Тема приватности долго гремела — но новость о уязвимости WhatsApp может говорить о том, что времена меняются.
На днях в мессенджере WhatsApp обнаружили уязвимость. С первого взгляда эта новость может показаться скучной: нашлась не какая-то сенсационная дыра, а ограниченная лазейка с кучей технических нюансов.
Да, если сообщения от одного пользователя другому находятся в состоянии «не доставлено», WhatsApp технически может подменить для них ключ шифрования, нарушая концепцию «Даже владельцам мессенджера не получить доступ к сообщениям». Но это не означает полного доступа ко всей переписке, к тому же, если у отправителя включена определённая настройка, он получит уведомление о смене ключа и может громко заявить о произошедшем.
Можно долго разбираться в том, «насколько это бьёт именно по моей приватности», читая противоречивые мнения экспертов (например, они спорят, применим ли тут термин backdoor), но немногим хочется так глубоко зарываться в технические дебри.
Однако в этой истории есть несколько любопытных моментов. Один из них — не в существовании лазейки, а в том, как пресс-служба WhatsApp отреагировала на её обнаружение: по сути, отмахнулась словами «это не баг, а фича». Мол, мы заботимся о пользователях, часто меняющих телефоны, и смена ключа шифрования для недоставленных сообщений помогает таким людям не упустить ни одной реплики друзей. А что это даёт возможность подмены ключа — так если пользователя это сильно беспокоит, пусть он в настройках соответствующие уведомления включит, тогда подмена не пройдёт незамеченной.
Эта риторика идёт вразрез с официальным позиционированием WhatsApp. В разделе FAQ на сайте сервиса об оконечном шифровании говорится: «Ваши сообщения не может прочитать никто посторонний, даже сам WhatsApp». В компании даже подчёркивают: «Всё это происходит автоматически: не нужно включать что-то в настройках или создавать специальный секретный чат, чтобы обезопасить свои сообщения».
Теперь же оказывается, что прочитать сообщения сам WhatsApp в принципе всё-таки может, и включать что-то в наcтройках всё-таки нужно, а исправлять эту ситуацию компания не собирается. И вводящий в заблуждение FAQ, похоже, тоже.
Кстати, слова «не нужно создавать специальный секретный чат» — явный камень в огород Telegram, где оконечное шифрование не включено по умолчанию. Неудивительно, что после новости об уязвимости WhatsApp Павел Дуров кинул в Твиттере ответный камень о «возможной работе на американское правительство» и даже ввязался в полемику: «WhatsApp — часть Facebook, а нам известно, что ради удержания доли рынка Facebook пойдёт на что угодно», «Я бы скорее работал на пришельцев, чем на российское правительство». На вопрос «Позволили бы вы полностью неконтролируемой коммуникации происходить в наши дни, когда повсюду террор?» Дуров ответил: «Это каверзный вопрос, но если кратко, то да. По статистике терроризм не входит в топ-10 главных угроз человеческой жизни».
Произойди подобная история года три назад, вероятно, она развивалась бы совсем иначе. Представьте: массовая аудитория в шоке от разоблачений Сноудена, все помнят о связях IT-компаний со спецслужбами. Популярнейший мессенджер в мире утверждает, что его пользователям ничего не грозит: «Мы в принципе не можем передать ваши сообщения кому-то, потому что сами не можем получить к ним доступ». И тут обнаруживается, что на самом деле могут, пусть и не ко всем.
Исправить эту ситуацию технически несложно, хотя бы включив оповещения о смене ключа по умолчанию. Но вопрос в другом: смогла бы компания три года назад в такой ситуации спокойно ответить публике «Это такая фича, не обращайте внимания»? Или публика втоптала бы её в землю, и проще было бы пойти навстречу?
Мессенджерам всегда приходится искать баланс между приватностью и юзабилити: самый защищённый сервис не может быть самым удобным, и наоборот. И то, какой выбор делают крупные сервисы — своеобразный барометр общественных настроений, показывающий, что сейчас важнее для пользователей.
Сначала Telegram, начавшийся с громких заявлений о защищённости, стал позиционировать себя иначе и сосредоточился на полезных функциях: внимание СМИ больше привлёк не выпад Дурова на WhatsApp, а его обещание добавить аудиозвонки. Теперь и действия WhatsApp показывают: люди стали меньше переживать о приватности.
Разумеется, есть те, кого она по-прежнему очень сильно волнует. Разумеется, существуют и те, которых приватность не волновала изначально. Но есть ещё и большая группа посередине: люди, которые вообще-то не хотели бы, чтобы их сообщения читали посторонние, но для которых это не главное в жизни. И, судя по всему, их вовлечённость постепенно сменяется равнодушием.
Почему так произошло? Людям хочется простых бинарных ответов: «Это безопасно, а это нет», «Так стоит делать, а вот так не надо». А когда несколько лет подряд вместо чёткого и однозначного появляется что-то запутанное, когда нет понятной инструкции, как правильно действовать, когда любой из популярных сервисов может оказаться уязвимым — попросту устаёшь разбираться в происходящем. Становится проще махнуть рукой, чем сопоставлять и переживать.
В главном мессенджере планеты нашли уязвимость, теоретически позволяющую ему сотрудничать с правительством? Ну и ладно, не переходить же теперь на другой.
Логично предположить, что эта перемена настроений будет сказываться и дальше: каждый раз, когда какому-то сервису нужно будет сделать выбор, связанный с приватностью, на решение будет влиять то, что общественное давление «Сделать всё защищённым» снизилось.
Раньше могло показаться, что войнушки вокруг приватности закончатся какой-то громкой победой одной из сторон, понятным бинарным событием: Apple или ФБР, Сноуден или АНБ. Но никакой бурной реакции на нарушения приватности не происходит — это не взрыв общества, а скорее какой-то всхлип. У одной из сторон потихоньку разбегается армия, и, кажется, всем уже плевать, чем кончится бой.
Меня всегда раздражали люди, которые наплевательски относятся к своей приватности. Мол, моя переписка никого не интересует, грубо говоря, против Путина ничего плохого не пишу, а, значит, всё на мази. Может, это вы сейчас среднестатистический законопослушный гражданин, до которому спецслужбам нет никакого дела. Но вот вы завтра потеряете работу, цены поднимутся, в Турцию отдохнуть съездить не получится, и вы по неосторожности напишите другу в сообщении о том, какая же эта власть плохая и чтобы вы с ней сделали. Уже на следующий день у вас появится много времени на отдых. Правда, не в Турции.
Да и не только власть может воспользоваться вашей личной информацией в сообщениях. Несколько лишних фотографий, отправленных подруге в сообщениях по незащищенному месседжеру, могут стать предметом шантажа со стороны хакеров. Ой, это же точно не про вас? Ну-ну. В конце концов, посмотрите третью серию третьего сезона "Черного Зеркала".
Но такие люди меня раздражают меньше, чем те, кто вообще против приватности. Уверенные в своей правоте и добропорядочности, они забыли время, когда людей в СССР сажали или расстреливали в прямом смысле за лишние слова. Откуда вдруг у людей появилось такая уверенность в своей собственной безопасности и неприкосновенности, когда люди получают реальные сроки за репосты в России? Ведь ********** [уделить чрезмерное внимание] можно к любому вашему сообщению, где есть хоть какой-нибудь отдаленный намек на расхождение с официальной позицией по любой проблеме, и спокойно раскрутить дело. Разве это до сих пор не очевидно?
Тут даже не нужно подниматься на высокий уровень абстракции: говорить о свободе слова, гарантиях неприкосновенности частной жизни. Всё должно быть понятно на простых примерах, которые, простите, касаются нас всех.
В этом и фишка же. Наехать можно на любого, но никому не нужно наезжать прям на каждого. Нужно чтобы была ВОЗМОЖНОСТЬ наехать. И чтобы каждый это понимал)
Главное не забывать что эти возможности будут зависеть исключительно от совести контроллируемого.
Комментарий недоступен
Пардоню, не совсем корректно выразился. От совести того, кто контролирует.
Комментарий недоступен
А сейчас у нас прямо все по честному и логично? Никаких подстав и фальсификаций? :) Человек - это эмоция, а не машина с регламентом.
Да ну? Хотите сказать, что всё, за что органы любят докопаться до незадачливого гражданина — против совести?)
Несколько лишних фотографий, отправленных подруге в сообщениях по незащищенному месседжеру, могут стать предметом шантажа со стороны хакеров
Ну ты же понимаешь, что это вообще проблемы не приватности.
Очень хороший комментарий, но вот к Чёрному зеркалу отсылаться не стоило, мне кажется...
Марат Хамадеев на страже чужих вкусов.
на самом деле это была отсылка к стёбу над устоявшимся шаблоном "Это было в X серии Y сезона Черного зеркала"
Подписываюсь под каждым вашим словом.
Комментарий удален модератором
заебали с этим черным зеркалом же
Массовой (вот именно массовой массовой, а не массовой гиковской) аудитории было пофиг на разоблачения Сноудена, примерно как и сейчас на эту ситуацию с WhatsApp
Нет, массовой американской аудитории было далеко не пофиг на разоблачения Сноудена — общий бунт заставил даже санкционировавшего всю эту работу АНБ Обамы выдавать что-то вроде «Надо будет проверить и разобраться», хотя ему ой как не хотелось признавать, что где-то с его ведома могли нарушаться права американцев. И компании тоже держали нос по ветру, вдруг их на вилы поднимут пользователя, вдруг это по имиджу ударит. А сейчас уже не бьёт, на вилы никто не поднимет — вот об этом колонка.
За рубежом эта история воспринималась, конечно, в другом контексте: в Европе может и задумались над тем, что их правительства могут делать так же, но такого же яркого примера нет, а на нет и суда нет. А у нас это всё подавали как «Смотрите, как у них в США слежку за обычным народом ведут», и конечно никакого напряжения это всё не вызывало.
Комментарий недоступен
Хуйню несеш.
Причем тут Уотергейт ?
Комментарий недоступен
Прослушка демократов, которая попадала республиканцам (даже призеденту, доказать что это президент или кто-то из партии все организовал, не смогли). И прослушивали ставя шпионское оборудование.
Причем тут обычная телефонная прослушка умник ?
И часто тебе мама говорит что ты особенный ?
Комментарий недоступен
А пруфу будут ?
На сколько я знаю пока журналисты не раскрутили тему незаконной подслушки конкурентов на самом высоком административном уровне (и всяческое противодействие Никсона расследованию), всем было похуй, и через пол года после задержание сантехников, его выбрали президентом.
Заебали уже с альтернативной историей.
Ну как-то так себе бунт, если его единственный результат - то, что Обама сказал «Надо будет проверить и разобраться»
У одного в мире Павла дрогнул глаз
Всем похуй на вас, и ваши вотсапы) Особенно службам)
С одной стороны — да. Я сам примерно так отвечаю знакомым, которые начинают кудахтать в духе "ОЙ КАК ЖЕ ТАК, ЭТО ЖЕ НЕ ПРИВАТНО".
С другой — похуй до того момента, когда за невинные тупые шуточки тебе смогут пришить оскорбление чьих-нибудь чувств или разглашение какой-нибудь важной информации.
Вот это самое маловероятное. Прикинь, какое это для них палево на ровном месте. Они с того, что отправят тебя в колонию за шуточки про Гитлера и верующих, не поимеют ничего, считай, однако общественный резонанс будет обеспечен.
На новость "в ватсап есть уязвимость, через которую теоретически могут читать вашу переписку, а могут и не читать, и хуй его вообще знает, че это за хуйня" реакция, конечно, не сильно бурная, хоть и не слабая. Но вот на новость "ватсап слил переписку какого-то рандома, в которой обнаружились оскорбительные шуточки. Рандом уже топчет зону" реакция общественности будет крайне мощной. И этот ватсап на вилы поднимут.
Если действительно есть бэкдор, то использовать его будут тихо. В таком случае имидж безопасного и защищенного от прослушки сервиса им важен крайне, потому что он будет привлекать тех пользователей, которым действительно есть что скрывать.
Всем похуй на вас, и ваши лайки) Особенно службам)
Я не понимаю людей, которые считают себя интереснее Неуловимого Джо. Очнитесь, всем похуй!
Только вот количество Вась Пупкиных с уголовными делами за посты в интернетах стабильно растёт.
так растет в России, чего нам в Европах-америках переживать?
у вас, там все время что-то да растет, то количество заключенных, то закрома Родины, то курс валют, то количество заключенных. Ой про заключенных было. видимо спираль истории на второй круг пошла
Комментарий удален модератором
Комментарий недоступен
Комментарий недоступен
Не совсем про то, но слова про NDA напомнили: если, скажем, вы вздумаете хранить VL-ключи от винды в Google Keep — очень скоро эти ключи станут недействительны)
Почему?
Содержимое заметок машинно парсится на предмет чего-нибудь эдакого.
Понятно, что с каждым годом приватности становится все меньше, и попытки с ней бороться со временем сойдут на нет. Общество движется в отказ от приватности, хорошо это, или нет.
Понятно, что с каждым годом приватности становится все меньше,
И попытки с ней бороться со временем сойдут на нет...
Общество движется в отказ от приватности,
Хорошо это, или нет...
Йоу!
Комментарий недоступен
И в то же время это означает, что при любой степени приватности всегда будут люди, которые смогут прочитать и спиздить.
Комментарий недоступен
Это было так же забавно, как и заявления про личную жизнь в интернете.
Да просто тема остыла оттого, что громких прецедентов не было. Вот посадят через год-два какого-нибудь белого цисгендерного отца-одиночку в камеру к неграм-пидарасам за то, что Whats App Трампа осудил, тогда и начнется все по новой.
А как же iMessage ?
А пруфу будут ?
На сколько я знаю пока журналисты не раскрутили тему незаконной подслушки конкурентов на самом высоком административном уровне (и всяческое противодействие Никсона расследованию), всем было похуй, и через пол года после задержание сантехников, его выбрали президентом.