Навука і тэхналогіі55

Скандал у свеце бяспекі: месенджар, які абяцаў «звышбяспеку», захоўваў звесткі карыстальнікаў даступнымі для ўсіх і дазваляе расшыфраваць паведамленні

Вось што здараецца, калі занадта прыхарошваешся і «топіш» канкурэнтаў, але натыкаешся на прынцыповага даследчыка, якому ты вырашыў пагражаць. Гісторыя пра тое, што не варта верыць рэкламным абяцанкам пра «супербяспеку» ў неправераных праграмах.

Гаворка пра месенджар Converso. «Converso прызначаны для людзей, якія жадаюць абсалютнай канфідэнцыйнасці і свабоды ад любой формы сачэння — урада або карпарацыі», — казалі стваральнікі. Эксперт па інфармацыйнай бяспецы, які піша пад нікнэймам Crnkovic, вырашыў гэта праверыць і атрымаў несуцяшальныя высновы.

Црнковіча раз'юшыла, як зацята стваральнікі месенджара распавядалі пра тое, які іхні месенджар бяспечны, ды яшчэ і прыдумвалі плёткі пра стваральнікаў іншых месенджараў.

«Не захоўвае вашых звестак і выкарыстоўвае ўнікальную схему шыфравання, якую немагчыма ўзламаць»

Стваральнікі сцвярджалі, што Converso звязвае прылады наўпрост, без пасярэднікаў. Яны называлі сваю праграму «будучыняй прыватнасці», а ў рэкламе сцвярджалася, што «ўсе іншыя месенджары выглядаюць як створаныя спецслужбамі ў параўнанні з Converso».

Большасць сцвярджэнняў кампаніі аказаліся няпраўдай. Калі верыць Црнковічу, месенджар на справе выкарыстоўвае састарэлае і не надта надзейнае шыфраванне, мае цэнтралізаваную кліент-серверную архітэктуру і збірае звесткі карыстальнікаў (у тым ліку праз памылку ў кодзе выдае староннім рэсурсам IP-адрасы карыстальнікаў).

Скрыншот з сайта conversoapp.com, узяты з crnkovic.dev

Справы аказаліся нашмат горшымі

Але эксперт пайшоў далей. Унутры кода ён заўважыў спасылкі на воблачную базу даных. І вырашыў паглядзець, што ў ёй, бо звярнуў увагу на тое, што ў яе запісваецца падазрона шмат звестак.

Аказалася, што гэтая абсалютна адкрытая для любога чалавека база захоўвала поўны спіс карыстальнікаў і ўсіх іхніх дзеянняў у месенджары — да прыкладу, паказвае, які карыстальнік каму піша або тэлефануе, калі ён зарэгістраваўся і на які нумар. 

Пасля гэтага ён паслаў запыты ў іншыя табліцы базы і атрымаў усе метаданыя відэа— і аўдыязванкоў (хто каму тэлефануе, з якога адрасу і колькі доўжылася размова) і поўны спіс унутраных ідэнтыфікатараў карыстальнікаў у базе даных. Таксама там былі звесткі пра чаты і паведамленні, але яны хоць былі схаваныя ад усіх ахвотных.

Звесткі пра карыстальнікаў, якія мог атрымаць любы ахвотны. Фота: crnkovic.dev

Але Црнковіч вырашыў даследаваць і паведамленні, якіх бывае два тыпы: незашыфраваныя і зашыфраваныя. З першымі ўсё ясна — сервер бачыць іх як адкрыты тэкст. То-бок, калі нехта ўзламае сервер Converso, то атрымае да іх доступ (здаецца, так будзе і калі ўзламаюць серверы Telegram).

Зашыфраваныя перадаюцца і захоўваюцца зашыфраванымі. Але ёсць нюанс: пароль, які выкарыстоўваўся пры шыфраванні — гэта ўнутраны ідэнтыфікатар карыстальніка, які, як мы казалі вышэй, быў даступны ўсім ахвотным. То-бок, калі хакер здолеў бы перахапіць зашыфраванае паведамленне, то здолеў бы і расшыфраваць яго.

Пасля ўзгаднення публікацыі з Сonverso кампанія падзякавала даследчыку за «ўвагу да ўразлівасцяў» ажно двойчы і паабяцала як хутчэй выправіць усе хібы. Але пасля пачалося дзіўнае.

Сузаснавальнік месенджараў напісаў даследчыку і параіў «выдаліць матэрыял, каб не мець праблем з законам». Ён адмовіўся, але гэтая гісторыя толькі дадала яшчэ болей папулярнасці ягонаму артыкулу. Пры гэтым стваральнікі Сonverso пачалі выдаляць хлусню са свайго сайта і рэкламных матэрыялаў.

«Дзеля вашай бяспекі не варта выкарыстоўваць Converso для адпраўкі паведамленняў, якія вы не гатовыя апублікаваць у Twitter», — падсумоўвае Crnkovic.

«Наша Нiва» — бастыён беларушчыны

ПАДТРЫМАЦЬ

Каментары5

  • Коля Лу
    16.05.2023
    Стары добры джабер (ён жа xmpp) + otr.
    I новы, але перспектыўны matrix.
    Вось два надзейных спосабы на перапіску/званкі.
  • Тэлеграм
    16.05.2023
    Ў, я і пра тэлеграм некалі не чуў (на шчасце для сябе, як апынулася)
  • Казік
    16.05.2023
    >стваральнікі месенджара распавядалі пра тое, які іхні месенджар бяспечны, ды яшчэ і прыдумвалі плёткі пра стваральнікаў іншых месенджараў
    Штосьці мне гэта нагадвае) Адзін "самы бяспечны" мэсэнджэр з Расеі

Мінскаму бізнэсмену Саўрыцкаму і ягонай сям'і пагражае па 12 гадоў за «распальванне варожасці»2

Мінскаму бізнэсмену Саўрыцкаму і ягонай сям'і пагражае па 12 гадоў за «распальванне варожасці»

Усе навіны →
Усе навіны

Ва Украіне самымі небяспечнымі для ворага аператарамі дронаў сталі геймеры3

У Мазырскім раёне сусед шуфлікам забіў пажылую пару і забраў 500 рублёў1

Калі стануць вядомыя вынікі прэзідэнцкіх выбараў у ЗША?3

Рэзка вырасла колькасць аўтобусаў і легкавікоў на польскай мяжы

Праз 70 гадоў насельніцтва Кітая можа скараціцца ўдвая. Як палітыка аднаго дзіцяці траўмавала мільёны жанчын10

21-гадовага курсанта МУС асудзілі да 15 гадоў калоніі12

Расія спрабавала зладзіць тэракты на авіярэйсах у Еўропе11

«Вырашылі прыдумаць нешта новае». У Гомелі бытавую хімію прадаюць на разліў з аўтаматаў2

Сэкс-скандал у Экватарыяльнай Гвінеі. Кіраўнік мясцовага ДФР пераспаў са сваячкамі амаль усіх топ-чыноўнікаў і запісваў гэта на відэа13

больш чытаных навін
больш лайканых навін

Мінскаму бізнэсмену Саўрыцкаму і ягонай сям'і пагражае па 12 гадоў за «распальванне варожасці»2

Мінскаму бізнэсмену Саўрыцкаму і ягонай сям'і пагражае па 12 гадоў за «распальванне варожасці»

Галоўнае
Усе навіны →