Популярные в России Viber, WhatsApp и Apple iMessage также вызвали нарекания по результатам исследования компании Artezio, входящей в группу ЛАНИТ.
На потребительском рынке ключевым критерием обеспечения безопасности информации пользователей является end-to-end шифрование (E2ЕE) данных по умолчанию. Технология предполагает, что мессенджер хранит ключи шифрования только на устройстве пользователя, не отправляя их на сервер. Второй критерий - надежный протокол шифрования. Единственным протоколом, одобренным Е2ЕЕ, стал как раз Signal, однако он используется не всеми мессенджерами. Некоторые компании разработали свои технологии шифрования, которые закрыты для аудита, поэтому сложно оценить уровень защищенности этих мессенджеров.
Безопасность мессенджеров принято рассматривать, разделяя корпоративное и личное использование. Для рабочих целей характерны подходы с технологиями контейнеризации, позволяющие создавать на личном смартфоне защищенную доверенную зону для работы с той информацией, в которую не рекомендуется давать доступ другим программам. Помимо этого, можно использовать корпоративные мобильные устройства, вроде смартфона InfoWatch Taigaphone, где, с одной стороны, присутствует безопасная доверенная прошивка, а с другой - интеграция с DLP-системой, позволяющей предотвращать утечки данных через мессенджеры. Еще одним подходом могут быть корпоративные мессенджеры, задача которых заключается в обеспечении безопасности внутрикорпоративной переписки за счет использования только внутренних доверенных сервисов.
В случае с личным использованием мессенджеров предугадать уровень безопасности практически невозможно.
В свое время Android-версию мессенджера Signal, признанного самым безопасным приложением, прорекламировал сам Эдвард Сноуден, бывший сотрудник ЦРУ. В своем микроблоге он рассказал, какой мессенджер считает наиболее надежно защищенным от прослушки. Пост в Twitter на момент написания публикации набрал почти 2200 ретвитов и 2700 лайков и стал своеобразным анонсом выхода этого мессенджера, созданного калифорнийской компанией Open Whisper Systems. Ранее эта компания разработала TextSecure (приложение, которое защищает от перехвата сообщений) и RedPhone (приложение, предупреждающее прослушку звонков).
В России Signal не пользуется особой популярностью. А вот заблокированный Роскомнадзором Telegram куда более распространен, хотя у экспертов периодически возникают вопросы к его создателю. Так, осенью американский исследователь и специалист по компьютерной безопасности Натаниэль Сачи обнаружил, что десктопное приложение Telegram хранит переписку пользователя в незашифрованном (пусть и трудночитаемом) виде в базе данных на компьютере пользователя. Речь шла как о контенте обычных чатов, так и о закрытых чатах со сквозным шифрованием.
Проанализировав данные, предварительно сконвертированные в более простой для просмотра формат, Сачи смог найти имена и телефонные номера, которые можно проассоциировать друг с другом. Правда, информацию было довольно непросто считать, но нескольких специально написанных скриптов хватило специалисту по компьютерной безопасности, чтобы вычленить необходимые данные.
Вместе с тем, по мнению экспертов, приложений со стопроцентной гарантией защиты персональной информации не существует. На любой механизм найдется тот или иной фактор, обесценивающий самую надежную защиту. Иногда это может быть давление со стороны властей, а иногда - некачественный программный код с заранее допущенными недочетами.
Но о самых базовых мерах по защите конфиденциальности данных при переписке каждый человек может позаботиться сам. Ряд мессенджеров, например WhatsApp, предоставляют пользователям доступ к информации о месте, времени и устройстве, на котором был выполнен вход в аккаунт пользователя. Это позволяет самому пользователю следить за сессиями доступа к его аккаунту и выявлять случаи несанкционированного доступа, в случае возникновения которых мессенджер лучше переустановить, сменив пароль.
Некоторые мессенджеры позволяют дополнительно установить pin-код и возможность авторизации через отпечаток пальца.
"Тем не менее для обеспечения безопасности своей личной информации прежде всего следует всегда соблюдать правила цифровой гигиены, включая периодическую смену пароля, использование разных паролей для разных программ, а также внимательное отношение к указанию в переписках чувствительных данных, например, номеров платежных карт и другой конфиденциальной информации", - посоветовал Дмитрий Семенов, консультант по информационной безопасности ГК InfoWatch.