На волне изменения политики конфиденциальности вновь на арене появился мессенджер Signal.
Первая волна популярности Signal появилась в 2015 году, когда его в своём твиттер-аккаунте прорекламировал Эдвард Сноуден (https://www.iphones.ru/iNotes/497049).
В 2021 году Илон Маск написал в своём твиттер-аккаунте "Use Signal" (https://www.iphones.ru/iNotes/ilon-mask-rekomenduet-messendzher-signal-chto-v-nyom-takogo-01-08-2021) и многочисленные поклонники Илона ринулись устанавливать этот мессенджер.
Что на сегодня известно про Signal.
|
Разработчик |
Некоммерческая организация Open Whisper Systems (OWS) , США Существует на пожертвования и гранты |
|
Владелец |
Мокси Марлинспайк (настоящее имя — Мэтью Розенфельд), предприниматель из США |
|
Год создания |
2010 |
|
Лицензия |
AGPLv3, Имеется открытый код |
|
Исходный код |
https://github.com/signalapp/Signal-Server |
|
Информация по местоположению
серверов |
На официальном сайте отсутствует.
Википедия https://wikichi.ru/wiki/Signal_Messenger |
|
Политика конфиденциальности |
Третьи Лица. Мы работаем с третьими лицами, чтобы предоставить
некоторые из наших услуг. Например, наши сторонние поставщики отправляют
проверочный код на ваш номер телефона, когда вы регистрируетесь на наши
услуги. Эти поставщики обязаны соблюдать свои Политики конфиденциальности для
защиты этой информации. Если вы используете другие сторонние сервисы, такие
как YouTube, Spotify, Giphy и т. д. В связи с нашими сервисами, их условия и
Политика конфиденциальности регулируют ваше использование этих сервисов. Другие случаи, когда сигналу
может потребоваться поделиться вашими данными Для удовлетворения любого применимого закона, постановления,
судебного процесса или принудительного правительственного запроса. Обеспечение соблюдения применимых условий, включая расследование
потенциальных нарушений. Для обнаружения, предотвращения или иного решения проблем
мошенничества, безопасности или технических проблем. Для защиты от ущерба правам, собственности или безопасности Signal, наших пользователей или общественности в соответствии с требованиями или разрешениями закона. |
Функционал
|
Наличие сквозного шифрования |
Есть |
|
Возможность запрета делать
скриншот секретного чата |
Имеется |
|
Протокол шифрования |
Для шифрования сообщений используется созданный специально для него криптографический протокол — Signal Protocol. Он применяется для сквозного (end-to-end) шифрования звонков (голосовых и видео), а также обычных сообщений. Протокол Signal с тех пор стали использовать и другие мессенджеры: WhatsApp, Facebook Messenger, Google Allo. Протокол не сертифицирован в Российской Федерации. Signal использует комплексную систему шифрования при помощи алгоритмов Curve25519, AES-256 и HMAC-SHA256. Их безопасность была доказана многолетним использованием в сотнях различных разработках и многими аудитами безопасности. Сообщения в Signal передаются через end-to-end шифрование и могут быть прочитаны только получателем (https://cryptoworld.su/zashifrovannaya-perepiska-cherez-signal-ili-net/ ) |
|
Поддержка исчезающих сообщений |
Есть |
|
Защита кодом безопасности |
Обычно уведомление о коде безопасности отображается, когда контакт переходит на новый телефон или повторно устанавливает Signal. Но если код безопасности меняется часто или неожиданно, это может быть подозрительно. (https://support.signal.org/hc/ru/articles/360007060632) |
Известные недостатки
|
Стабильность инфраструктуры Signal не налажена до сих пор, так что серверы периодически уходят в даун. Ничего не поделаешь, ведь Signal Foundation — это некоммерческая организация, которая существует на пожертвования. В отличие от компаний Telegram FZ LLC и Telegram Messenger Inc., привлекающих десятки миллионов долларов от инвесторов с общей оценкой мессенджера в $30 млрд. |
https://habr.com/ru/company/vdsina/blog/539330/ |
|
Израильская компания Cellebrite, разработчик шпионского ПО, заявила, что сумела взломать мессенджер Signal. Обойти защиту Signal специалисты Cellebrite смогли при помощи собственного программного инструмента Physical Analyzer, предназначенного для систематизации и обработки информации, полученной со смартфона. Специалисты Cellebrite выяснили, что для шифрования вложений Signal использует алгоритм AES в режиме CTR, после чего им осталось только провести дешифровку. Дополнительно сопоставлять найденные файлы с чатами им не пришлось – это было сделано еще на этапе анализа сообщений, и в итоге они получили полностью читабельные чаты, доступные теперь в том же виде, в котором их видят участники беседы. Отметим, что у Signal есть и другие проблемы с безопасностью. В сентябре 2020 г. стало известно, что он «сливает» номера телефонов своих пользователей, а это позволяет вытащить всю информацию из их профилей. Она впоследствии может использоваться злоумышленниками для создания поддельных аккаунтов с целью мошенничества, но виноваты в этом будут не только мессенджеры, но и сами пользователи. |
https://www.cnews.ru/news/top/2020-12-15_hakery_vzlomali_samyj_zashchishchennyj |
|
Правда, исследование компании Group-IB выявило некоторые недостатки безопасности и в Signal (для работы они использовали рутованные устройства). По словам исследователей, как и в случае с Telegram, создатели Signal предоставили открытый код приложения и протоколы, но оставили закрытым исходный код сервера. Среди недостатков Signal, характерных и для Telegram, специалисты также назвали небезопасность хранения чувствительных данных на клиентской стороне и возможность обхода биометрической аутентификации. |
https://lenta.ru/articles/2021/01/18/digital_migration/ https://habr.com/ru/company/group-ib/blog/522178/ |
|
В октябре 2018 г. выяснилось, что при переходе с Signal в виде расширения для браузера Chrome на настольную его версию (Signal Desktop) мессенджер выкладывает на диск пользовательского устройства всю переписку в незашифрованном виде, причем вместе со всеми вложениями. Приложение затем автоматически ре-импортирует все эти диалоги, однако в определенный период все, что должно быть зашифровано, лежит на диске в plaintext. Это позволяет скопировать любую информацию из любой переписки без необходимости ее дешифровки. |
https://www.cnews.ru/news/top/2020-09-17_samye_bezopasnye_messendzhery |
|
Несмотря на выявленные уязвимости доступный исходный код не обновлялся с апреля 2020 года |
Исходный код: https://github.com/signalapp/Signal-Server |
|
Исследователь Дэвид Уэллс (David Wells) из компании Tenable обнаружил уязвимость (CVE-2020–5753) в защищенном мессенджере Signal, эксплуатация которой позволят злоумышленнику отслеживать местоположение пользователя. |
|
|
Основные проблемы в безопасности Signal Private Messanger: ·
Зависимость от Google Cloud Messaging (сервис
push-уведомлений). Signal не может работать на прошивках без проприетарных
сервисов Google, таких как CopperheadOS или Fire OS (смартфоны и планшеты
Amazon), а также в операционных системах, поддерживающих запуск
Android-приложений (Sailfish OS, BlackBerry 10). При этом LibreSignal,
неофициальная версия мессенджера, способная работать без сервисов Google, не
может использовать официальные серверы Signal из-за прямого запрета
разработчиков. ·
Signal отправляет список контактов
пользователя (все номера телефонов) на сервер. Это нужно для автоматического
определения тех, кто тоже использует Signal, и уведомления об этом
пользователя. Signal хеширует номера перед отправкой для сохранения
приватности пользовательских данных, однако, если учесть очень малый объем
возможных хешей, которые можно получить из одиннадцати цифр (телефонный
номер), это очень плохая защита, которая быстро вскрывается с помощью
перебора. · Сервер RedPhone (отвечающий за работу функции защищенных звонков) закрыт, что не позволяет использовать его третьим лицам. По этой причине в том же LibreSignal эта функция просто отключена. |
https://cryptoworld.su/na-skolko-bezopasen-signal-messendzher/ |
|
Имеется информация о наличии 20 критических уязвимостей для версии iOs |
https://vkazivka.com/remont/texnika/whatsapp-is-denied-yak-vipraviti-blog-pro-vse.html  |
|
Так, уязвимость в Signal, исправленная еще в сентябре 2019 года, позволяла осуществить аудиовызов, отправив сообщение о подключении с вызывающего устройства на вызываемое, а не наоборот. Причем это делалось без взаимодействия с пользователем. |
Выводы
В связи с декларируемым отсутствием хранения сообщений на серверах, расположенных в неизвестных странах, есть вероятность того, что власти стран размещения серверов или иных стран действительно не смогут получить тексты сообщений в Signal и голосовые сообщения.
В тоже время, исходный код серверов не выложен в открытый доступ и мы не можем гарантировать точность этой информации.
Открытость исходного кода клиента - тоже не панацея. Код, который выложен на гитхабе может не соответствовать распространяемому через магазины приложений программному обеспечению.
Выявленных уязвимостей пока не много. Возможно с распространением мессенджера среди пользователей он заинтересует исследователей по безопасности и они смогут найти новые уязвимости.
Сравнение некоторых характеристик при выборе мессенджера позволяет отдать предпочтение Signal. Но функциональность, распространенность, наличие каналов, ботов, голосовых чатов и т.п. пока на стороне Telegram. Среди моих знакомых Signal пока установлен не более чем у десятка человек и мы в нём не общаемся. Пока основное общение и получение информации идёт в Telegram и WhatsApp.
Комментариев нет:
Отправить комментарий