Недавно Интернет пошумел из-за новости о новых багах в «неуязвимом» мессенджере Signal, которым пользовался «сам Сноуден».

На данный момент Signal существует не только в виде мобильного приложения, но и как настольная версия Signal Desktop. В ней ИБ-исследователи нашли сразу три проблемы. Во-первых, в процессе апгрейда программа без предупреждения сохраняет незашифрованные пользовательские сообщения на диске компьютера. Во-вторых, опять-таки во время установки Signal Desktop создает на ПК зашифрованную базу данных db.sqlite с архивом пользовательских сообщений. Ключ доступа к базе при этом хранится локально и открытым текстом. В-третьих, десктопный Signal хранит на диске пользователя вложения из «исчезающих» сообщений, которые по задумке должны самоустраняться. Впрочем, так же происходит и с Telegram.

Это уже не первый «сигнал», который сводит преимущества мессенджера к нулю. Например, в мае ИБ-исследователи обнаружили в нем уязвимость, пользуясь которой хакеры могли отправить жертве вредоносный код в виде цитаты в простом сообщении. Код автоматически внедрялся в десктопное приложение, установленное на Windows, MacOS, Linux, и позволял злоумышленникам украсть незашифрованные разговоры пользователя. Кроме того, вредоносный код мог наладить связь с протоколом сетевой аутентификации NTLMv2, что открывало ему доступ к логину и паролю в пользовательской ОС. Но эту уязвимость разработчики все же исправили.

В свое время разочарование пользователей вызывали также Telegram и WhatsApp: отправка пользователю вредоносного кода под видом сообщения позволяла получить доступ в аккаунт и незаметно для хозяина (лог, отображающий входы с других устройств, ничего не фиксировал) войти в его сессию, читать и даже отправлять сообщения от его имени.

Первым уязвимость в мессенджерах Telegram и WhatsApp нашел сотрудник ИБ-компании CheckPoint. Она была передана разработчикам, получила максимальный приоритет и оперативно исправлена. Позже коллеги из CheckPoint рассказали о проблеме с подробной ее демонстрацией на популярном хакерском форуме PHDays. СМИ тогда обошли новость стороной, но от этого она не стала менее критичной. 

Таким образом, практика показывает, что ни один из существующих мессенджеров нельзя назвать полностью защищенным. Заявления об их безопасности для пользовательских данных – это прежде всего маркетинг. Заверения разработчиков популярных мессенджеров об их неуязвимости ничем не подтверждены. Ведь код приложений закрыт, и возможности проверить его на прочность нет. О технических проблемах и найденных «дырах» на публике стараются не говорить. 

В то же время такие проверки программ проводятся. В России подобной сертификацией занимаются ФСТЭК и ФСБ. По результатам проверки система получает вердикт: насколько безопасен данный продукт, какие данные он может обрабатывать, вплоть до «грифованных» либо «совершенно секретных», насколько криптостойкими являются алгоритмы. Так что, если вы ищете средство для обработки, хранения и пересылки конфиденциальных данных, – рекомендую присмотреться именно к такому ПО. Но бесплатным оно точно не будет.