В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
IM-клиенты несколько отошли на второй план с широким распространением мобильных телефонов и удешевлением SMS-сообщений. Но с приходом смартфонов стали появляться IM-приложения, ориентированные на пользователей таких устройств. Эти сервисы даже напоминают социальные сети, поскольку позволяют добавлять фотографию профиля, устанавливать статусы, обмениваться сообщения и файлами. Особенность мобильных IM-приложений состоит в том, что в качестве логина они используют номер телефона. Таким образом была решена проблема добавления новых контактов. Как только владелец смартфона вводит новый номер телефона в адресную книгу, новый контакт автоматически переносится в его IM-мессенджер.
Из множества IM-приложений рассмотрим информационную безопасность трех самых популярных на сегодня: WhatsApp, Viber, Telegram. Все эти приложения используют клиентсерверную архитектуру, позволяют создавать группы и чаты между двумя собеседниками, а также передавать файлы и местоположение пользователей.
Как воров привлекают большие города, так и интернет-мошенников привлекают популярные приложения. Поэтому все приложения, которые обрабатывают персональные данные пользователей, должны заботиться о максимальной защищенности данных. И чем менее защищено приложение, тем больше в нем рекламы, спама и взломанных профилей и украденной личной информации. Это основные статьи дохода злоумышленников, атакующих IM-мессенджеры. Как же от них защищаются мессенджеры?
Для борьбы с рекламной рассылкой во всех рассмотренных приложениях предусмотрена функция черного списка, куда попадают все спамеры. Однако такая мера теряет свою эффективность при смене номера. Тогда автоматически меняется логин, и все настройки безопасности, в том числе и черные списки, приходится устанавливать заново. Ни в одном из приложений со стороны провайдера сервиса на данный момент не внедрено фильтрации.
Кроме того, даже если внести рекламных спамеров в черный список, рекламные сообщения все равно могут приходить от действительных контактов пользователя – его друзей и знакомых, которые пользуются этим же приложением. А поскольку механизма аутентификации пользователей при добавлении в список контактов в рассмотренных приложениях не предусмотрено, злоумышленник может воспользоваться этим для рассылки рекламы от имени друзей пользователя.
Для защиты пользовательской информации от перехвата и модификации все три приложения шифруют сетевой трафик. Такая защита в приложениях появилась совсем недавно. Раньше большое количество информации – ссылки на файлы, картинки, местоположение – передавалось вообще в открытом виде. Но по мере того, как приложения становились все более популярными, они стали привлекать внимание и исследователей информационной безопасности. Они находили уязвимости и публиковали в открытых источниках. У разработчиков не оставалось выхода, как только исправлять ошибки.
Но даже зашифрованный трафик не исключает взлома профиля и заспамливания ящика. Причина незащищенности проста: все приложения создаются людьми, и человеческий фактор может привести к сбоям в работе приложения. Поэтому всегда существует вероятность возникновения уязвимости, которая позволит украсть у пользователя данные или сделать приложение недоступным. Такие уязвимости могут возникнуть в форме ввода сообщения. Дело в том, что даже правильно сформированное сообщение при такой уязвимости может вызвать отказ в обслуживании или позволит выполнить произвольную команду, которая выполнится в приложении пользователя – адресата сообщения. В случае отказа в обслуживании или потери личных данных может пострадать большое количество пользователей. Опасность потери личных данных заключается в том, что они могут быть проданы. Самый безобидный способ использования этих данных – показ таргетированной рекламы. Если же происходит отказ в обслуживании приложения, пользователи не могут использовать приложение.
Многих пользователей интересует, способны ли владельцы IM-сервиса читать сообщения и файлы пользователей. Согласно исследованию Фонда электронных рубежей, из трех представленных приложений только Telegram позволяет создавать полностью зашифрованные чаты между двумя пользователями. Даже Blackberry Messenger, в свое время считавшийся весьма защищенным, оказался уязвимым. А некоторые приложения не то что не зашифрованы, но даже изначально позволяют другим следить за активностью пользователей. Как, например, Slack – мессенджер, появившийся год назад. Он ориентирован на корпоративную коммуникацию и позволяет начальству не только следить, но и редактировать публичную и даже личную переписку своих сотрудников в этом мессенджере.
Как следует из рейтинга Фонда электронных рубежей, самые популярные приложения остаются самыми незащищенными. Другие же приложения, разработанные энтузиастами и неизвестные широкому кругу пользователей, качественно отличаются уровнем своей защиты. А какое из приложений выбрать – популярное, но не защищенное, или любительское, но безопасное, – каждый пользователь решает сам.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2015