Приложенията за съобщения са едно от най-важните, ако не и^{(the )} най-важните приложения, които използваме всеки ден. Независимо дали става дума за поддържане на връзка със семейството и приятелите си по целия свят, връзка с колеги или управление на бизнес операции, приложенията за съобщения като WhatsApp , iMessage, Skype и Facebook Messenger играят важна роля в ежедневните ни комуникации.

Често споделяме неща като лични снимки, бизнес тайни и правни документи в приложения за съобщения, информация, която не искаме да предоставяме на грешните хора. Но до каква степен можем да се доверим на вашите приложения за съобщения, за да защитят всички наши поверителни съобщения и чувствителна информация?

Следват някои насоки, които ще ви помогнат да оцените нивото на сигурност, което ще осигури любимото ви приложение за съобщения.

Няколко думи за криптирането

Разбира се, всички платформи за съобщения твърдят, че криптират вашите данни^{(encrypt your data)} . Шифроването използва математически уравнения, за да кодира вашите данни в преход, за да предотврати възможността на подслушвателите да прочетат вашите съобщения.

Правилното криптиране гарантира, че само подателят и получателят на съобщението ще са наясно с неговото съдържание. Въпреки това не всички видове криптиране са равни.

Най-сигурните приложения за съобщения са тези, които предлагат криптиране от край до край (E2EE)^{(end-to-end encryption (E2EE))} . Приложенията E2EE^(E2EE) съхраняват ключове за декриптиране само на устройствата на потребителите. E2EE не само защитава вашите комуникации от подслушватели, но също така гарантира, че компанията, която е домакин на приложението, няма да може да чете вашите съобщения. Това също означава, че вашите съобщения ще бъдат защитени срещу нарушения на данните и натрапчиви заповеди от трибуквени агенции.

Все повече и повече приложения за съобщения предоставят криптиране от край до край. Signal беше една от първите платформи, които поддържаха E2EE . През последните години други приложения са приели протокола за криптиране на Signal или са разработили своя собствена E2EE технология. Примерите^(Examples) включват WhatsApp , Wickr и iMessage.

Facebook Messenger и Telegram също поддържат E2EE съобщения, въпреки че не са активирани по подразбиране, което ги прави по-малко сигурни. Наскоро Skype^(Skype) добави и опция „Частен разговор“, която ви дава криптиране от край до край на един разговор по ваш избор.

Hangouts на Google не поддържа криптиране от край до край, но компанията предоставя Allo и Duo , приложения за текстови съобщения и видеоконференции, които са криптирани от край до край.

Изтриване на съобщение

Има повече за сигурността от просто криптиране на съобщения. Ами ако вашето устройство или устройството на човека, с когото разговаряте, бъде хакнат или попадне в грешни ръце? В този случай криптирането няма да бъде от полза, тъй като злонамереният актьор ще може да вижда съобщенията в техния некриптиран формат.

Най-добрият начин да защитите съобщенията си е да се отървете от тях, когато вече не се нуждаете от тях. Това гарантира, че дори ако устройството ви бъде компрометирано, злонамерените участници няма да получат достъп до вашите поверителни и чувствителни съобщения.

Всички приложения за съобщения предоставят някаква форма на изтриване на съобщения, но отново не всички функции за премахване на съобщения са еднакво сигурни.

Например, Hangouts и iMessage ви позволяват да изчистите историята на чатовете си. Но докато съобщенията ще бъдат премахнати от вашето устройство, те ще останат на устройствата на хората, с които сте разговаряли.

Следователно, ако техните устройства станат компрометирани, вие пак ще загубите чувствителните си данни. За своя заслуга Hangouts има опция да деактивира историята на чатовете, която автоматично ще премахва съобщенията от всички устройства след всяка сесия.

В Telegram , Signal , Wickr и Skype можете да изтривате съобщения за всички страни в разговора. Това може да гарантира, че чувствителни комуникации няма да останат в нито едно от устройствата, участващи в разговор.

WhatsApp също добави опция „изтриване за всички“ през 2017 г., но можете да я използвате, за да изтриете само онези съобщения, които сте изпратили през последните 13 часа. Facebook Messenger също добави функция „отмяна на изпращане“ съвсем наскоро, въпреки че тя работи само 10 минути след като изпратите съобщение.

Signal , Telegram и Wickr също предоставят функция за самоунищожаване на съобщения, която незабавно ще премахне съобщенията от всички устройства след изтичане на конфигуриран период от време. Тази функция е особено добра за чувствителни разговори и ви спестява усилията за ръчно изтриване на съобщения.

Метаданни

Всяко съобщение идва с количество помощна информация, известна още като метаданни, като идентификатори^(IDs) на подател и получател, времето на изпращане, получаване и прочетено съобщение, IP адреси, телефонни номера, идентификатори на устройства и^(IDs) др.

Сървърите за съобщения съхраняват и обработват този вид информация, за да се уверят, че съобщенията се доставят до правилните получатели и навреме и да позволят на потребителите да преглеждат и организират своите дневници за чат.

Въпреки че метаданните не съдържат текст на съобщението, в грешни ръце те могат да бъдат много вредни и да разкрият много за комуникационните модели на потребителите, като географското им местоположение, времето, в което използват приложенията си, хората, с които общуват и т.н.

В случай, че услугата за съобщения стане жертва на пробив на данни, този вид информация може да проправи пътя за кибератаки като фишинг и други схеми за социално инженерство.

Повечето услуги за съобщения събират изобилие от метаданни и за съжаление няма сигурен начин да разберете какъв тип информация съхраняват услугите за съобщения. Но от това, което знаем, Signal има най-добрия опит. Според компанията, нейните сървъри регистрират само телефонния номер, с който сте създали акаунта си, и последната дата, на която сте влезли в акаунта си.

Прозрачност

Всеки разработчик ще ви каже, че приложението му за съобщения е сигурно, но как можете да сте сигурни? Откъде знаете, че приложението не крие имплантирана от правителството задна врата? Как да разберете, че разработчикът е свършил добра работа при тестването на приложението?

Приложенията правят изходния код на тяхното приложение публично достъпен, известен също като „отворен код“, са по-надеждни, тъй като независимите експерти по сигурността могат да проверят и потвърдят дали са защитени или не.

Signal , Wickr и Telegram са приложения за съобщения с отворен код, което означава, че са били рецензирани от независими експерти. По-специално Signal^(Signal) има подкрепата на експерти по сигурността като Брус Шнайер^{(Bruce Schneier)} и Едуард Сноудън^{(Edward Snowden)} .

WhatsApp и Facebook Messenger са със затворен код, но използват сигналния протокол^{(Signal Protocol)} с отворен код, за да криптират съобщенията си. Това означава, че поне можете да сте сигурни, че Facebook , който притежава и двете приложения, няма да разглежда съдържанието на вашите съобщения.

За приложения с напълно затворен код, като например iMessage на Apple, трябва напълно да се доверите на разработчика, за да избегнете катастрофални грешки в сигурността.

За да бъде ясно, отворен код не означава абсолютна сигурност. Но поне можете да се уверите, че приложението не крие нищо гадно под капака.

Is Your Messaging App Really Secure?

Messaging applications are one of the most—if not the most—important apps that we use every day. Whether it’s to stay in touch with family and friends across the world, contact coworkers, or run business operations, messaging apps like WhatsApp, iMessage, Skype and Facebook Messenger play an important part in our daily communications.

We often share things such as personal pictures, business secrets and legal documents on messaging apps, information that we don’t want to make available to the wrong people. But how far can we trust your messaging apps to protect all our confidential messages and sensitive information?

Following are some guidelines that will help you assess the level of security that your favorite messaging app will provide.

A Few Words on Encryption

Of course, all messaging platforms profess to encrypt your data. Encryption uses mathematical equations to scramble your data in transition to prevent eavesdroppers from being able to read your messages.

Proper encryption makes sure that only the sender and the recipient of a message will be aware of its content. However not all types of encryption are made equal.

The most secure messaging apps are those that offer end-to-end encryption (E2EE). E2EE apps store decryption keys on users’ devices only. E2EE not only protects your communications against eavesdroppers, but also makes sure that the company that hosts the application won’t be able to read your messages. This also means that your messages will be protected against data breaches and intrusive warrants by three-letter agencies.

More and more messaging applications are providing end-to-end encryption. Signal was one of the first platforms to support E2EE. In recent years, other applications have adopted Signal’s encryption protocol or have developed their own E2EE technology. Examples include WhatsApp, Wickr and iMessage.

Facebook Messenger and Telegram also support E2EE messaging, though it’s not enabled by default, which makes them less secure. Skype also added a “Private Conversation” option recently which gives you end-to-end encryption on one conversation of your choice.

Google’s Hangouts does not support end-to-end encryption, but the company provides Allo and Duo, text messaging and video conferencing apps that are end-to-end encrypted.

Message Deletion

There’s more to security than just encrypting messages. What if your device or the device of the person you’re chatting with gets hacked or falls into the wrong hands? In that case, encryption will be of little use, because the malicious actor will be able to see messages in their unencrypted format.

The best way to protect your messages is to get rid of them when you don’t need them anymore. This makes sure that even if your device becomes compromised, malicious actors won’t get access to your confidential and sensitive messages.

All messaging apps provide some form of message deletion, but again, not all message removal features are equally secure.

For instance, Hangouts and iMessage enable you to clear your chat history. But while messages will be removed from your device, they will remain on the devices of the people you have been chatting with.

Therefore, if their devices become compromised, you’ll still lose hold of your sensitive data. To its credit, Hangouts has an option to disable chat history, which will automatically remove messages from all devices after each session.

In Telegram, Signal, Wickr and Skype, you can delete messages for all parties to a conversation. This can make sure that sensitive communications don’t remain in any of the devices involved in a conversation.

WhatsApp also added a “delete for everyone” option in 2017, but you can use it to delete only those messages you’ve sent within the last 13 hours. Facebook Messenger also added an “unsend” feature very recently, though it only works for 10 minutes after you send a message.

Signal, Telegram and Wickr also provide a self-destructing message feature, which will immediately remove messages from all devices after a configured period of time passes. This feature is especially good for sensitive conversations, and saves you the effort of manually wiping messages.

Metadata

Every message comes with an amount of auxiliary information, also known as metadata, such as sender and receiver IDs, the time a message was sent, received and read, IP addresses, phone numbers, device IDs, etc.

Messaging servers store and process that kind of information to make sure messages are delivered to the right recipients and on time and to enable users to browse and organize their chat logs.

While metadata doesn’t contain message text, in the wrong hands, it can be very harmful and reveal a lot about users’ communication patterns such as their geographical location, the times they use their apps, the people they communicate with, etc.

In case the messaging service falls victim to a data breach, this kind of information can pave the way for cyberattacks such as phishing and other social engineering schemes.

Most messaging services collect a wealth of metadata and unfortunately, there’s no sure way to know what type of information messaging services store. But from what we know, Signal has the best track record. According to the company, its servers only register the phone number with which you created your account and the last date you logged in to your account.

Transparency

Every developer will tell you their messaging app is secure, but how can you be sure? How do you know the app is not hiding a government-implanted backdoor? How do you know the developer has done a good job at testing the application?

Applications make the source code of their application publicly available, also known as “open-source,” are more reliable because independent security experts can examine and confirm whether they’re secure or not.

Signal, Wickr and Telegram are open-source messaging apps, which means they have been peer-reviewed by independent experts. Signal in particular has the support of security experts such as Bruce Schneier and Edward Snowden.

WhatsApp and Facebook Messenger are closed-source, but they use the open-source Signal Protocol to encrypt their messages. This means that you can at least rest assured that Facebook, which owns both apps, won’t be looking into the content of your messages.

For fully closed-source applications such as Apple’s iMessage, you must fully trust the developer to avoid making disastrous security mistakes.

To be clear, open-source doesn’t mean absolute security. But at least you can make sure that the app isn’t hiding anything nasty under the hood.

Related posts

• Как да отваряте наистина големи текстови и CSV файлове

• Как да направим WordPress сайт сигурен

• 4 начина да превърнете Facebook Messenger в самостоятелно приложение

• 3 начина да измислите най-сигурната парола

• Наистина ли работят предпазителите от пренапрежение?

• Как да изтеглите видеоклипове от Twitch

• Как да намерите най-добрите сървъри на Discord

• Как да разделите екрана на Chromebook

• Как да създадете прозрачен фон в GIMP

• Демистифицирана технология за плосък дисплей: TN, IPS, VA, OLED и др

• Как да направите всеки кабелен принтер безжичен по 6 различни начина

• Можете ли да промените името си в Twitch? Да, но бъдете внимателни

• Какво е режим Discord Streamer и как да го настроите

• Как да вмъкнете емоджи в Word, Google Docs и Outlook

• Как да предавате на Roku TV от компютър или мобилен телефон

• Как да намерите рождени дни във Facebook

• Как да разделите клип в Adobe Premiere Pro

• 4 начина да намерите най-добрите интернет опции (ISP) във вашия район

• 10 най-добри начина да защитите компютъра си от деца

• Как да заглушите някого в Discord