Зашифрованные мессенджеры: между обещанием и реальностью
30.06.2023 15:29
Исследователи предложили ряд технических, дизайнерских и политических изменений, которые повысят уровень приватности и безопасности.
В мире, где приватность и безопасность все больше находятся под ударом, особенно в странах, захваченных глобальной волной авторитаризма и ущемления прав, зашифрованные мессенджеры становятся все более востребованным и необходимым инструментом для обмена информацией, организации и сотрудничества друг с другом, а также для ведения бизнеса.
Однако в то время, как главное преимущество безопасной связи — это конфиденциальность коммуникаций и возможность пользователя контролировать распространение личной или групповой информации, на деле все оказывается гораздо сложнее, особенно в эпоху капитализма слежки (Surveillance capitalism).
Совокупность инженерных, дизайнерских и системных факторов, а также разнообразные модели поведения пользователей и изменчивые политические условия создали ситуацию, при которой люди могут поставить под угрозу свои собственные интересы или интересы сообщества, используя такие мессенджеры.
С сентября 2022 года по май 2023 года исследователи анализировали популярные мессенджеры – Signal, WhatsApp, Telegram, Google Сообщения, Apple Сообщения и Meta* Messenger, – по ряду параметров, включая техническую безопасность, пользовательский опыт, взаимодействие приложений с пользователями и разработчиками, а также их политики, условия и положения.
Эксперты стремились понять:
Исследование основывается на принципах из таких подходов, как Privacy by Design и Design from the Margins. Исследователи проводили полевую работу с пользователями, находящимися в группе риска – активисты за права на аборт в Новом Орлеане (США) и журналисты в Дели (Индия).
К основным выводам и рекомендациям относятся:
Пользователи слишком часто действуют вслепую. Даже те, кто больше всего заботится о приватности, редко имеют достаточно информации для принятия решений, которые соответствуют их собственным интересам. Существует значительный разрыв между обещанием шифрования и реальностью угроз безопасной связи на практике.
Эксперты столкнулись с различными формами «фольклора безопасности», которые информируют пользователей о решениях вместо информации, основанной на фактах, а также с «нигилизмом безопасности» - ощущением того, что у некоторых пользователей нет способа безопасного общения.
Криптографическая защита приложения не означает, что оно безопасно. Главное здесь – реализация. Неспособность реализовать сквозное шифрование по умолчанию, например, в Telegram и Messenger от Meta, это наглядно доказывает.
Пользователи могут не понимать разницы, когда им предлагают создать «секретный чат». И мало кто из пользователей понимает дизайнерские различия в цветах сообщений в iMessage и Google Сообщения, которые предназначены для передачи разных типов сообщений (обычных SMS или зашифрованных) и, следовательно, разного уровня безопасности.
Следуйте примеру Signal и шифруйте или не храните метаданные. Signal - единственное приложение, которое предприняло шаги для скрытия профилей пользователей, контактов, метаданных групп и даже информации об отправителе сообщения. Другие разработчики должны следовать примеру Signal и скрывать метаданные пользователей, храня их в зашифрованном виде с ключом учетной записи пользователя и обрабатывая незашифрованные версии только в защищенных зонах.
Позвольте пользователям решать, какие функции должны быть включены или выключены. Компании должны позволять включать и выключать любую функцию, которая влияет на приватность и безопасность, а также исследовать и внедрять более тонкие настройки, которые позволяют пользователям (особенно пользователям в группах риска) настраивать сервис под свои нужды, в том числе, когда дело касается временных сообщений, предварительного просмотра ссылок, хранения и удаления журналов вызовов и истории активности.
Устраните технические и дизайнерские «лазейки», которые нарушают приватность. От незашифрованных резервных копий сообщений и использования номеров телефонов в качестве идентификаторов до ошибок в обработке удаленных сообщений, запутанных названий функций и плохого дизайна пользовательского интерфейса. Существует ряд технических и дизайнерских проблем, которые создатели мессенджеров должны срочно решить.
Остерегайтесь избытка функций. Особенно когда дело касается приложений соцсетей или приложений, имитирующие некоторые аспекты соцсетей, включая Meta Messenger, Telegram и WhatsApp. Избыток функций и связей с другими приложениями и сервисами могут создавать проблемы с приватностью.
Шифрование должно быть защищено. Правительства по всему миру пытаются ослабить или запретить шифрование, выпуская новые законы, которые ломают модель приложений, таких как Signal и WhatsApp. Важно, чтобы политики, представители индустрии и активисты, которые понимают ценность шифрования, выступали в его защиту.
Исследование было проведено группой Convocation Research & Design и Tech Policy Press при поддержке программы Omidyar Network, посвященной приватному и надежному обмену сообщениями.
* Компания Meta и её продукты (Instagram и Facebook) признаны экстремистскими, их деятельность запрещена на территории РФ.
В мире, где приватность и безопасность все больше находятся под ударом, особенно в странах, захваченных глобальной волной авторитаризма и ущемления прав, зашифрованные мессенджеры становятся все более востребованным и необходимым инструментом для обмена информацией, организации и сотрудничества друг с другом, а также для ведения бизнеса.
Однако в то время, как главное преимущество безопасной связи — это конфиденциальность коммуникаций и возможность пользователя контролировать распространение личной или групповой информации, на деле все оказывается гораздо сложнее, особенно в эпоху капитализма слежки (Surveillance capitalism).
Совокупность инженерных, дизайнерских и системных факторов, а также разнообразные модели поведения пользователей и изменчивые политические условия создали ситуацию, при которой люди могут поставить под угрозу свои собственные интересы или интересы сообщества, используя такие мессенджеры.
С сентября 2022 года по май 2023 года исследователи анализировали популярные мессенджеры – Signal, WhatsApp, Telegram, Google Сообщения, Apple Сообщения и Meta* Messenger, – по ряду параметров, включая техническую безопасность, пользовательский опыт, взаимодействие приложений с пользователями и разработчиками, а также их политики, условия и положения.
Эксперты стремились понять:
- как люди формируют у себя представление о своей собственной цифровой безопасности и соответствующих рисках;
- как технические и дизайнерские решения мессенджеров могут оставить пользователей беззащитными перед угрозами;
- возможные решения, которые включают технические, дизайнерские и политические изменения.
Исследование основывается на принципах из таких подходов, как Privacy by Design и Design from the Margins. Исследователи проводили полевую работу с пользователями, находящимися в группе риска – активисты за права на аборт в Новом Орлеане (США) и журналисты в Дели (Индия).
К основным выводам и рекомендациям относятся:
Пользователи слишком часто действуют вслепую. Даже те, кто больше всего заботится о приватности, редко имеют достаточно информации для принятия решений, которые соответствуют их собственным интересам. Существует значительный разрыв между обещанием шифрования и реальностью угроз безопасной связи на практике.
Эксперты столкнулись с различными формами «фольклора безопасности», которые информируют пользователей о решениях вместо информации, основанной на фактах, а также с «нигилизмом безопасности» - ощущением того, что у некоторых пользователей нет способа безопасного общения.
Криптографическая защита приложения не означает, что оно безопасно. Главное здесь – реализация. Неспособность реализовать сквозное шифрование по умолчанию, например, в Telegram и Messenger от Meta, это наглядно доказывает.
Пользователи могут не понимать разницы, когда им предлагают создать «секретный чат». И мало кто из пользователей понимает дизайнерские различия в цветах сообщений в iMessage и Google Сообщения, которые предназначены для передачи разных типов сообщений (обычных SMS или зашифрованных) и, следовательно, разного уровня безопасности.
Следуйте примеру Signal и шифруйте или не храните метаданные. Signal - единственное приложение, которое предприняло шаги для скрытия профилей пользователей, контактов, метаданных групп и даже информации об отправителе сообщения. Другие разработчики должны следовать примеру Signal и скрывать метаданные пользователей, храня их в зашифрованном виде с ключом учетной записи пользователя и обрабатывая незашифрованные версии только в защищенных зонах.
Позвольте пользователям решать, какие функции должны быть включены или выключены. Компании должны позволять включать и выключать любую функцию, которая влияет на приватность и безопасность, а также исследовать и внедрять более тонкие настройки, которые позволяют пользователям (особенно пользователям в группах риска) настраивать сервис под свои нужды, в том числе, когда дело касается временных сообщений, предварительного просмотра ссылок, хранения и удаления журналов вызовов и истории активности.
Устраните технические и дизайнерские «лазейки», которые нарушают приватность. От незашифрованных резервных копий сообщений и использования номеров телефонов в качестве идентификаторов до ошибок в обработке удаленных сообщений, запутанных названий функций и плохого дизайна пользовательского интерфейса. Существует ряд технических и дизайнерских проблем, которые создатели мессенджеров должны срочно решить.
Остерегайтесь избытка функций. Особенно когда дело касается приложений соцсетей или приложений, имитирующие некоторые аспекты соцсетей, включая Meta Messenger, Telegram и WhatsApp. Избыток функций и связей с другими приложениями и сервисами могут создавать проблемы с приватностью.
Шифрование должно быть защищено. Правительства по всему миру пытаются ослабить или запретить шифрование, выпуская новые законы, которые ломают модель приложений, таких как Signal и WhatsApp. Важно, чтобы политики, представители индустрии и активисты, которые понимают ценность шифрования, выступали в его защиту.
Исследование было проведено группой Convocation Research & Design и Tech Policy Press при поддержке программы Omidyar Network, посвященной приватному и надежному обмену сообщениями.
* Компания Meta и её продукты (Instagram и Facebook) признаны экстремистскими, их деятельность запрещена на территории РФ.
Чтобы оставить комментарий, необходимо войти
Онлайн
Последние сообщения
Статистика
Темы:
13 818
Сообщения:
80 710
Пользователи:
10 505
Комментарий от хацкер
То есть безвозвратно потерять доступ к телеграмму это еще нужно очень сильно постараться сделать.
А пароли от важного, действительно, лучше где-то хранить в надежном месте или вообще в голове.
Комментарий от MOZG66
Как ты сбросишь телегу, если у тебя нет доступа ни к чему?
Плюс когда делаешь сброс - телега чистится.
А у него там, судя по тому что я прочитал, была как раз важная инфа.
Комментарий от operatordng
То есть если кто-то решит восстановить доступ без твоего ведома, то переписки он прочесть не сможет.
Комментарий от MOZG66
Если кто-то восстановил твою симку, но не знает пароля - доступ он не получит.
Как по мне то это грамотный подход к безопасности.
Комментарий от #netrackToR34
Комментарий от DEV_CAPRAL
Приходит увеомление - в ваш аккаунт совершен вход из Румынии
Хорошо что я его успел раньше кикнуть, а не он меня.
Комментарий от George Washington
У устройств, которые раньше были добавлены - приоритет. Сделали это довольно давно.
Комментарий от #netrackToR34
Для этого и нужно ставить 2FA, чтобы чел не мог зайти даже и прочесть переписки.
Комментарий от DEV_CAPRAL
Но у меня такой кипиш был, что меня сейчас кикнут и получат доступ
Комментарий от George Washington
Если более новое устройство ты можешь отключить сразу, то более старое надо ждать.
Сколько не помню точно, но если не изменяет память 3 дня.
Вот эти три дня у тебя и будет чтобы заметить это и отменить в случае необходимости.