Для чыноўнікаў распрацавалі месенджар Depesha. У чым яго галоўная праблема?
Галоўнай перавагай месенджара дзяржСМІ называюць тое, што ягоныя серверы знаходзяцца ў Беларусі. Але насамрэч стваральнікі не гарантуюць ні прыватнасці, ні абароны звестак — прынамсі, праверыць гэта немагчыма. Цяпер яго па змоўчанні пастаўляюць у дзяржаўныя арганізацыі.
Агульны агляд месенджара
Depesha — гэта звычайны месенджар, якіх тысячы ў крамах праграм для любой платформы. Ён можа рабіць тое, што іншыя — званіць, пісаць паведамленні і ствараць чаты, рабіць відэа і фота, дадаваць людзей у кантакты. Аніякіх адметных функцыяў у ім мы не адшукалі, прынамсі, на першы погляд. Сайт распрацоўшчыка не дадаў яснасці.
Дызайн месенджара нармальны, працуе праграма даволі хутка.
Для таго, каб звязацца з іншым чалавекам у месенджары, трэба спачатку неяк даслаць яму спасылку або даць адсканаваць QR-код, пасля пазваніць яму голасам, папярэдне даўшы праграме адпаведныя дазволы, а толькі пасля можна пачынаць тэкставы дыялог.
Што адбываецца ў гэты момант унутры месенджара і ў чым сэнс такога спосабу сувязі — незразумела.
Па заявах распрацоўшчыкаў, месенджар можа працаваць і без інтэрнэту, «на базе сетак перадачы даных мабільных аператараў». Незразумела, як гэта рэалізавана, бо для таго, каб перадаваць звесткі, усё адно патрэбная нейкая сетка. Магчыма, маецца на ўвазе, што нават у выпадку адключэння знешняга шлюза інтэрнэта, як у жніўні 2020-га, аператары будуць дазваляць звязвацца карыстальнікам месенджара ўнутры Беларусі, і гэты механізм закладзены ў код праграмы.
Адметна, што, мяркуючы па інфармацыі з сайтаў аператараў сувязі, месенджар Depesha цяпер падключаюць разам з паслугамі інтэрнэта для ўсіх дзяржаўных органаў. На сайце кампаніі A1 напісана, што «абанентам юрасобаў, якія з'яўляюцца дзяржаўнымі арганізацыямі, сэрвіс «Доступ да Depesha» падключаецца па змоўчанні».
Месенджар забараняе рабіць з яго скрыншоты ў любой форме, таму мы рабілі фота экрана. Уласнаручна правяраць тое, як працуе месенджар, не спецыялістам мы не раім.
Бяспека месенджара
Перавага, якую патэнцыйна мае месенджар — гэта тое, што для рэгістрацыі ў ім не выкарыстоўваецца тэлефонны нумар. Акаўнт ствараецца і выдаляецца за лічаныя секунды.
Ды і email можа быць фэйкавым, бо няма аніякай праверкі. Усё, што прыходзіць вам у адказ — паведамленне пра паспяховую рэгістрацыю.
У месенджары нельга наладзіць амаль нічога з бяспекі. Можна толькі стварыць код-пароль на ўваход ды забараніць паказ імя карыстальніка пры перасылцы паведамленняў. Іншых наладаў бяспекі там няма.
Праграма просіць шмат дазволаў — акрамя доступу да памяці і званкоў, гэта доступ да пошуку бліжэйшых прыладаў, да камеры, мікрафона і кантактаў. Таксама ён настойліва просіць дазволіць праграме ігнараваць налады захавання зараду акумулятара і дазвол загружацца паверх усіх вокнаў.
Гэта не было б праблемай, але цяжка давяраць праграме Depesha з улікам таго, што яна не прайшла ніякіх публічных аўдытаў бяспекі.
Падчас уключэння месенджара пішуць, што і без таго адносна небагатыя функцыі месенджара ў найбліжэйшы час будуць абмежаваныя. Невядома, што гэта значыць і чаго нас пазбавяць распрацоўшчыкі.
Уся інфармацыя ад месенджара, мяркуючы па аналізатары трафіка, ідзе на серверы Depesha, размешчаныя ў сетцы МТС. Званкі таксама здзяйсняюцца праз тыя серверы.
Такім чынам, сапраўды ўсе даныя ў праграме перадаюцца на серверы ў Беларусі і немагчыма ўласнаручна праверыць, якія звесткі захоўваюцца на серверы і ў якім аб'ёме.
Там могуць быць як усе дыялогі і званкі, так і толькі службовая інфармацыя.
Стваральнікі месенджара пры гэтым заяўляюць, што ніякіх звестак на серверах не захоўваюць, а пасля выдалення акаўнта ўсе звесткі беззваротна знішчаюцца.
Шыфраванне ў месенджары
Стваральнікі запэўніваюць, што выкарыстоўваюць «сістэму шыфравання PAZL».
Нейкае шыфраванне ў Depesha сапраўды ёсць. Мяркуючы па тым, як перадаецца трафік праграмы, гэта нейкая імплементацыя AES.
Пры гэтым ёсць некалькі вялікіх «але». Па-першае, код праграмы закрыты і не праходзіў ніякіх публічных аўдытаў. Па-другое, у анонсе праграмы шмат разоў падкрэсліваецца, што месенджар створаны для перадачы інфармацыі, якая «не парушае заканадаўства Беларусі». Гэта значыць, што туды можа быць закладзены механізм праверкі таго, ці парушае ваша перапіска заканадаўства, і кампанія не абавязаная пра гэта папярэджваць.
Да таго ж, напрыклад, для стварэння код-пароля месенджара і адбітка пальца, мяркуючы па знешнім выглядзе, выкарыстоўваецца бібліятэка, узятая проста з інтэрнэту. Яе бяспечнасць, мяркуючы па публічных звестках, нікім не правераная.
Выкарыстоўваюцца там, падобна, і іншыя пакеты з інтэрнэта (мы адшукалі падобныя на Github), бяспечнасць якіх таксама пад пытаннем.
Поўная адмова ад адказнасці
У карыстальніцкім пагадненні кампанія Fox3 цалкам адмаўляецца ад любой адказнасці. Маўляў, звесткі для рэгістрацыі можна выдумаць, таму кампанія не апрацоўвае персанальныя звесткі карыстальнікаў, акрамя тых, якія яны ўнясуць у праграму ўласнаручна. Значыць, і абараняць нічога не абавязаная.
Таксама яна не абяцае, што ў праграме няма вірусаў, а тэлефон не будзе пашкоджаны вірусамі, калі яе спампаваць. І што камунікацыя ўвогуле абароненая ў вашым канкрэтным выпадку. У выпадку вашых стратаў падчас выкарыстання месенджара яна таксама не нясе ніякай адказнасці. То-бок кампанія не абяцае зусім нічога.
У той жа момант, як піша beCloud, праграма «цалкам адпавядае патрабаванням аховы інфармацыі, якія выкладзеныя ва ўказе Лукашэнкі ад 01.02.2010 № 60». Ніякай канкрэтыкі па тэхнічных характарыстыках па абароне інфармацыі ў ім няма. Затое ў гэтым указе ёсць абмежаванні.
Напрыклад, там напісана, што «звесткі пра рэсурсы нацыянальнага сегмента сеткі Інтэрнэт даюцца на бясплатнай аснове Міністэрству інфармацыі, органам, якія займаюцца аператыўна-вышукавай дзейнасцю, органам пракуратуры і папярэдняга следства, органам КДБ, падатковай, судам, органам прымусовага выканання для выканання ўскладзеных на іх задачаў і функцыяў».
Depesha пазіцыянуецца як частка гэтага самага нацыянальнага сегмента.
«350 тысяч карыстальнікаў»
Стваральнікі месенджара пішуць, што «яго паспрабавалі ўжо 350 тысяч карыстальнікаў». Але гэта, падобна, перабольшанне.
У гугл-плэй праграму спампавалі «больш за 10 тысяч карыстальнікаў» — то-бок да 20 тысяч чалавек. Водгукі ў AppStore выглядаюць дзіўна, быццам яны замоўленыя ці падробленыя. Напрыклад, адзін з карыстальнікаў сцвярджае, што месенджар «змяніў яго жыццё».
Нават калі ўлічваць, што Depesha прымусова пастаўляецца пры падключэнні дзяржаўных органаў да інтэрнэта, то агульная лічба маларэальная.
А што ў астатку?
Depesha — гэта месенджар, бяспеку якога ніяк немагчыма праверыць, звесткі з якога захоўваюцца ў Беларусі разам з усёй інфраструктурай праграмы. Мы не раім нашым чытачам выкарыстоўваць яго для бяспечнай камунікацыі, бо не можам гарантаваць, што ён сапраўды абараняе вашы звесткі хоць нейкім чынам.
«Наша Нiва» — бастыён беларушчыны
ПАДТРЫМАЦЬМесенджары: якія з іх сапраўды бяспечныя і чым Viber лепшы за Telegram
Скандал у свеце бяспекі: месенджар, які абяцаў «звышбяспеку», захоўваў звесткі карыстальнікаў даступнымі для ўсіх і дазваляе расшыфраваць паведамленні
Element: што за месенджар, якім карыстаюцца Бундэсвер, фіны і беларуская апазіцыя
Каментары