Скандал у свеце бяспекі: месенджар, які абяцаў «звышбяспеку», захоўваў звесткі карыстальнікаў даступнымі для ўсіх і дазваляе расшыфраваць паведамленні
Вось што здараецца, калі занадта прыхарошваешся і «топіш» канкурэнтаў, але натыкаешся на прынцыповага даследчыка, якому ты вырашыў пагражаць. Гісторыя пра тое, што не варта верыць рэкламным абяцанкам пра «супербяспеку» ў неправераных праграмах.
Гаворка пра месенджар Converso. «Converso прызначаны для людзей, якія жадаюць абсалютнай канфідэнцыйнасці і свабоды ад любой формы сачэння — урада або карпарацыі», — казалі стваральнікі. Эксперт па інфармацыйнай бяспецы, які піша пад нікнэймам Crnkovic, вырашыў гэта праверыць і атрымаў несуцяшальныя высновы.
Црнковіча раз'юшыла, як зацята стваральнікі месенджара распавядалі пра тое, які іхні месенджар бяспечны, ды яшчэ і прыдумвалі плёткі пра стваральнікаў іншых месенджараў.
«Не захоўвае вашых звестак і выкарыстоўвае ўнікальную схему шыфравання, якую немагчыма ўзламаць»
Стваральнікі сцвярджалі, што Converso звязвае прылады наўпрост, без пасярэднікаў. Яны называлі сваю праграму «будучыняй прыватнасці», а ў рэкламе сцвярджалася, што «ўсе іншыя месенджары выглядаюць як створаныя спецслужбамі ў параўнанні з Converso».
Большасць сцвярджэнняў кампаніі аказаліся няпраўдай. Калі верыць Црнковічу, месенджар на справе выкарыстоўвае састарэлае і не надта надзейнае шыфраванне, мае цэнтралізаваную кліент-серверную архітэктуру і збірае звесткі карыстальнікаў (у тым ліку праз памылку ў кодзе выдае староннім рэсурсам IP-адрасы карыстальнікаў).
Скрыншот з сайта conversoapp.com, узяты з crnkovic.dev
Справы аказаліся нашмат горшымі
Але эксперт пайшоў далей. Унутры кода ён заўважыў спасылкі на воблачную базу даных. І вырашыў паглядзець, што ў ёй, бо звярнуў увагу на тое, што ў яе запісваецца падазрона шмат звестак.
Аказалася, што гэтая абсалютна адкрытая для любога чалавека база захоўвала поўны спіс карыстальнікаў і ўсіх іхніх дзеянняў у месенджары — да прыкладу, паказвае, які карыстальнік каму піша або тэлефануе, калі ён зарэгістраваўся і на які нумар.
Пасля гэтага ён паслаў запыты ў іншыя табліцы базы і атрымаў усе метаданыя відэа— і аўдыязванкоў (хто каму тэлефануе, з якога адрасу і колькі доўжылася размова) і поўны спіс унутраных ідэнтыфікатараў карыстальнікаў у базе даных. Таксама там былі звесткі пра чаты і паведамленні, але яны хоць былі схаваныя ад усіх ахвотных.
Звесткі пра карыстальнікаў, якія мог атрымаць любы ахвотны. Фота: crnkovic.dev
Але Црнковіч вырашыў даследаваць і паведамленні, якіх бывае два тыпы: незашыфраваныя і зашыфраваныя. З першымі ўсё ясна — сервер бачыць іх як адкрыты тэкст. То-бок, калі нехта ўзламае сервер Converso, то атрымае да іх доступ (здаецца, так будзе і калі ўзламаюць серверы Telegram).
Зашыфраваныя перадаюцца і захоўваюцца зашыфраванымі. Але ёсць нюанс: пароль, які выкарыстоўваўся пры шыфраванні — гэта ўнутраны ідэнтыфікатар карыстальніка, які, як мы казалі вышэй, быў даступны ўсім ахвотным. То-бок, калі хакер здолеў бы перахапіць зашыфраванае паведамленне, то здолеў бы і расшыфраваць яго.
Пасля ўзгаднення публікацыі з Сonverso кампанія падзякавала даследчыку за «ўвагу да ўразлівасцяў» ажно двойчы і паабяцала як хутчэй выправіць усе хібы. Але пасля пачалося дзіўнае.
Сузаснавальнік месенджараў напісаў даследчыку і параіў «выдаліць матэрыял, каб не мець праблем з законам». Ён адмовіўся, але гэтая гісторыя толькі дадала яшчэ болей папулярнасці ягонаму артыкулу. Пры гэтым стваральнікі Сonverso пачалі выдаляць хлусню са свайго сайта і рэкламных матэрыялаў.
«Дзеля вашай бяспекі не варта выкарыстоўваць Converso для адпраўкі паведамленняў, якія вы не гатовыя апублікаваць у Twitter», — падсумоўвае Crnkovic.
«Наша Нiва» — бастыён беларушчыны
ПАДТРЫМАЦЬЧытайце таксама:
Месенджары: якія з іх сапраўды бяспечныя і чым Viber лепшы за Telegram
Element: што за месенджар, якім карыстаюцца Бундэсвер, фіны і беларуская апазіцыя
Як надзейна вычысціць фоты з вашых смартфонаў — падрабязны гайд
