Наука и технологии55

Скандал в мире безопасности: мессенджер, обещавший «сверхбезопасность», хранил данные пользователей доступными для всех и позволяет расшифровать сообщения

Вот что случается, когда слишком прихорашиваешься и «топишь» конкурентов, но натыкаешься на принципиального исследователя, которому ты решил угрожать. Не стоит верить рекламным обещаниям о «супербезопасности» в непроверенных программах.

Речь о мессенджере Converso. «Converso предназначен для людей, желающих абсолютной конфиденциальности и свободы от любой формы слежки — правительства или корпорации», — говорили создатели. Эксперт по информационной безопасности, который пишет под никнеймом Crnkovic, решил это проверить и получил неутешительные выводы.

Црнковича разозлило, как упорно создатели мессенджера рассказывали о том, какой их мессенджер безопасный, да еще и придумывали сплетни о создателях других мессенджеров.

«Не хранит ваших данных и использует уникальную схему шифрования, которую невозможно взломать»

Создатели утверждали, что Converso связывает устройства напрямую, без посредников. Они называли свою программу «будущим приватности», а в рекламе утверждалось, что «все другие мессенджеры выглядят как созданные спецслужбами по сравнению с Converso».

Большинство утверждений компании оказались неправдой. Если верить Црнковичу, мессенджер на деле использует устаревшее и не слишком ненадежное шифрование, имеет централизованную клиент-серверную архитектуру и собирает данные пользователей (в том числе по ошибке в коде выдает посторонним ресурсам IP-адреса пользователей).

Скриншот с сайта conversoapp.com, взятый из crnkovic.dev
Скриншот с сайта conversoapp.com, взятый из crnkovic.dev

Дела оказались намного хуже

Но эксперт пошел дальше. Внутри кода он заметил ссылки на облачную базу данных. И решил посмотреть, что в ней, так как обратил внимание на то, что в нее записывается подозрительно много сведений.

Оказалось, что эта абсолютно открытая для любого человека база сохраняла полный список пользователей и всех их действий в мессенджере — к примеру, показывает, какой пользователь кому пишет или звонит, когда он зарегистрировался и на какой номер.

После этого он послал запросы в другие таблицы базы и получил все метаданные видео– и аудиозвонков (кто кому звонит, с какого адреса и сколько длился разговор) и полный список внутренних идентификаторов пользователей в базе данных. Также там были сведения о чатах и сообщениях, но они хотя бы были скрыты от всех желающих.

Сведения о пользователях, которые мог получить любой желающий. Фото: crnkovic.dev
Сведения о пользователях, которые мог получить любой желающий. Фото: crnkovic.dev

Но Црнкович решил исследовать и сообщения, которых бывает два типа: незашифрованные и зашифрованные. С первыми все ясно — сервер видит их как открытый текст. То есть если кто-то взломает сервер Converso, то получит к ним доступ (кажется, так будет и если взломают серверы Telegram).

Зашифрованные передаются и хранятся зашифрованными. Но есть нюанс: пароль, который использовался при шифровании — это внутренний идентификатор пользователя, который, как мы говорили выше, был доступен всем желающим. То есть если хакер сумел бы перехватить зашифрованное сообщение, то сумел бы и расшифровать его.

После согласования публикации с Сonverso компания поблагодарила исследователя за «внимание к уязвимостям» аж дважды и пообещала поскорее исправить все упущения. Но потом началось странное.

Соучредитель мессенджеров написал исследователю и посоветовал «удалить материал, чтобы не иметь проблем с законом». Он отказался, но эта история только добавила еще больше популярности его статье. При этом создатели Сonverso начали удалять ложь со своего сайта и рекламных материалов.

«Ради вашей безопасности не стоит использовать Converso для отправки сообщений, которые вы не готовы опубликовать в Twitter», — подытоживает Crnkovic.

Читайте также:

Мессенджеры: какие из них действительно безопасны и чем Viber лучше Telegram

Element: что за мессенджер, которым пользуются Бундесвер, финны и белорусская оппозиция

Как надежно вычистить фото с ваших смартфонов — подробный гайд

Комментарии5

  • Коля Лу
    16.05.2023
    Стары добры джабер (ён жа xmpp) + otr.
    I новы, але перспектыўны matrix.
    Вось два надзейных спосабы на перапіску/званкі.
  • Тэлеграм
    16.05.2023
    Ў, я і пра тэлеграм некалі не чуў (на шчасце для сябе, як апынулася)
  • Казік
    16.05.2023
    >стваральнікі месенджара распавядалі пра тое, які іхні месенджар бяспечны, ды яшчэ і прыдумвалі плёткі пра стваральнікаў іншых месенджараў
    Штосьці мне гэта нагадвае) Адзін "самы бяспечны" мэсэнджэр з Расеі

Как сложилась судьба парня с известного жизнеутверждающего фото студенческого марша-2020?

Как сложилась судьба парня с известного жизнеутверждающего фото студенческого марша-2020?

Все новости →
Все новости

После нападения на колонну в Мали погибли как минимум шесть вагнеровцев1

Как памятники русифицируют Беларусь? Подсчеты о том, сколько памятников посвящены советской истории, а сколько — национальной1

На главной елке Бреста вместо Вифлеемской звезды установили «военную». И это уже не первый раз1

«В Жодино подписи клянчат даже в церкви». Белорусы рассказали, подписываются ли они за Лукашенко2

«Стоит больше трех часов без света и отопления». Поезд Минск — Гомель остановился посреди своего пути

Путин заявил о начале серийного производства «Орешников»5

США рассекретили доклад о политических убийствах и покушениях, совершенных по приказу Путина2

Испания оштрафовала на значительную сумму бюджетные авиакомпании за требования доплачивать за ручную кладь и выбор места2

Стась Карпов о Корже: Слушайте: ну, смело!15

больш чытаных навін
больш лайканых навін

Как сложилась судьба парня с известного жизнеутверждающего фото студенческого марша-2020?

Как сложилась судьба парня с известного жизнеутверждающего фото студенческого марша-2020?

Главное
Все новости →