Контакты
Подписка
МЕНЮ
Контакты
Подписка

Почему личные данные не защищены во многих IM-мессенджерах?

Почему личные данные не защищены во многих IM-мессенджерах?

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Почему личные данные не защищены во многих IM-мессенджерах?

Менее 20% IM-приложений полностью защищают данные переписки своих пользователей. Такие данные приводит исследование Фонда электронных рубежей. Из сорока рассмотренных им мессенджеров только семь соответствуют всем видам безопасности. Как злоумышленникам удается “влезть" в наши приложения и что кроме информации они могут украсть?
Алексей Абрамович
Директор департамента тестирования
безопасности ПО ЗАО “Технологии качества", A1QA

IM-клиенты несколько отошли на второй план с широким распространением мобильных телефонов и удешевлением SMS-сообщений. Но с приходом смартфонов стали появляться IM-приложения, ориентированные на пользователей таких устройств. Эти сервисы даже напоминают социальные сети, поскольку позволяют добавлять фотографию профиля, устанавливать статусы, обмениваться сообщения и файлами. Особенность мобильных IM-приложений состоит в том, что в качестве логина они используют номер телефона. Таким образом была решена проблема добавления новых контактов. Как только владелец смартфона вводит новый номер телефона в адресную книгу, новый контакт автоматически переносится в его IM-мессенджер.

Защита от рекламы и инфоворов

Старше ИнтернетаСистема обмена мгновенными сообщениями (Instant messaging, IM) появилась раньше Интернета. И хоть такое определение появилось только в 1990-е годы, первые коллективные системы обмена сообщениями появились еще в середине 1960-х годов. Первоначально они использовались как системы оповещения, но вскоре их стали использовать для общения между пользователями, зарегистрированными на одном компьютере. В 1970-е годы появляются онлайн-чаты, а когда в 1980-е на Западе становится популярной система ВВS (bulletin board system), некоторые системы внедряют аналоги чатов, которые через десять лет будут называться Instant messengers. Первые мессенджеры с графическим интерфейсом пользователя появились одновременно с широким распространением Интернета, а в 1996 г. появился знаменитый интернет-пейджер с ICQ-системой мгновенных сообщений. Система ICQ была невероятно популярна во всем мире: удобный интерфейс сочетался с такими функциями, как установка статусов, передача сообщений и файлов. Это была программа, которую, наконец, можно было назвать функциональной.

Из множества IM-приложений рассмотрим информационную безопасность трех самых популярных на сегодня: WhatsApp, Viber, Telegram. Все эти приложения используют клиентсерверную архитектуру, позволяют создавать группы и чаты между двумя собеседниками, а также передавать файлы и местоположение пользователей.

Как воров привлекают большие города, так и интернет-мошенников привлекают популярные приложения. Поэтому все приложения, которые обрабатывают персональные данные пользователей, должны заботиться о максимальной защищенности данных. И чем менее защищено приложение, тем больше в нем рекламы, спама и взломанных профилей и украденной личной информации. Это основные статьи дохода злоумышленников, атакующих IM-мессенджеры. Как же от них защищаются мессенджеры?

Для борьбы с рекламной рассылкой во всех рассмотренных приложениях предусмотрена функция черного списка, куда попадают все спамеры. Однако такая мера теряет свою эффективность при смене номера. Тогда автоматически меняется логин, и все настройки безопасности, в том числе и черные списки, приходится устанавливать заново. Ни в одном из приложений со стороны провайдера сервиса на данный момент не внедрено фильтрации.

Кроме того, даже если внести рекламных спамеров в черный список, рекламные сообщения все равно могут приходить от действительных контактов пользователя – его друзей и знакомых, которые пользуются этим же приложением. А поскольку механизма аутентификации пользователей при добавлении в список контактов в рассмотренных приложениях не предусмотрено, злоумышленник может воспользоваться этим для рассылки рекламы от имени друзей пользователя.

Шифры не спасают

Для защиты пользовательской информации от перехвата и модификации все три приложения шифруют сетевой трафик. Такая защита в приложениях появилась совсем недавно. Раньше большое количество информации – ссылки на файлы, картинки, местоположение – передавалось вообще в открытом виде. Но по мере того, как приложения становились все более популярными, они стали привлекать внимание и исследователей информационной безопасности. Они находили уязвимости и публиковали в открытых источниках. У разработчиков не оставалось выхода, как только исправлять ошибки.

Но даже зашифрованный трафик не исключает взлома профиля и заспамливания ящика. Причина незащищенности проста: все приложения создаются людьми, и человеческий фактор может привести к сбоям в работе приложения. Поэтому всегда существует вероятность возникновения уязвимости, которая позволит украсть у пользователя данные или сделать приложение недоступным. Такие уязвимости могут возникнуть в форме ввода сообщения. Дело в том, что даже правильно сформированное сообщение при такой уязвимости может вызвать отказ в обслуживании или позволит выполнить произвольную команду, которая выполнится в приложении пользователя – адресата сообщения. В случае отказа в обслуживании или потери личных данных может пострадать большое количество пользователей. Опасность потери личных данных заключается в том, что они могут быть проданы. Самый безобидный способ использования этих данных – показ таргетированной рекламы. Если же происходит отказ в обслуживании приложения, пользователи не могут использовать приложение.

Следит ли за нами Большой Босс?

Многих пользователей интересует, способны ли владельцы IM-сервиса читать сообщения и файлы пользователей. Согласно исследованию Фонда электронных рубежей, из трех представленных приложений только Telegram позволяет создавать полностью зашифрованные чаты между двумя пользователями. Даже Blackberry Messenger, в свое время считавшийся весьма защищенным, оказался уязвимым. А некоторые приложения не то что не зашифрованы, но даже изначально позволяют другим следить за активностью пользователей. Как, например, Slack – мессенджер, появившийся год назад. Он ориентирован на корпоративную коммуникацию и позволяет начальству не только следить, но и редактировать публичную и даже личную переписку своих сотрудников в этом мессенджере.

Как следует из рейтинга Фонда электронных рубежей, самые популярные приложения остаются самыми незащищенными. Другие же приложения, разработанные энтузиастами и неизвестные широкому кругу пользователей, качественно отличаются уровнем своей защиты. А какое из приложений выбрать – популярное, но не защищенное, или любительское, но безопасное, – каждый пользователь решает сам.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2015
Посещений: 5708

Приобрести этот номер или подписаться
  Автор

Алексей Абрамович

Алексей Абрамович

Директор Департамента тестирования безопасности ПО,
OOO “Технологии качества», бренд A1QA

Всего статей:  3

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций