Роскачество исследовало популярные мессенджеры

При этом в исследование не вошел Telegram, доступ к которому был ограничен на территории России по требованию Роскомнадзора. Также исследование не затронуло корпоративные мессенджеры и приложения, предназначенные в первую очередь для осуществления финансовых транзакций (при помощи чата).

Количество приложений, которые перешагнули итоговую отметку в 4 балла, составляет 14 из 49 – все они рекомендуются Роскачеством к использованию. Небезопасных приложений выявлено не было, однако у ряда мессенджеров отсутствует сквозное шифрование, что не дает права называть их защищенными. Подробнее об этом – в разделе о безопасности. 

Лучшими по совокупности всех критериев признаны приложения WhatsApp, Viber и Скайп на iOS и WhatsApp, Viber и Threema на Android.

Испытания проводились по 68 критериям. Каждый из них получил свой «вес» в общей сумме баллов, что позволило сформировать максимально объективную оценку. 

Одна из самых важных потребительских характеристик любого мобильного приложения – его функциональные возможности. В этом исследовании, как и в предыдущих, соответствующая группа параметров испытаний (29 критериев) получила наибольшее значение – 32% от итоговой оценки. Основная задача, которую призван решить мессенджер – обмен сообщениями с другими участниками общения. В приложениях социальных сетей, таких как Вконтакте, Одноклассники, Instagram и пр. рассматривалась только функциональность, связанная с обменом сообщениями и совершением звонков. Роскачество оценило возможности переписки по следующим критериям: возможность ответа на конкретное сообщение в рамках одного чата, пересылки сообщений, передачи файлов (документов, аудио- и видеофайлов, а также изображений), отправки геолокации, редактирования и удаления сообщений после отправки, наличие информации о статусе доставки, возможности обмена аудиосообщениями и многое другое.

Наиболее функциональными приложениям, как на iOS, так и на Android, оказались «ТамТам» (4,51 из 5), ICQ (4,38) и «Mail.ru Агент» (4,38). 

Помимо функциональности, важным для приложений является и удобство их использования. Оно оценивалось по 7 параметрам, наиболее важными из которых являются простота и качество навигации, помощь в приложении и адаптация для людей с ограниченными возможностями. 

При оценке простоты использования эксперты определили, насколько легко сразу понять, как работает приложение, а также подсчитали минимальное количество действий (кликов) для выполнения ключевых сценариев программ (доступ к списку чатов, поиск по сообщениям или чатам, отключение звуковых уведомлений, запись аудиосообщений и др.).

Наиболее удобными инструментами на iOS являются Facebook Messenger (4,85), Threema (4,85) и «Скайп» (4,7). На Android – Threema (4,79), «ВКонтакте» (4,68) и «Скайп» (4,64). 

Когда дело касается личной переписки, трудно переоценить важность безопасности мобильного приложения. Ключевым критерием в ней стало использование мессенджерами end-to-end шифрования, именуемого также сквозным. Сквозное шифрование обеспечивает доступ к исходному тексту сообщения только для отправителя и получателя, при этом он должен быть недоступен даже серверам, передающим данные. Шифрование и дешифровка происходят на конечных устройствах пользователей, что существенно повышает конфиденциальность переписки.

«Шифрование – самый надежный способ защитить конфиденциальность переписки. Вопрос, как всегда, состоит в том, насколько качественно оно реализовано. Во-первых, применяемые алгоритмы шифрования должны быть стойкими. Во-вторых, нужно быть уверенным в «честности» реализации шифрования, а это уже вопрос доверия к вендору мессенджера. Действительно ли в приложении отсутствуют лазейки, позволяющие получить доступ к содержимому переписки?», – рассуждает Даниил Чернов, руководитель направления Solar appScreener компании Ростелеком-Solar. 

Сквозное шифрование не гарантирует полную конфиденциальность и защищенность. На устройстве жертвы могут быть установлены троянские программы или сторонние приложения, запрашивающие избыточные доступы и разрешения. Определенную уязвимость также носят push-уведомления с демонстрируемым фрагментом переписки. Для того, чтобы они работали, iMessage, к примеру, отправляет на сервер ключи шифрования, необходимые для дешифровки сообщений. Кроме того, большинство мессенджеров позволяет создавать резервные копии переписок, которые хранятся в облачных хранилищах или локально на устройстве, что также создает дополнительные источники утечки данных. Еще одна угроза - возможность злоумышленникам получить доступ к переписке, перевыпустив сим-карту по фиктивной доверенности – в этом случае коды подтверждения будут приходить на новую сим-карту, что позволит без труда войти в аккаунт и даже скачать себе историю переписки (резервную копию). Поэтому крайне важно использовать двухфакторную аутентификацию – в случае с мессенджерами вход по коду из СМС и паролю (кодовому слову), что существенно усложнит «работу» мошенников. Такая возможность реализована в приложениях WhatsApp, Signal, Одноклассники, Instagram, Snapchat, Discord и VIPole. В приложениях Facebook Messenger, Hangouts, Скайп, Вконтакте и iMessage отсутствует возможность активации / отключения двухфакторной аутентификации, однако это можно сделать в веб-версии или в отдельной форме (как в случае с iMessage). В остальных сервисах двухфакторная аутентификация отсутствует.

Эксперты проверяли возможность установки пароля на вход в приложение или определенный чат, а также поддержку доступа по биометрическим данным (Touch ID / Face ID и др.). Максимальных баллов по критерию «Аутентификация» удостоились приложения WhatsApp (только iOS) и Signal.

Приложения были проверены на наличие шифрования транспортного уровня всех передаваемых данных. С помощью специализированного ПО (Wireshark) эксперты производили захват всего трафика, который пересылает исследуемое приложение, а затем анализировали его на наличие незашифрованных данных. В исследованных приложениях мессенджеров все данные передаются по зашифрованным каналам.

Эксперты Центра цифровой экспертизы Роскачества проверили реализацию самоудаляющихся текстовых сообщений, защиты от скриншотов или уведомлений о них, наличие согласия на обработку персональных данных, отсутствие вредоносных программ. Оценивалась и избыточность запрашиваемых разрешений, возможность удаления аккаунта и информативность правовой документации.

При проведении тестирования Роскачество не принимало во внимание отношение компаний-разработчиков к запросам властей или правоохранительных органов о раскрытии пользовательской информации, а также анонимность мессенджеров.

Наиболее защищенные на iOS – Wickr Me (4,73), Viber (4,57), WhatsApp (4,40) и Wire (4,31). На Android – Wickr Me (4,73), Viber (4,57), Threema (4,57) и Signal (4,35).

Владимир Зыков, директор ассоциации профессиональных пользователей соцсетей и мессенджеров, дал рекомендации, как наиболее безопасно использовать мессенджеры: «Многие стали переводить все коммуникации и договоренности в мессенджеры, что делать крайне небезопасно. Большинство мессенджеров дает возможность редактировать и удалять сообщения, что лишает вас доказательной базы, если вы решите напомнить собеседнику о ваших договоренностях. Лучше отдать предпочтение тем мессенджерам, которые дают возможность скрывать свой номер телефона в настройках приватности. В этом случае, если ваши сообщения кто-то перепостит, другие не увидят ваш номер. Учитывайте эти риски и выставляйте соответствующие настройки приватности. Помните, что анонимность в мессенджерах – это миф. Не бывает абсолютно безопасных мессенджеров. У большинства из них есть доступы к камере, микрофону, фото и контактам на устройстве, что уже само по себе небезопасно».

 

«Любые способы обмена информацией в сети нельзя назвать защищенными или абсолютно конфиденциальными – это обязательно нужно учитывать. Доступ к переписке и метаданным могут получить как IT-корпорации, так и правоохранительные органы. Если вы хотите абсолютной приватности – общайтесь лично, но и здесь вас могут подслушивать IT-гиганты, чтобы предложить вам таргетированную рекламу», – подытожил Илья Лоевский, заместитель руководителя Роскачества. 

Кроме безопасности, функциональности и удобства, эксперты Роскачества проверили производительность и надежность мобильных приложений, переносимость (возможность переноса чатов на другое устройство, наличие десктопной / веб-версии, версии для умных часов и другой мобильной операционной системы (iOS / Android) и наличие требуемой информации (информативность описания, отсутствие отзывов в описании, снимки экранов и видео, соответствие заявленной функциональности и другое).