• Технологии

    Не совершите эту опасную ошибку в области безопасных сообщений

    Avatar Andrei Ivanov Posted on

    Источник изображения:https://www.forbes.com/sites/zakdoffman/2025/03/31/nsa-warns-iphone-android-users-change-message-settings/

    Безопасные мессенджеры на вашем телефоне могут быть опасными. Не потому, что их собственные меры безопасности уязвимы для атак — хотя такое и случается, но потому что их безопасность зависит от вашего поведения. Миллионы пользователей iPhone и Android не подозревают, что простые ошибки могут открыть ваш телефон для атак.

    Это был основной момент предупреждения НСА, которое теперь стало публичным и получило заголовок о уязвимости Signal после того, как чиновники Трампа случайно пригласили журналиста в конфиденциальный групповой чат. Но это не уязвимость Signal. Это уязвимость пользователя. Уведомление НСА является предупреждением о необходимости изменить настройки сообщений. Ничего больше.

    Предупреждение НСА в прошлом месяце было инициировано группой Threat Intelligence Google, которая обнаружила, что российская ГРУ обманывала украинских чиновников, заставляя их открывать доступ к своим аккаунтам Signal, позволяя россиянам подслушивать. Это не была ошибка Signal — приложение работало так, как задумано. И это не ограничивалось Signal. Google предупредила, что “эта угроза также распространена на другие популярные мессенджеры, такие как WhatsApp и Telegram.”

    Две “уязвимости” касаются функций как в Signal, так и в WhatsApp, которые делают их более удобными в использовании. Связанные устройства и ссылки на группу. Первая позволяет вам синхронизировать и получать доступ к своим безопасным мессенджерам на всех подходящих устройствах. Вторая предоставляет простой способ пригласить новых участников в групповой чат, отправив им ссылку, а не добавляя их по одному изнутри группы.

    Угроза ссылки на группу касается только самой группы и легко устраняется. В Signal отключите ссылку на группу в настройках группы. В WhatsApp у вас нет такой опции, но не используйте ссылки для чувствительных групп; вы также должны настроить такие группы в WhatsApp так, чтобы только администраторы могли добавлять участников.

    Опция связанных устройств является гораздо более опасной, так как она может установить полностью синхронизированную копию вашего мессенджера на устройстве другого человека. Но, опять же, этот риск легко устраняется. В обоих приложениях есть четкое меню настроек под названием “Связанные устройства”. Проверьте это сейчас и отключите любое устройство, которое вы не 100% признаете как принадлежащее вам. Если вы не уверены, отключите. Вы всегда можете добавить его снова позже, если допустите ошибку. На обоих приложениях ваше основное устройство является базой, и все другие устройства могут быть связаны и отключены через него.

    В этой ситуации есть интересный поворот. В российской атаке ссылка приглашения Signal была перехвачена для связывания устройства, уязвимость в кодировании и механике приглашения, но не в самом приложении. Однако нет способа связать устройство, не показав это в ваших настройках, как указано выше. Регулярная проверка этих ссылок имеет ключевое значение. Также стоит периодически отключать браузерные “веб-приложения” (в отличие от приложений) и снова связывать их. Другой совет — не нажимайте на ссылки групп, если не ожидаете их и не можете поручиться за отправителя.

    Другие советы НСА по мессенджерам должны казаться здравым смыслом. Установите и регулярно изменяйте свой PIN-код приложения и включите блокировку экрана. Не делитесь контактной информацией или статусом, особенно вне вашего круга контактов. Агентство МВД также рекомендует держать телефонные контакты и контакты приложений отдельно, хотя это неудобно для повседневного использования.

    Концепция безопасных сообщений широко неправильно понимается. Сквозное шифрование — это защита передачи. Содержимое шифруется вашим устройством и расшифровывается, когда достигает получателя. Каждое конечное устройство (телефоны в чате) уязвимо для компрометации этого устройства, пользователя, сохраняющего содержимое, или неправильного человека, приглашенного в группу. Ни одно из этих приложений не является неуязвимым, если ваша другая безопасность нарушена или вы совершаете ошибку.

    НСА не одинока в том, чтобы называть Signal главной платформой для безопасных коммерческих сообщений, используемой политиками и другими официальными лицами. Киберзащитное агентство США сделало то же самое после атак Китая Salt Typhoon на сети США. “Используйте только сквозное шифрованное сообщение,” — заявила CISA. “Применяйте бесплатное приложение для безопасной связи, которое гарантирует сквозное шифрование, такое как Signal или аналогичное приложение.”

    С интересным таймингом WhatsApp — самый популярный безопасный мессенджер в мире, который использует тот же протокол шифрования Signal и сам Signal — только что облегчила это. Пользователи iPhone теперь могут выбрать WhatsApp в качестве своего стандартного приложения для текстовых сообщений и звонков. Обновление платформы, которое предоставляет эту новую возможность, поступает в сети в эти выходные. В настройках — Приложения выберите “Стандартные приложения” и измените опции “Сообщения” и “Звонки”.

    Но снова, это не изменяет уязвимость пользователя/устройства, которая всегда оставляет безопасные сообщения под риском. “Наибольший риск подслушивания разговоров Signal исходит от индивидуальных телефонов, на которых работает приложение,” — говорит Foreign Policy. “Хотя в значительной степени неясно, загрузили ли участвующие в этом разговоре официальные лица США приложение на свои личные или выданные правительством телефоны… смартфоны — это потребительские устройства, которые совершенно не подходят для конфиденциальных обращений правительства США.”

    Это особенно актуально учитывая, что “целая индустрия компаний по взлому программного обеспечения продает возможности для удаленного взлома смартфонов для любой страны, готовой заплатить.” Это судебные эксплоиты, которые преследовали iPhone и Android в этом году. И поэтому, так же как критически важно правильно настроить сообщения, также критически важно держать телефон в актуальном состоянии, избегать рискованных приложений и прекращать кликать на ссылки или неожиданные вложения.

    Пока Signal привлекла наибольшее внимание из-за угрозы атаки в США, на самом деле это WhatsApp представляет собой гораздо большую проблему. “Это мир WhatsApp на работе теперь,” — сообщает Financial Times, — “и это не всегда хорошо.”

    Как сообщает газета, ушли те времена, “когда вы могли оставить [рабочие] приложения раскиданными по выходным, зная, что пингеры, вероятно, не спрашивали ничего более напряженного, чем когда время встречи или есть ли молоко в холодильнике. Эти дни прошли. Какое-то время до Covid коллеги по офису и рабочие контакты начали обмениваться сообщениями через приложения, когда-то ограниченные социальной жизнью.”

    И WhatsApp находится на верхушке этого списка. Иронично то, что единственным ключевым рынком, который остается против него, была Америка, где iMessage оставалась доминирующей платформой для безопасных сообщений. Но даже это теперь меняется, поскольку Meta публично отметила, что WhatsApp преодолел отметку в 100 миллионов пользователей в США прошлым летом.

    “В какой-то момент,” — отмечает Financial Times, — “оказалось, что ничего плохого в том, чтобы написать своему менеджеру в WhatsApp, а затем добавить значок thumbs up. Это казалось совершенно разумным в это странное, разобщенное время. Несколько лет спустя, однако, также кажется, что граница между работой и социальной жизнью была пересечена.”

    Иронично, что Signalgate вызвал легкую перепалку между WhatsApp и Signal о том, какой из них является более безопасным приложением для обмена сообщениями и сохранения секретов. “Существует большая разница между Signal и WhatsApp,” — написала глава Signal Мередит Уиттакер, после того как глава WhatsApp Уилл Кэтчарт указал на то, что оба используют тот же основной шифр и могли бы таким образом рассматриваться в одной категории, несмотря на принадлежность Meta.

    “Signal является золотым стандартом в частной компании,” — сказала Уиттакер. “WhatsApp лицензирует криптографию Signal для защиты содержания сообщений для потребительского WhatsApp,” хотя тот же уровень безопасности не применяется к бизнес-коммуникациям. “Не misunderstanding — мы любим, что WhatsApp использует нашу технику для повышения уровня конфиденциальности их приложения. Часть миссии Signal заключается в установлении и поощрении технологической экосистемы к достижению этой высокой планки конфиденциальности. Но это ключевые различия, когда речь идет о значительной конфиденциальности, и общественность заслуживает их понимать, учитывая ставки. Не позволяйте им затмеваться маркетингом.”

    Именно WhatsApp нам нужен в этом отношении для самой чистой иронии в этой всей истории. Всего за несколько дней до того, как Atlantic опубликовала свои шокирующие откровения о случайном подслушивании правительственного “только для глаз” группового чата Signal, его конкурентная платформа опубликовала в X: “Как администратор, позволяете ли вы участникам группы добавлять других людей в чат?” Всего это, ничем больше. Почти как будто вся эта буря могла быть предсказана. Не то чтобы тот, кто действительно добавил репортера Джеффри Голдберга, был или не был администратором, просто риск этих приглашений в группы существует и требует внимания.

    Итог, однако, очень прост. Будь то WhatsApp или Signal, оба безопасны и рекомендованы к использованию — если их правильно настроить. Не установите их неправильно — ни одно из них, или пренебрегите основными обновлениями, настройками и безопасным использованием, и оба потерпят неудачу. Вы можете прочитать полное предупреждение НСА здесь. Имейте в виду и убедитесь, что ваши рабочие планы, ваши планы вечеринок и даже ваши военные планы остаются секретными.

    Avatar

    Andrei Ivanov
    Andrei Ivanov is a distinguished senior journalist known for his deep commitment to providing the Russian-speaking community in the United States with accurate and insightful news coverage. With an extensive career spanning over two decades, Andrei has become a respected voice in the world of Russian-language journalism. Andrei's journey into journalism was driven by a passion for storytelling and a desire to bridge the gap between Russian-speaking immigrants and their adopted homeland. His reporting style is marked by meticulous research, a dedication to uncovering the truth, and a profound understanding of the cultural nuances that shape the Russian-speaking community's experiences in the United States. Throughout his career, Andrei has covered a wide range of topics, from politics and immigration issues to culture and human interest stories. His ability to connect with sources and his talent for translating complex subjects into accessible narratives have earned him a loyal readership among both newcomers and long-established Russian-speaking residents in the United States. In addition to his journalistic work, Andrei is a staunch advocate for the preservation of Russian language and culture in the United States. He has actively contributed to community initiatives that foster cultural understanding and support the integration of Russian-speaking immigrants into American society. As a senior journalist at USRusskiNews, Andrei Ivanov continues to be a trusted source of news and information for the Russian-speaking community in the United States. His dedication to providing comprehensive and balanced reporting ensures that USRusskiNews remains a vital resource for its readers. Outside of his journalism endeavors, Andrei enjoys exploring American cities, attending cultural events, and engaging in dialogue with the diverse communities he serves, all of which inform his reporting and enrich his understanding of the Russian-American experience.
    View all posts

    You Might Also Like