25/11/2014

11 niebezpiecznych aplikacji do komunikowania się

Porady

Ostatnio wzięliśmy na tapet wyniki badania przeprowadzonego przez fundację Electronic Frontier Foundation, którego celem była ocena bezpiecznej komunikacji. Wyniki podsumowaliśmy na liście dziewięciu usług do komunikowania się, które pomagają zachować prywatność i bezpieczeństwo. Teraz przyjrzymy się aplikacjom, które wypadły naprawdę słabo.

11-Insecure-Mobile-and-Internet-Messaging-Apps (1)

Interesujące jest to, że o ile opublikowana w poprzednim tygodniu lista komunikatorów, które kładą nacisk na bezpieczeństwo i prywatność, była dość mglista, o tyle ta lista aplikacji i usług, które nie przejmują się bezpieczeństwem, niestety jest bardzo wyraźna. Z tego powodu skupimy się głównie na najbardziej popularnych komunikatorach, chociaż wskażemy także te z małą liczbą punktów, mniej znane.

Kontekst

Każdej usłudze EFF przyznawała wysokie lub niskie oceny w siedmiu kategoriach. Dla naszych celów dostawcom usług zabierano punkty, gdy nie otrzymywali odpowiedzi twierdzącej lub gdy mieli jedną lub dwie odpowiedzi „tak” w następujących kategoriach:

  1. Czy dane są szyfrowane w locie?
  2. Czy dane są szyfrowane tak, że nawet dostawca usługi nie może ich odczytać?
  3. Czy możesz zidentyfikować prawdziwą tożsamość kontaktów?
  4. Czy dostawca praktykuje doskonałe utajnienie przekazywania klucza – PFS (czy klucze szyfrowania są efemeryczne, co oznacza, że skradziony klucz nie odszyfruje istniejącej komunikacji)?
  5. Czy kod usługi jest otwarty i publicznie dostępny?
  6. Czy procedury i procesy implementacji szyfrowania są udokumentowane?
  7. Czy w ciągu ostatnich 12 miesięcy przeprowadzony był niezależny audyt bezpieczeństwa?

Powyższe siedem punktów miało na celu zmierzenie, które usługi oferują najgorszą ochronę przed inwigilacją rządową, węszeniem cyberprzestępców i gromadzeniem danych firmowych. Muszę tu podkreślić, że zarówno EFF, jak i Kaspersky Daily ani nie popierają, ani nie odradzają oficjalnie żadnego z tych programów. Nasza lista pokazuje jedynie, które aplikacje konsekwentnie nie stosują najlepszych praktyk.

Naprawdę źle: Brak punktu

Zero punktów otrzymały jedynie komunikatory mobilne Mxit i QQ, ale jest duża szansa, że nigdy nie będziesz z nich korzystał. Ponieważ Mxit i QQ nie szyfrują danych w locie, odradzamy ich stosowanie. W tym przypadku Twoja komunikacja podróżuje od nadawcy bezpośrednio do odbiorcy, więc można ją wyświetlić w postaci czystego tekstu.

Wciąż źle: Jeden punkt

Niestety, znalazły się tu cztery usługi komunikacji, których używaliśmy chyba wszyscy. Otrzymały one jeden na siedem punktów.

Yahoo-Messenger-logo

Oferujący powolne szyfrowanie komunikator Yahoo jedynie utajnia komunikację użytkownika w locie. Oznacza to, że firma – jeśli zechce – może czytać Twoje wiadomości lub udostępniać je w celu egzekwowania prawa. Należy tu dodać, że co dwa lata Yahoo wydaje raport przejrzystości szczegółowo pokazujący, ile informacji zostało udzielonych na wniosek rządu.

Ponadto komunikator nie umożliwia weryfikowania tożsamości kontaktów, nie stosuje doskonałego utajnienia przekazywania klucza, nie udostępnia swojego kodu do niezależnego przeglądu, ani też nie dokumentuje w poprawny sposób swojej konstrukcji bezpieczeństwa. Firma nie przeprowadziła również kontroli swojego kodu w ostatnim czasie. Jednak jeśli chodzi o szyfrowanie, usługi Yahoo zrobiły znaczny postęp w ciągu dwóch lat, więc mamy jeszcze nadzieję na poprawę w tym miejscu.

skype-logo

Microsoftowa usługa do wykonywania połączeń i pisania przez internet, czyli Skype, wypadła tak blado jak komunikator Yahoo!, otrzymując tylko jeden punkt również za szyfrowanie danych w locie. W żadnej z powyższych kategorii nie uzyskał drugiego punktu. Skype walczył z oskarżeniami związanymi z integralnością komunikacji oraz inwigilacją, a mianowicie usługa wzbudziła falę krytyki z jej rzekomą podatność na podsłuchiwanie. Microsoft zaprzeczył tym oskarżeniom.

Blackberry-Messenger-Logo

Komunikator BlackBerry otrzymał ten sam wynik co Yahoo! Messenger i Skype. Jej poprzednia nazwa to Research In Motion (RIM). Plusem jest szyfrowanie komunikacji w locie, ale nie w taki sposób, aby dostawca (BlackBerry) nie mógł jej odczytać. Nie umożliwia użytkownikom weryfikowania kontaktów, ochrony starszej komunikacji w przypadku, gdy Twoje klucze zostaną skradzione, nie udostępnia kodu do niezależnego przeglądu, nie posiada właściwie zaprojektowanej dokumentacji ochrony. Ponadto firma nie zezwoliła na audyt w zeszłym roku.

AIM-Logo

AIM, znany jako komunikator America Online, jest już na rynku od jakiegoś czasu. Można spokojnie powiedzieć, że od późnych lat 90. do połowy roku 2000 komunikator AOL był bezkonkurencyjny. Mimo że jego popularność nie utrzymała się, szczególnie wśród dzieci, wciąż jest używany w wielu miejscach. Niestety, jak te wspomniane wyżej i niżej, szyfruje dane w locie, ale nie robi nic więcej.

Wieloplatformowa aplikacja Secret Message reklamuje się jako bezpieczna, a klient pocztowy Hushmail nazywa się prywatnym, chociaż każde jedynie szyfruje dane w locie. Platformy Kik i eBuddy XMS nie afiszują ochoczo swojego podejścia do bezpieczeństwa, ale obie otrzymały tę samą liczbę punktów co reszta w tej kategorii.

Lepszy, ale wciąż nie dobry: Dwa punkty

SnapchatLogo

SnapChat – popularna aplikacja do publikowania obrazów i filmów – uzyskała dwa punkty. Jeden za szyfrowanie danych w locie – przechodzą przez nadawcę, serwery SnapChat, a następnie trafiają do odbiorcy. Drugi za przeprowadzenie audytu w zeszłym roku. Jak wiele usług z tej listy, SnapChat był obiektem ostrej krytyki, nie tyle za braki w bezpieczeństwie, ile za niestosowanie się do własnego założenia.

Główną ideą SnapChatu jest to, aby wiadomości, zdjęcia czy filmy pojawiały się na zdefiniowany przez nadawcę określony czas, a później znikają na zawsze. Jednak odbiorca może zapisywać obrazy poprzez wykonywanie zrzutów ekranu, chociaż odbiorca będzie o tym powiadomiony. Bardziej kłopotliwe jest to, że aplikacja SnapHack omija ulotność SnapChata i umożliwia odbiorcy zwykłe zapisywanie „snapów”. Ostatecznie badacze wielokrotnie przyznali, że obrazy nigdy nie znikają, ale najzwyczajniej trudno je znaleźć.

Hangouts_Icon

Wśród trzech najbardziej popularnych aplikacji badanych przez EFF znajduje się usługa Hangouts firmy Google, która otrzymała dwa punkty. To usługa działająca na wielu platformach, używana nie tylko jako wbudowany klient czatowania Gmail, ale także jako domyślny klient czatowania dla Google Plus oraz dla urządzeń z Androidem. Google szyfruje dane w locie i przeszedł audyt w zeszłym roku. Ale może czytać Twoje wiadomości, użytkownicy nie mogą weryfikować prawdziwej tożsamości kontaktów, nie oferuje doskonałego utajnienia przekazywania klucza, jego kod nie jest dostępny dla niezależnego przeglądu, a jego schemat bezpieczeństwa nie jest właściwie udokumentowany.

FacebookMessenger

Chat Facebooka, który jest mobilną odmianą usługi do komunikacji tego serwisu, także otrzymał dwa punkty. Najbardziej popularny wśród badanych serwisów, szyfruje dane w locie i przeszedł audyt, ale zawodzi w innych kategoriach.

viber-logo

Viber jest z pewnością najmniej popularną usługą w grupie tych, którzy otrzymali dwa punkty. Chociaż jest podobno znany jako prywatny komunikator, otrzymał punkty jedynie za szyfrowanie w locie i przeprowadzenie audytu.

WhatsApp-Logo

I w końcu doszliśmy do naprawdę ciekawego przypadku, jakim jest WhatsApp. Jest to bardzo popularna mobilna usługa do pisania, tak obiecująca, że gigant mediów społecznościowych – Facebook – wydał w tym roku 19 miliardów dolarów za jego przejęcie. Jest to rodzaj alternatywy dla protokołu pisania SMS (działa raczej przez internet niż sieć komórkową). Mimo że EFF przyznał serwisowi dwa punkty, jak każdemu w tej kategorii, podejrzewam, że może się to zmienić.

W tym tygodniu WhatsApp został partnerem Open Whisper Systems, dodając do swojej aplikacji na Androida szyfrowanie domyślne. Sytuacja WhatsApp może się wkrótce zmienić ze względu na wspomnianą współpracę. Signal, RedPhone, SilentText i SilentPhone to produkty firmy Whisper Systems, które otrzymały wszystkie siedem punktów w badaniu EFF. Innymi słowy, wygląda na to, że w ciągu najbliższych dni i miesięcy WhatsApp znacznie poprawi swoje bezpieczeństwo.

Na ten moment szyfrowanie jest zastosowane tylko na urządzeniach z Androidem, w komunikacji „jeden na jeden”. Użytkownicy iPhone’ów muszą więc poczekać, a komunikacja grupowa nie jest jeszcze tak bezpieczna. Jednak firma WhisperSystems mówi, że już pracuje nad wspomnianymi problemami.

Najważniejsze w szyfrowaniu WhatsApp jest to, że zalicza się ona do najbardziej popularnych i wartościowych usług służących do komunikowania, jaki w ogóle istnieją. To, że firma bierze bezpieczeństwo i prywatność bardzo poważnie, jest świetną wiadomością. Mamy nadzieję, że konkurenci WhatsApp pójdą jej śladem.