Украинское издание Liga.Tech разбиралось, как Apple, Facebook, Microsoft, Telegram, Viber и Signal защищают (и сливают) личную информацию своих пользователей.
Не так давно вокруг мессенджера WhatsApp разгорелся очередной скандал. Выяснилось, что личные данные его пользователей почти моментально могут попасть в руки спецслужб. По запросу ФБР уже в течение 15 минут компания предоставляет данные, которые интересуют следствие.
А как же сквозное шифрование данных? Это значит, что всех нас читают третьи лица? Нет, но теоретически все возможно.
Apple
Официально в этой компании достаточно строго подходят к вопросам конфиденциальности пользователей. Так, в 2016 году Apple отказалась предоставить доступ к iPhone террориста, который застрелил 14 человек в калифорнийском городе Сан-Бернардино.
Как объяснил тогда глава Apple Тим Кук, ФБР не просто потребовала помощи в расследовании конкретного теракта. Спецслужбы стали настаивать на создании специального инструмента, который позволит им напрямую получать доступ к телефонам пользователей iOS.
Например, вводить разные комбинации паролей, пока они не подберут правильный. Однако компания не захотела подвергать своих пользователей такому риску.
Несколько лет назад в Apple даже планировали настроить сквозное шифрование резервных данных в iCloud таким образом, чтобы ключи от него были только у самого пользователя. К ним не имели бы доступа даже в самой компании. Однако уже в начале 2020 года стало известно, что от этой идеи пришлось отказаться под давлением ФБР. Для спецслужб это означало бы невозможность получить личную информацию пользователей Apple даже после решения суда.
Однако компания не отказывается от сотрудничества с ФБР, если речь идет о серьезных вопросах. Так, в конце прошлого года Apple помогла определить личность протестующего, который поджигал полицейские машины. Правоохранители получили от компании скриншоты из учетной записи подозреваемого в iCloud, которые доказывали его вину.
С 2013 года Apple выкладывает отчеты о запросах данных своих пользователей со стороны спецслужб США и других стран в открытый доступ. До недавнего времени эти документы появлялись на сайте компании дважды в год, однако в 2021-ом эту информацию по какой-то причине пока не опубликовали. Лидеры по числу запросов – спецслужбы США. В среднем от них поступает 10 тысяч запросов в год. И большую часть из них компания удовлетворяет.
Google
Google хранит, пожалуй, самые массивные объемы информации о каждом из нас. Как их использовать – остается на совести компании и в рамках действия закона. Ежегодно компания раскрывает информацию об аккаунтах сотен тысяч пользователей, и эта цифра растет с каждым годом.
Например, Google регулярно получает запросы о выдаче персональных данных и корреспонденции пользователей Google в рамках закона США «Про контроль деятельности иностранных разведок».
В компании утверждают, что готовы защищать своих пользователей, если эти претензии не обоснованы. Например, с 2012 года Google отдельно предупреждает о попытках взлома со стороны спецслужб. Впрочем, это не мешает компании пытаться сотрудничать с отнюдь не демократичными правительствами. В 2018 году появилась информация о тайном проекте Google Dragonfly. Это поисковик из встроенной цензурой, который хотели запустить на территории Китая, где традиционный Google запрещен. Когда об этом стало известно, с протестами выступили как сотрудники самой компании, так и власти США.
Skype
Skype – один из старожилов рынка мессенджеров, но заработал, пожалуй, самую худшую репутацию. Так, в 2013 году выяснилось, что пользователей из Китая он автоматически переадресовывает на особую локальную версию приложения: с проверкой вводимых текстов через фильтр «запрещенных» слов и негласной отправкой таких логов в китайские карательные органы. Если мессенджер решился на сотрудничество с диктатурой, что уж говорить о спецслужбах более демократичных стран?
В «черный» список китайских властей Skype попал только в 2017 году. Намного позже, чем Gmail, Facebook, Snapchat, Twitter, Telegram, которые были заблокированы, так как не согласились на слежку за своими пользователями. Сейчас все они недоступны в магазинах приложений, действующих на территории Китая.
В последние годы Skype не был замешан в подобных репутационных скандалах. В 2018 году собственник мессенджера компания Microsoft объявила, что они запустили систему сквозного шифрования. Чтобы ее включить, нужно выбрать пользователя из списка контактов и нажать «Начать личную беседу». Считается, что такой чат будет доступен только на устройстве этих двух пользователей.
Слухи о том, что Facebook передает данные ФБР ходили с 2007 года. Компания пришлось официально признать это после документов, опубликованных Wikileaks. Раз уж сотрудничества со спецслужбами не избежать, в компании Meta, к которой относятся Facebook и Instagram, решили сделать его условия максимально открытыми.
Ознакомиться с ними могут все желающие в соответствующем разделе на сайте соцсети. Согласно законодательству США они раскрывают основные сведения об аккаунте только на основании действительной повестки, выданной в рамках официального уголовного расследования.
Среди этих данных – имя человека, сроки использования сервиса, номер его кредитной карты, электронные и IP-адреса, с помощью которых пользователь недавно входил в систему. Доступ к личной переписке, фотографиям и другому контенту, который есть в мессенджере, возможен только при наличии ордера на обыск.
Обращаться за информацией к Facebook имеют право и спецслужбы других стран. Компания обещает рассматривать их в рамках соглашения о международном правовом содействии.
В экстренных случаях, когда дело касается здоровья или жизни детей, можно подать запрос через онлайн-форму. Сделать это могут только правоохранители и такие запросы рассматривают немедленно.
Как следует из отчетов компании, в среднем они обрабатывают 140 тысяч подобных сообщений и удовлетворяют почти 90 процентов из них.
Viber
Ранее самый популярный в Украине мессенджер тоже в свое время оказался под подозрением. Народный депутат Александр Федченко обвинил Viber в том, что тот якобы контролируется белорусскими или израильскими шпионами. Политик утверждал, что компания собирает информацию минимум по 10 направлениям, но конкретных примеров не привел.
В компании сразу же опровергли обвинения, сказав, что над проектом трудятся независимые разработчики, которые не имеют отношения к спецслужбам и правительству какой-либо страны. Они напомнили, что используют криптографические ключи для шифрования переписки. По их словам, это исключает утечку пользовательской информации третьим лицам. Серверы Viber также не имеют доступа к содержимому сообщений из-за генерирования ключей кодирования/декодирования исключительно на устройствах пользователей.
В документе, опубликованном организацией Property of the People, говорится, что компания не передает спецслужбам содержание переписки, однако может предоставить номер телефона, IP-адрес на момент регистрации и метаданные.
Signal
Наряду с Telegram, он считается одним из самых защищенных мессенджеров в мире. Signal не принадлежит конкретной корпорации, а его разработкой занимается одноименный некоммерческий фонд, который финансируется за счет пожертвований. По этой причине мессенджер часто выбирают политические активисты и журналисты.
В январе 2021 года его популярность сильно возросла после того, как его порекомендовал в своем Twitter-аккаунте Илон Маск.
В отличие от других мессенджеров, где функция сквозного шифрования «end-to-end» используется только в секретных чатах, тут эта опция включена везде по умолчанию. Это означает, что история сообщений сохраняется только на тех устройствах, с которых велась переписка.
Еще одно преимущество Signal – открытый исходный код, проверить надежность которого может любой эксперт. Декларируя сквозное шифрование, некоторые компании осознанно оставляют бэкдор. Фактически это уязвимость – лазейка, которая позволяет получить доступ к данным пользователей третьим лицам. В Signal использовать такие уловки невозможно, так как об этом сразу стало бы известно всем.
До сих пор Signal не был уличен в сотрудничестве со спецслужбами или правительствами, однако время от времени в сети появляется информация об утечках информации из мессенджера. Разработчики признают, что такие случаи были, однако уверяют: взломать удалось не само приложение, а устройство, с которого велась переписка. Сам мессенджер по запросу спецслужб может предоставить только дату регистрации и время, когда пользователей в последний раз был в сети. И это единственная информация, которой он располагает.
Telegram
Этому мобильному приложению удается сохранять хорошую репутацию, несмотря на ряд скандалов. Так, несколько лет назад выяснилось, что система шифрования «end-to-end», которую использует Telegram не так уж безупречна. Группа экспертов проанализировала протокол MTProto, который мессенджер использует для сквозного шифрования и нашла там ряд существенных уязвимостей. Позднее разработчики Telegram объявили, что исправили недостатки. Но никто из независимых аналитиков эту информацию пока не подтвердил.
Второй скандал связан с попыткой запрета Telegram в России. В 2017 году в стране вступил закон, который обязал операторов коммуникационных услуг хранить ключи для расшифровки переписки пользователей и предоставлять их ФСБ по запросу. Тогда же основатель Telegram Павел Дуров отказался выполнять это требование. А с апреля 2018 года Роскомнадзор начал блокировать IP-адреса, используемые Telegram. В июне 2020 года конфликт между российским правительством и Telegram неожиданно завершился.
«Позитивно оцениваем высказанную основателем Telegram готовность противодействовать терроризму и экстремизму», – мотивировал свое решение о разблокировке мессенджера Роскомнадзор.
Как написано в документах Property of the People, Telegram предоставляет только IP-адрес и номер телефона пользователей, если в их отношении проводится расследование по подтвержденным случаям терроризма. Об этих случаях компания обещала каждые полгода отчитываться в специально созданном в 2018 году канале. Правда, за три года там так и не появилось ни одного сообщения.
Однако неизвестно, на каких условиях Павел Дуров помирился с Роскомнадзором. И об этом не стоит забывать, если надеетесь найти мессенджер, которому можно доверять на 100 процентов.