Скандал в мире безопасности: мессенджер, обещавший «сверхбезопасность», хранил данные пользователей доступными для всех и позволяет расшифровать сообщения
Вот что случается, когда слишком прихорашиваешься и «топишь» конкурентов, но натыкаешься на принципиального исследователя, которому ты решил угрожать. Не стоит верить рекламным обещаниям о «супербезопасности» в непроверенных программах.
16.05.2023 / 21:36
Речь о мессенджере Converso. «Converso предназначен для людей, желающих абсолютной конфиденциальности и свободы от любой формы слежки — правительства или корпорации», — говорили создатели. Эксперт по информационной безопасности, который пишет под никнеймом Crnkovic, решил это проверить и получил неутешительные выводы.
Црнковича разозлило, как упорно создатели мессенджера рассказывали о том, какой их мессенджер безопасный, да еще и придумывали сплетни о создателях других мессенджеров.
«Не хранит ваших данных и использует уникальную схему шифрования, которую невозможно взломать»
Создатели утверждали, что Converso связывает устройства напрямую, без посредников. Они называли свою программу «будущим приватности», а в рекламе утверждалось, что «все другие мессенджеры выглядят как созданные спецслужбами по сравнению с Converso».
Большинство утверждений компании оказались неправдой. Если верить Црнковичу, мессенджер на деле использует устаревшее и не слишком ненадежное шифрование, имеет централизованную клиент-серверную архитектуру и собирает данные пользователей (в том числе по ошибке в коде выдает посторонним ресурсам IP-адреса пользователей).
Скриншот с сайта conversoapp.com, взятый из crnkovic.dev
Дела оказались намного хуже
Но эксперт пошел дальше. Внутри кода он заметил ссылки на облачную базу данных. И решил посмотреть, что в ней, так как обратил внимание на то, что в нее записывается подозрительно много сведений.
Оказалось, что эта абсолютно открытая для любого человека база сохраняла полный список пользователей и всех их действий в мессенджере — к примеру, показывает, какой пользователь кому пишет или звонит, когда он зарегистрировался и на какой номер.
После этого он послал запросы в другие таблицы базы и получил все метаданные видео– и аудиозвонков (кто кому звонит, с какого адреса и сколько длился разговор) и полный список внутренних идентификаторов пользователей в базе данных. Также там были сведения о чатах и сообщениях, но они хотя бы были скрыты от всех желающих.
Сведения о пользователях, которые мог получить любой желающий. Фото: crnkovic.dev
Но Црнкович решил исследовать и сообщения, которых бывает два типа: незашифрованные и зашифрованные. С первыми все ясно — сервер видит их как открытый текст. То есть если кто-то взломает сервер Converso, то получит к ним доступ (кажется, так будет и если взломают серверы Telegram).
Зашифрованные передаются и хранятся зашифрованными. Но есть нюанс: пароль, который использовался при шифровании — это внутренний идентификатор пользователя, который, как мы говорили выше, был доступен всем желающим. То есть если хакер сумел бы перехватить зашифрованное сообщение, то сумел бы и расшифровать его.
После согласования публикации с Сonverso компания поблагодарила исследователя за «внимание к уязвимостям» аж дважды и пообещала поскорее исправить все упущения. Но потом началось странное.
Соучредитель мессенджеров написал исследователю и посоветовал «удалить материал, чтобы не иметь проблем с законом». Он отказался, но эта история только добавила еще больше популярности его статье. При этом создатели Сonverso начали удалять ложь со своего сайта и рекламных материалов.
«Ради вашей безопасности не стоит использовать Converso для отправки сообщений, которые вы не готовы опубликовать в Twitter», — подытоживает Crnkovic.
Читайте также:
Мессенджеры: какие из них действительно безопасны и чем Viber лучше Telegram
Element: что за мессенджер, которым пользуются Бундесвер, финны и белорусская оппозиция
Как надежно вычистить фото с ваших смартфонов — подробный гайд