Дуров и Сноуден поспорили о защищённости Telegram и WhatsApp Статьи редакции
21 сентября экс-сотрудник ЦРУ и АНБ Эдвард Сноуден выразил сомнение в надёжности хранения данных в мессенджере Telegram и предположил, что пользователям лучше общаться с помощью WhatsApp. Основатель Telegram Павел Дуров раскритиковал высказывание Сноудена и технологии защиты WhatsApp.
Вечером 21 сентября Сноуден отвечал на вопросы своих подписчиков о том, какой мессенджер лучше использовать для общения. Ранее в этот же день экс-сотрудник ЦРУ раскритиковал мессенджер Allo от Google за то, что он сохраняет на своих серверах всю переписку пользователей, которая может быть передана правоохранительным органам по их запросу.
По словам Сноудена, пользователям стоит чаще пользоваться защищёнными сетями типа Tor и мессенджерами с усиленным шифрованием — например, Signal. Это не идеальный рецепт для сохранения приватности, однако Signal надёжнее, чем Allo, добавил Сноуден.
In seriousness, this is a complex question for which there is no one right answer. But relative to #Allo, Signal is safer for normal users.
— Edward Snowden (@Snowden) September 21, 2016
Один из пользователей Twitter спросил Сноудена, что он думает о Telegram Павла Дурова, на что экс-сотрудник ЦРУ заявил, что по умолчанию этот сервис менее надёжен, чем WhatsApp, что может представлять опасность для «не-экспертов». Сейчас в WhatsApp используется end-to-end шифрование по умолчанию, тогда как в Telegram этот способ используется только в «секретных» чатах.
By default, it is less safe than @WhatsApp, which makes dangerous for non-experts. https://t.co/v1xy8VffC4
— Edward Snowden (@Snowden) September 21, 2016
В ответ на это Дуров заявил, что «большинство пользователей WhatsApp хранят всю переписку в незашифрованном виде в Google Drive и iCloud» (такая возможность появилась в мессенджере в октябре 2015 года). «В результате, 80% сообщений в WhatsApp и 100% метаданных хранятся в США и доступны американским спецслужбам. Даже если один отключит эти бэкапы, другие пользователи могут хранить их. Это нулевая защита для групп в WhatsApp», — сказал Дуров.
@Snowden Did you take into account that the majority of users of WA store their entire chat histories not encrypted on Google Drive/iCloud?
— Pavel Durov (@durov) September 21, 2016
@Snowden Even if you turn these backups off, your contacts will still backup their chats with you. This also means 0 security in WA groups.
— Pavel Durov (@durov) September 21, 2016
Сноуден ответил, что поведение внешних сервисов значит меньше, чем работа самого приложения и порекомендовал Дурову реагировать на критику через описание изменений сервиса, а не в Twitter. Создатель Telegram ответил, что его приложение предоставляет защищённое «облако» для тех, кому нужно единое хранилище переписки для разных устройств и «реальное» end-to-end шифрование для тех, кто в нём нуждается.
@durov Your work is admirable, but respectfully, I believe it more helpful to respond to criticism through patch notes rather than Twitter.
— Edward Snowden (@Snowden) September 21, 2016
«При этом WhatsApp может отключить их "end-to-end" удалённо со своего сервера в любое время», — добавил Дуров.
@Snowden And real e2e for those who don't. While Whatsapp can switch off their "e2e" remotely from their server for any user at any time.
— Pavel Durov (@durov) September 21, 2016
Впрочем, Сноуден согласился с высказыванием Дурова о том, что WhatsApp практически вынуждает пользователя включить хранение переписки в стороннем хранилище. Кроме того, он назвал «вызывающей сомнение» идею передавать данные о пользователях WhatsApp в Facebook, и добавил, что все сервисы сейчас нуждаются в доработке.
@durov Fair criticism, and I agree with you here. Nexus to Facebook is also cause for concern. Much to improve all around; be first and win!
— Edward Snowden (@Snowden) September 21, 2016
В итоге Дуров также признал, что вести дискуссию в Twitter не имеет смысла и пообещал прислать Сноудену ссылку на исследования по вопросу мессенджеров.
@Snowden Anyway, Twitter is not the best way to have this discussion. I'll be sharing links to relevant research later for you to check out.
— Pavel Durov (@durov) September 21, 2016
Пфффф. Вотсап при их мега секьюрном энд ту энд шифровании by default присылают пуши с текстом сообщения. Какое нахрен шифрование, если мои сообщения хранятся в открытом виде на серваках гугла и эппла?
Это так, камень в сторону Сноудена. По умолчанию ведь нотификации включены, не так ли?
Комментарий удален модератором
Шаг 1. Ставишь вотсап.
Шаг 2. Юзаешь настройики "по умолчанию", т.е. Включенные пуши и показ текста сообщения.
Шаг 3. Получаешь пуш от кого-нибудь сообщение - видишь текст сообщения на экране телефона, без перехода в само приложение.
....
Profit.
Означает это лишь то, что вотсап отпраляет это "зашифрованное" сообщение на сервера гугла/эппла (в зависимости от платформы) в открытом виде, для последующей передачи его конечному пользователю в качестве пуш-уведомления. End to end шифрование как бы есть, но его как бы нет.
Телеграм, к примеру, в защищенном чате пришлет уведомление "You have a new message".
не так все работает:
http://security.stackexchange.com/questions/119624/how-is-whatsapp-sending-end-to-end-encrypted-messages-in-push-notifications
Так вот почему эта сволочь батарею жрет!!1