытки несанкционированного доступа со стороны ФБР [4, 5]. Теперь представьте, что может произойти с компанией за десять лет в такой обстановке.

Я понимаю попытки силовых структур оправдать внедрение бэкдоров в целях борьбы с терроризмом. Но проблема заключается в том, что бэкдорами также могут пользоваться преступники и правительство стран с авторитарной формой правления. Неудивительно, что диктаторам, в частности, нравится приложение WhatsApp. Отсутствие защиты данных позволяет им следить за собственными гражданами, и WhatsApp по‑прежнему находится в свободном доступе для жителей таких стран, как Россия или Иран, в отличие от Telegram, который в перечисленных странах запрещен [6].

Идея создать Telegram стала моим прямым ответом вторжению в частную жизнь со стороны российского правительства. Тогда, в 2012 году, передача данных в WhatsApp по‑прежнему не шифровалась и осуществлялась в открытом тексте. Это же настоящее безумие — не только правительственные структуры и хакеры имеют доступ к вашим сообщениям в WhatsApp, но и мобильные операторы и WiFi-администраторы [7, 8].

Позже WhatsApp ввела незначительное шифрование, которое оказалось очередным маркетинговым ходом: возможность расшифровывать сообщения по‑прежнему сохранялась для некоторых государств, в том числе для России [9]. Затем, с ростом популярности Telegram, основатели WhatsApp продали свою компанию Facebook (Социальная сеть признана экстремистской и запрещена на территории Российской Федерации), заявив, что «конфиденциальность прописана в наших ДНК» [10]. Очевидно, в случае с WhatsApp конфиденциальность должна быть либо спящим, либо рецессивным геном.

Три года спустя WhatsApp анонсировала введение сквозного шифрования, «запрещающего доступ третьих лиц к сообщениям». В то же самое время приложение стало вести агрессивную политику по использованию облачных сервисов, что вынудило многих пользователей сохранять чаты в облаке. Однако WhatsApp не оповестил своих пользователей о том, что сквозное шифрование не распространяется на облачное хранилище и что, оказавшись в нем, данные вновь становятся уязвимы для доступа и манипуляции третьим лицам. Гениальный маркетинг, из-за которого некоторые наивные люди даже попали в тюрьму [11].

Но данные пользователей, не поддавшихся настойчивым сообщениям о необходимости резервного копирования, по‑прежнему можно заполучить, например, через резервные копии других пользователей или незаметные изменения в ключе шифрования [12]. Информация о переписках пользователей WhatsApp фиксируется в метаданных, которые в гигантских объемах просачиваются в компанию — владельца WhatsApp и оттуда передаются различным агентствам [13]. Помимо этого в работе приложения прослеживается вереница серьезных уязвимостей в защите.

Развитие WhatsApp проходит очень планомерно — от отсутствия шифрования к его внедрению и последующей череде проблем защиты данных, подозрительно удобных для хакерского доступа к данным. Но правда заключается в том, за десять лет существования WhatsApp не было и дня, когда данные всех пользователей были под защитой. Если WhatsApp решит стать сервисом, ориентированным на безопасность и конфиденциальность данных, компании придется потерять значительную часть своего рынка и находиться под постоянной угрозой со стороны собственного правительства. Не похоже, что компания к этому готова [14].

В прошлом году основатели WhatsApp покинули компанию из-за обеспокоенности за приватность пользователей [15]. Без сомнений, их связывает закон о неразглашении либо подписание NDA (контракта о неразглашении. — Правила жизни), запрещающего публичное обсуждение внедрения бэкдоров без риска потерять состояние и свободу. Тем не менее они признали, что «продали приватность своих пользователей» [16].

Я могу понять нежелание основателей WhatsApp предоставлять более детальную информацию: пожертвовать собственным удобством нелегко. Несколько лет назад я отказался мириться со вторжением в приватность пользователей VK, санкционированным правительством, за что мне пришлось покинуть свою страну [17]. Приятного в этом было мало. Но согласился бы я повторить что-то подобное? Охотно. Мы все когда-нибудь умрем, но само человечество продолжит жить. Поэтому я не вижу смысла копить богатство и гнаться за славой и величием. Все это скороспешно, в контексте целой жизни есть смысл только в том, чтобы приносить пользу остальным людям.

Хотя наши намерения добры, я не могу перестать ощущать, что всей этой историей со шпионским ПО, в которое превратился WhatsApp, мы сильно подвели человечество. Многие люди не могут перестать пользоваться WhatsApp из-за того, что для них это один из немногих способов общаться с друзьями и родственниками. Лично для меня это означает, что мы в Telegram плохо выполнили свою работу и не смогли убедить людей перейти на него. Да, за последние пять лет мы привлекли сотни миллионов новых пользователей, но этого недостаточно. Большинство интернет-пользователей по‑прежнему остаются заложниками империи Facebook (Социальная сеть признана экстремистской и запрещена на территории Российской Федерации)/WhatsApp/Instagram (Социальная сеть признана экстремистской и запрещена на территории Российской Федерации). Многие пользователи Telegram также используют WhatsApp, следовательно, их устройства по‑прежнему уязвимы. Даже те, кто удалил WhatsApp, скорее всего, пользуются Facebook (Социальная сеть признана экстремистской и запрещена на территории Российской Федерации) и Instagram (Социальная сеть признана экстремистской и запрещена на территории Российской Федерации), то есть сервисами, которые не видят никаких проблем в том, чтобы хранить ваши пароли в открытом тексте [18, 19] (я до сих пор не могу поверить, что технологические компании позволяют себе делать что-то подобное и им это сходит с рук).

За шесть неполных лет своего существования в Telegram не было ни одной большой утечки данных или проблем защиты данных, которые в WhatsApp случаются каждый месяц. За эти шесть лет мы не передали и байта пользовательских данных третьим лицам, в то время как Facebook (Социальная сеть признана экстремистской и запрещена на территории Российской Федерации) и WhatsApp делились всем с любым, кто заявлял, что работает на правительство [13].

Мало кто за пределами сообщества пользователей Telegram знает, что большинство идей и опций в системе обмена сообщениями первоначально появились в Telegram, а затем вплоть до малейших деталей были скопированы в WhatsApp. Более того, мы стали свидетелями попыток Facebook (Социальная сеть признана экстремистской и запрещена на территории Российской Федерации) присвоить себе философию Telegram: внезапно Марк Цукерберг стал разглагольствовать о высокой значимости приватности и быстроты сервисов, а его речь на F8 была практически дословным пересказом описания приложения Telegram.

Но разговоры о лицемерии и отсутствии креативности фейсбука (Социальная сеть признана экстремистской и запрещена на территории Российской Федерации) ни к чему не приведут. Мы должны признать, что Facebook (Социальная сеть признана экстремистской и запрещена на территории Российской Федерации) ведет очень грамотную стратегию. Посмотрите, во что он превратил Snapchat [20].

Мы в Telegram должны признать, что ответственность за формирование будущего лежит на нас. Либо мы, либо монополия Facebook (Социальная сеть признана экстремистской и запрещена на территории Российской Федерации). Либо свобода и приватность, либо алчность и лицемерие. Наше соперничество с Facebook (Социальная сеть признана экстремистской и запрещена на территории Российской Федерации) длится уже 13 лет. Однажды мы уже победили, когда отстояли рынок социальных сетей Восточной Европы [21]. И мы снова победим, на этот раз на мировом рынке мессенджеров. У нас нет иного выбора.

Будет непросто. Отдел маркетинга Facebook (Социальная сеть признана экстремистской и запрещена на территории Российской Федерации) огромен. В то же время в Telegram совсем нет маркетинга. Мы не хотим платить журналистам и исследователям, чтобы те рассказали всему миру о том, какой прекрасный Telegram. Для этой цели у нас есть вы — наши пользователи. Если вам нравится Telegram, вы расскажете о нем своим друзьям. И если каждый пользователь Telegram убедит трех своих друзей перейти на Telegram и удалить WhatsApp, то уже за счет одного этого Telegram станет популярнее WhatsApp.

Эре алчности и лицемерия приходит конец. Наступает эра свободы и приватности. И она гораздо ближе, чем кажется.

Источник — по ссылке.

Ссылки на факты, упомянутые в тексте:

[1] Business Insider WhatsApp was hacked and attackers installed spyware on people’s phones — 15 мая, 2019 год.

[2] Security Today WhatsApp Bug Allowed Hackers to Hijack Accounts — 12 октября, 2018 год.

[3] «Википедия» Gag order — United States

[4] Neowin FBI asked Durov and developer for Telegram backdoor — 19 сентября, 2017 год.

[5] The Baffler The Crypto-Keepers — 17 сентября, 2017 год.

[6] New York Times What Is Telegram, and Why Are Iran and Russia Trying to Ban It? — 2 мая, 2018 год.

[7] YourDailyMac Whatsapp leaks usernames, telephone numbers and messages — 19 мая, 2011 год.

[8] The H Security Sniffer tool displays other people’s WhatsApp messages — 13 мая, 2012 год.

[9] FilePerms WhatsApp is broken, really broken — 12 сентября, 2012 год.

[10] International Business Times Respect for Privacy Is Coded Into WhatsApp’s DNA: Founder Jan Koum — 18 марта, 2014 год.

[11] Slate How Did the FBI Access Paul Manafort’s Encrypted Messages? — 5 июня, 2018 год.

[12] AppleInsider WhatsApp backdoor defeats end-to-end encryption, potentially allows Facebook (Социальная сеть признана экстремистской и запрещена на территории Российской Федерации) to read messages — 13 января, 2017 год.

[13] Forbes Forget About Backdoors, This Is The Data WhatsApp Actually Hands to Cops — 22 января, 2017 год.

[14] New York Times Facebook (Социальная сеть признана экстремистской и запрещена на территории Российской Федерации) Said to Create Censorship Tool to Get Back Into China — 22 ноября, 2016 год.

[15] The Verge WhatsApp co-founder Jan Koum is leaving Facebook (Социальная сеть признана экстремистской и запрещена на территории Российской Федерации) after clashing over data privacy — 30 апреля, 2018 год.

[16] CNET WhatsApp co-founder: 'I sold my users' privacy' with Facebook (Социальная сеть признана экстремистской и запрещена на территории Российской Федерации) acquisition' — 25 сентября, 2018 год.

[17] New York Times Once celebrated in Russia, programmer Pavel Durov chooses exile — 2 декабря, 2014 год.

[18] TechCrunch Facebook (Социальная сеть признана экстремистской и запрещена на территории Российской Федерации) admits it stored ‘hundreds of millions' of account passwords in plaintext — 21 марта, 2019 год.

[19] Engadget Facebook (Социальная сеть признана экстремистской и запрещена на территории Российской Федерации) stored millions of Instagram (Социальная сеть признана экстремистской и запрещена на территории Российской Федерации) passwords in plain text — 18 апреля, 2019 год.

[20] Vanity Fair Snapchat is doing so badly, the feds are getting involved — 14 ноября, 2018 год.

[21] HuffPost VKontakte, Facebook (Социальная сеть признана экстремистской и запрещена на территории Российской Федерации) Competitor in Russia, Dominates — 26 октября, 2012 год.