Павел Дуров о WhatsApp
Похоже, что весь мир шокирован новостью о том, что WhatsApp превращает любой телефон в шпионское ПО. Все, что хранится на вашем телефоне: фотографии, электронные письма и тексты — были в открытом доступе для злоумышленников просто, потому что вы используете WhatsApp [1].
Эта новость не была для меня сюрпризом. В прошлом году WhatsApp признались, что одного видеозвонка через WhatsApp достаточно для того, чтобы хакер получил доступ к содержимому на телефоне [2].
Каждый раз, когда WhatsApp исправляет критическую уязвимость в своём приложении, на её месте появляется новая. Причём все их проблемы безопасности отлично подходят для слежки, выглядят и работают как бэкдоры (системы слежения).
В отличие от Telegram, у WhatsApp нету открытого исходного кода, поэтому его невозможно проверить на наличие систем слежки. И WhatsApp не только не публикует свой код, они делают обратное: WhatsApp намеренно обфусцирует код своих приложений, чтобы ни у кого не было возможности его тщательно изучить.
От WhatsApp и его материнской компании Facebook могут даже могут потребовать реализации бэкдоров — через секретные запросы, такие как приказы ФБР о неразглашении [3]. Это не легко запустить сервис для приватного общения в США. В 2016 году наша команда провела неделю в США и за это время мы получили 3 запроса для выхода на связь с ФБР [4][5]. Можете себе представить, как способно повлиять подобная среда на американскую компанию.
Я понимаю, что органы безопасности оправдываются антитеррористической деятельностью. Но проблема в том, что такие бэкдоры используют мошенники и авторитарные государства. Не удивительно, что WhatsApp нравится диктаторам. Его бреши в безопасности позволяют им шпионить за своими гражданами, поэтому WhatsApp продолжает быть доступен в таких странах, как Россия или Иран, где Telegram запрещён властями [6].
По факту, я начал работать над Telegram в ответ на личное давление со стороны русского правительства. Тогда, в 2012 году, WhatsApp всё ещё передавал сообщения в незашифрованном виде. Это было безумие. Не только правительства или хакеры, но даже мобильные провайдеры и администраторы Wi-Fi точек могли получить доступ к любой переписке в WhatsApp [7][8].
Позже WhatsApp добавили шифрование, но довольно быстро выяснилось, что это было всего лишь маркетинговым ходом: ключ для расшифровки сообщений сделали доступным как минимум нескольким правительствам, включая российское [9]. В тот момент, когда Telegram становился популярным, основатели WhatsApp продали свою компанию Facebook и объявили, что «Приватность заложена у них в ДНК» [10]. Если это правда, то, должно быть, этот ген спящий или рецессивный.
3 года назад WhatsApp объявили, что они внедрили сквозное шифрование (end-to-end), так что « третьи лица не смогут получить доступ к сообщениям ». Одновременно с этим началась агрессивное пропагандирование сохранения резервных копий чатов в облако. При этом WhatsApp не предупреждал пользователей, что резервные копии не защищены сквозным шифрованием и могут быть доступны хакерам и стражам правопорядка. Превосходный маркетинг, в результате которого некоторые наивные люди попали в тюрьму [11].
Тех, кто оказался устойчивым к постоянно всплывающим окнам, уведомляющих о необходимости резервного копирования чатов, всё равно можно отследить с помощью других приёмов — от доступа к резервным копиям собеседников до незаметной подмены ключей шифрования в чатах [12].
Огромное скопление метаданных, сгенерированных пользователями WhatsApp, — логи, которые описывают, кто с кем общался и когда, — передаются различным агентствам материнской компанией WhatsApp [13]. Кроме того, есть смесь критических уязвимостей, где одна превосходит другую.
WhatsApp имеет последовательную историю — от нулевого шифрования в самом начале до уязвимостей, которые странным образом подходят для слежки. Оглядываясь назад, можно понять, что за 10 лет существования не было ни единого дня, когда WhatsApp был безопасен. Поэтому я не думаю, что очередные обновления приложений сделают WhatsApp безопасным для всех. Чтобы WhatsApp стал сервисом, ориентированным на конфиденциальность, они должны рискнуть потерять целые рынки и столкновение с властями в родной стране. Кажется, они к этому не готовы [14].
В прошлом году основатели WhatsApp покинули компанию из-за сомнений по поводу конфиденциальности пользователей [15]. Они однозначно связаны или договорами о неразглашении, или нежеланием обсуждать бэкдоры публично без риска потерять деньги и свободу. Но всё же они смогли признать, что «продали приватность своих пользователей» [16].
Я могу понять нежелание основателей WhatsApp предоставить больше информации — это нелегко поставить под угрозу собственный комфорт. Несколько лет назад мне пришлось покинуть свою страну после отказа соблюдать санкционированные государством нарушения конфиденциальности пользователей ВКонтакте [17]. Было неприятно. Но сделаю ли я что-то подобное снова? Охотно. Каждый из нас умрет в конце концов, но мы как вид останемся на некоторое время. Это и есть причина, почему я думаю, что накопление денег, славы или власти не имеют значения. Служение человечеству — единственное, что действительно имеет значение в долгосрочной перспективе.
И тем не менее, несмотря на наши намерения, я чувствую, что мы подвели человечество со всей этой историей о шпионском ПО через WhatsApp. Многие не могут перестать использовать WhatsApp, потому что их друзья и семья всё ещё там. Это означает, что Telegram плохо справился с задачей того, чтобы заставить людей перейти оттуда. И хотя мы уже привлекли сотни миллионов пользователей за последние пять лет, этого недостаточно. Большинство интернет-пользователей всё ещё в заложниках у империи Facebook/WhatsApp/Instagram. Многие из тех, кто использует Telegram, также есть и в WhatsApp, что означает, что их данные их устройств всё ещё в опасности. Даже те, кто полностью отказался от WhatsApp, скорее всего, используют Facebook или Instagram, оба из которых считают, что нет ничего страшного в хранении паролей в виде простого текста [18][19] (я всё ещё не могу поверить, что технологическая компания могла сделать такое, и спокойно жить дальше).
Мало кто за пределами фан-сообщества Telegram понимает, что большинство новых функций для общения сначала появляются в Telegram, а затем копируются в WhatsApp в мельчайших деталях. Совсем недавно мы стали свидетелями попытки Фейсбука заимствовать философию Telegram, когда Цукерберг внезапно заявил о важности конфиденциальности и скорости, практически цитируя описание приложения Telegram дословно в своей F8 рече.
Но нытье о лицемерии и отсутствии креатива в Facebook ничем не поможет. Мы должны признать, что Facebook выполняет эффективную стратегию. Посмотрите только, что они сделали с Snapchat [20].
Мы в Telegram должны признать нашу ответственность в формировании будущего. Это либо мы либо монополия Facebook. Это либо свобода и приватность, либо жадность и лицемерие. Наша команда конкурирует с Facebook в течение последних 13-ти лет. Мы уже победили их однажды на восточноевропейском рынке социальных сетей [21]. И мы победим их на мировом рынке. Мы обязаны.
Это будет непросто. Маркетинговый отдел Facebook огромен. У нас же в Telegram он вообще отсутсвует. Мы не хотим платить журналистам и исследователям за то, чтобы они рассказывали миру о Telegram. Мы рассчитываем на вас — миллионы наших пользователей. Если вам нравится Telegram, вы расскажете об этом своим друзьям. И если каждый пользователь Telegram убедит 3 своих друзей, чтобы они удалили WhatsApp и навсегда перешли на Telegram, Telegram уже будет популярнее, чем WhatsApp.
Эпоха жадности и лицемерия закончится. Эра свободы и приватности начнется. Это гораздо ближе, чем кажется.
Источник: Teleblog.
Источники:
[1] Business Insider WhatsApp was hacked and attackers installed spyware on people’s
phones – May 15, 2019
[2] Security Today WhatsApp Bug Allowed Hackers to Hijack Accounts – October 12,
2018
[3] Wikipedia Gag order – United States
[4] Neowin FBI asked Durov and developer for Telegram backdoor – September 19, 0271
[5] The Baffler The Crypto-Keepers – September 17, 2017
[6] New York Times What Is Telegram, and Why Are Iran and Russia Trying to Ban It? –
May 2, 2019
[7] YourDailyMac Whatsapp leaks usernames, telephone numbers and messages – May
19, 2011
[8] The H Security Sniffer tool displays other people’s WhatsApp messages – May 13,
2012
[9] FilePerms WhatsApp is broken, really broken – September 12, 2012
[10] International Business Times Respect for Privacy Is Coded Into WhatsApp’s DNA:
Founder Jan Koum – March 18, 2014
[11] Slate https://slate.com/technology/2018/06/paul-manafort-how-did-fbi-access-
whatsapp-messages.html – June 5, 2018
[12] AppleInsider WhatsApp backdoor defeats end-to-end encryption, potentially allows
Facebook to read messages – January 13, 2017
[13] Forbes Forget About Backdoors, This Is The Data WhatsApp Actually Hands To Cops
– January 22, 2017
[14] New York Times Facebook Said to Create Censorship Tool to Get Back Into China –
November 22, 2016
[15] The Verge WhatsApp co-founder Jan Koum is leaving Facebook after clashing over
data privacy – April 30, 2018
[16] CNET WhatsApp co-founder: ‘I sold my users’ privacy’ with Facebook acquisition –
September 25, 2018
[17] New York Times Once celebrated in Russia, programmer Pavel Durov chooses exile
– December 2, 2014
[18] TechCrunch Facebook admits it stored ‘hundreds of millions’ of account passwords
in plaintext – March 21, 2019
[19] Engadget Facebook stored millions of Instagram passwords in plain text – 18 April,
2019
[20] Vanity Fair Snapchat is doing so badly, the feds are getting involved – November 14,
2018
[21] HuffPost Vkontakte, Facebook Competitor In Russia, Dominates – October 26, 2012