Fot. YouTube

„Darmowe” komunikatory, tak jak „darmowe” maile nigdy nie są naprawdę darmowe. Za korzystanie z nich płacimy swoimi danymi, a wielkie korporacje wiedzą, jaką mają wartość.

Zalewane spamem reklamowym „darmowe” skrzynki pocztowe już dawno temu doprowadziły do masowej migracji z Onetu czy WP na m.in. Google Gmail. Na Gmaila spam reklamowy nie trafia, (o ile sami nie zapiszemy się do newsletterów) ale amerykański monopolista nie musi się schylać po drobne. Wszak to on dzierży największy system reklamowy czyli Google AdSense, a to co się nam pojawia na banerach nie jest przypadkowe…

Podobnie sytuacja wygląda w „darmowych” komunikatorach. Nie bez powodu Facebook, (który tak jak Google żyje z reklam podsuwanych pod nos użytkownikom) posiadając w swoim portfolio komunikator Messenger kupił rzekomo bezpieczny WhatsApp.

Gdy Facebook (a tym samym WhatsApp) popadł w tarapaty wizerunkowe pojawił się Telegram i Signal. – Jak na ironię, użytkownicy migrujący z WhatsApp na Telegram cofają się pod kątem bezpieczeństwa – stwierdził w magazynie Forbes Zak Doffman, który zajmuje się tematyką cyberbezpieczeństwa. Doffman wyjaśnia, że rosyjska aplikacja nie oferuje m.in. domyślnego szyfrowania end-to-end. Natomiast opcja „sekretnego chatu”, gdzie użytkownicy omijają chmurę Telegramu nie obejmuje rozmów grupowych.

– Problem szyfrowania sprawia, że ciężko polecić Telegram z punktu widzenia bezpieczeństwa. Brak domyślnego szyfrowania end-to-end daje złudne poczucie prywatności – dodaje John Opdenakker, ekspert zajmujący cyberbezpieczeństwem.

Sama chmura Telegramu również budzi spore kontrowersje. W praktyce Rosjanie mają dostęp do naszych wiadomości, gromadzonych na swoich serwerach. Natomiast protokół szyfrowania MTProto, z którego korzystają Rosjanie, jest tylko częściowo otwartym oprogramowaniem. W rzeczywistości zostaje nam wiara w dobre intencje właścicieli aplikacji.

Z kolei ekspert ds. bezpieczeństwa Tommy Mysk ostrzega, że nawet szyfrowanie end-to-end w Telegramie może być nie tak bezpieczne, jak w innych komunikatorach. – Podczas naszych badaniach dot. podglądu linków odkryliśmy, że Telegram generuje linku podglądu na swoich zdalnych serwerach zarówno dla zwykłego i „sekretnego” chatu. Sekretny chat jest szyfrowany end-to-end, a wysyłanie linków w takim chacie do zdalnego serwera mija się z celem szyfrowania end-to-end. Zdalne serwery Telegramu pobierają do 20 MB z linku udostępnianego na chacie. Podczas pierwszego udostępnienia linku na sekretnym chacie użytkownik otrzymuje nawet informacje, że link trafi do serwerów zdalnych – zauważył Mysk.

Eksperci są równie sceptyczni wobec Signal. Dziennikarz śledczy Yasha Levine, autor głośnej książki „Surveillance Valley: The Secret Military History of the Internet” wskazał wprost, że komunikator ten powstał za pieniądze CIA (a dokładniej z Radio Free Asia, agencji związanej z CIA), natomiast korelacja między skutecznymi działaniami służb wobec stosujących ten komunikator podczas protestów nie jest przypadkowa. Sam twórca aplikacji Moxie Marlinspike (Matthew Rosenfeld) był związany z Departamentem Stanu USA za kierownictwa Hillary Clinton.

– Skoro zaawansowana technologia kryptograficzna Signal naprawdę stwarzałaby zagrożenie dla amerykańskiego rządu i władzy oligarchów, to po co rządzący by dofinansowali jego powstanie? I dlaczego Facebook i Google rzuciły się, aby przyswoić jej „super-tajne” protokoły? – pyta Yasha Levine.

Co zabawniejsze, Signal korzysta z usług chmurowych Amazon, który ma umowę również z CIA. Aplikacja pobiera naszą listę kontaktów i numery z książki telefonicznej, a sam program możemy pobierać tylko za pomocą sklepów Google i Apple. A oba te giganty, co wynika z ujawnionych swego czasu przez Snowdena informacji, przystąpiły do amerykańskiego programu szpiegowskiego PRISM, którym od 2007 roku kieruje National Security Agency. W jego ramach amerykańskie służby mają dostęp do danych gromadzonych na serwerach oraz gromadzenie ich na własny użytek.

Według ustaleń portalu CoinDesk to właśnie szef Signal jest CTO (Chief Technology Officer, członek zarządu odpowiedzialny za technologie) nowej kryptowaluty MobileCoin. To o tyle ciekawe, że Signal zapowiedział integrację płatności MobileCoin, a wówczas wycena kryptowaluty wystrzeliła z 7 do ponad 55 dolarów. Zarchiwizowane wersje strony MobileCoin z grudnia 2017 roku wymieniają Marlinspike’a jako jednego z trzech członków „zarządu” (na stronie określonego jako „The Team”). Marlinspike zniknął ze strony dopiero w kwietniu 2018 roku.

Z kolei Matt Corallo, współtwórca Bitcoina stwierdził, że Moxie Marlinspike sprzedał bazę użytkowników Signal, „tworząc i wprowadzając na rynek kryptowalutę wyłącznie na podstawie ich zdolności do sprzedawania przyszłych tokenów zniewolonej publiczności”.

„W najmniej uczciwy i najbardziej nieprzejrzysty i tajemniczy sposób” – dodał Corallo na swoim Twitterze. Corallo nie kryje wściekłości na szefa Signal, ponieważ osobiście wspierał oprogramowanie komunikatora mające być oparte na tzw. otwartym kodzie źródłowym (czyli dostępnym dla każdego).

Co ciekawe, kod Signal nie jest już otwarty. Natomiast kod integracji MobileCoin został dodany w ostatniej wersji beta Signal.

Mało tego, eksperci od cyberbezpieczeństwa jak Lance R. Vick wskazują, że Signal bez trudu może przywracać i odtwarzać dane użytkowników – mimo oficjalnych deklaracji. Administratorzy mogą do tego wykorzystać chociażby metadane z niezaktualizowanego SGX (Software Guard Extensions). Z kolei portal TechNadu wskazuje, że Signal nie szyfruje informacji, które łatwo pozwalają identyfikować użytkownika po numerze telefonu.

Spore emocje wywołała niedawna konferencja Black Hat 2021 w Las Vegas. Jej uczestnicy prezentowali błędy jakie odkryli w zabezpieczeniach popularnych programów. Natalie Silvanovich, ekspertka ds. cyberbezpieczeństwa przedstawiła luki w zabezpieczeniach Signal, Google Duo, Facebook Messenger, JioChat oraz Viettel Mocha, które sama odnalazła.

Odkrycia Silvanovich były dość szokujące. Np. błąd w Messengerze Facebooka pozwalał atakującym na podsłuchiwanie rozmów audio. Błędy w aplikacjach Viettel Mocha i JioChat dawały hakerom dostęp do dźwięku oraz obrazu.

W przypadku Signal hakerzy mogli podsłuchiwać rozmowy. Natomiast w aplikacji Google Duo błąd pozwalał na krótki dostęp do obrazu.

Co zabawne, niedawno wyszło na jaw, że Signal w wersji na Androida przez pół roku miał błąd, przez który podczas wysyłania fotki do naszego znajomego, załączał dodatkowe przypadkowe fotografie z naszych albumów.

„To kpina. Ten błąd powinien być priorytetem dla zespołu Signal, ale jedyne co robią to proszą o logi. (…) Taki błąd powinien pogrążyć Signal” – wskazywał znany ekspert i aktywista proprywatnościowy Infinite Light.

Pokaż więcej Redakcja
Pokaż więcej w  Aktualne

Zobacz też

Ile kosztuje Niebezpiecznik? Konieczny za pieniądze promował niebezpieczne oprogramowanie

Rzekomi eksperci od cyberbezpieczeństwa promowali podatne na ataki hakerów oprogramowanie.…