Как поменять имя в wickr me

Вопросы и ответы об AWS Wickr

Вопрос. Что такое AWS Wickr?

AWS Wickr – это комплексный сервис для сквозного шифрования, обеспечивающий безопасную совместную работу внутри организации, в том числе индивидуальный или групповой обмен сообщениями, аудио- и видеовызовы, совместное использование файлов и экрана, а также многое другое. Сервис AWS Wickr доступен в регионе Восток США.

Вопрос. Что такое AWS WickrGov?

Сервис AWS WickRGov доступен в облаке AWS GovCloud (США – запад). AWS WickrGov – это комплексный сервис для сквозного шифрования, обеспечивающий более безопасную совместную работу внутри организации, в том числе обмен сообщениями, совместное использование файлов и экрана. Пользователи AWS WickrGov также могут интегрироваться с другими пользователями AWS WickrGov за пределами своей сети.

Вопрос. Какие операционные системы поддерживает AWS Wickr?

AWS Wickr может работать со следующими операционными системами:

• Microsoft Windows 10;
• Apple macOS (10.13 и новее);
• Apple iOS (13.0 и новее);
• Android (8.0 и новее).
• Linux, Ubuntu и пакет Snap

Начало работы

Вопрос. Как можно опробовать AWS Wickr?

Если у вас уже есть аккаунт AWS, войдите в Консоль управления AWS и создайте сеть AWS Wickr. Вы сможете приглашать пользователей и управлять сетью в консоли администратора AWS Wickr.

Вопрос. Как можно опробовать AWS WickrGov?

Если вы создаете новый аккаунт AWS GovCloud: чтобы зарегистрировать аккаунт AWS GovCloud (США), вы должны быть физическим или юридическим лицом, отвечающим требованиям AWS GovCloud (США). Далее приведены требования.

• Владелец аккаунта должен быть американским юридическим лицом, зарегистрированным для ведения бизнеса в Соединенных Штатах и базирующимся на территории США.
• Владелец аккаунта должен быть лицом, определяемым как гражданин США, гражданином США или действующим владельцем грин-карты.
• Владелец аккаунта должен иметь возможность обрабатывать данные, подлежащие экспортному контролю согласно Международным правилам торговли оружием (ITAR).
• Кроме того, AWS использует автоматизированные средства управления для предотвращения создания мошеннических аккаунтов. В результате создание новых аккаунтов может быть отклонено. Если вы считаете, что ваш запрос был отклонен ошибочно, обратитесь в службу поддержки AWS для получения дополнительной помощи в создании учетной записи.

Вопрос. Как загрузить AWS Wickr?

Чтобы загрузить AWS Wickr, см. эти материалы. Если вы хотите загрузить другие продукты Wickr, например наше предложение для локального использования, нажмите здесь.

Вопрос. Как загрузить AWS WickrGov?

Нажмите, чтобы загрузить AWS WickrGov. Если вы хотите загрузить другие продукты Wickr, например наше предложение для локального использования, нажмите здесь.

Вопрос. Я конечный пользователь. Где можно узнать подробнее об использовании AWS Wickr?

Чтобы узнать больше об AWS Wickr, посетите страницу .

Вопрос. Где можно подробнее узнать о гостевых пользователях AWS Wickr?
Чтобы узнать больше о гостевых пользователях AWS Wickr, посетите страницу .

Вопрос. Можно ли создать несколько сетей AWS Wickr?

Вы можете создать столько сетей Wickr, сколько вам нужно, во всех аккаунтах участников AWS в организации AWS.

Вопрос. Предлагает ли Wickr локальные сервисы?

Ответ. Wickr предлагает два варианта самостоятельного локального размещения: Wickr Enterprise и Wickr RAM.

Обмен сообщениями

Вопрос. Как начать групповую беседу?

Для этого используйте блокнот или ручку на вкладке «Комнаты». Указав нужные контакты, выберите «Создать», чтобы открыть новую группу и добавить новые имена пользователей в список контактов.

Вопрос. Как можно «отмечать» сообщения и что это значит?

Вы можете выбрать сообщение, а затем нажать «звездочку», чтобы отметить его. Вы можете быстро получить доступ к выбранным сообщениям, изображениям и файлам из строки поиска, нажав на значок звездочки для просмотра и поиска отмеченных элементов.

Вопрос. Что такое контроль сообщений, ориентированный на отправителя?

С точки зрения конфиденциальности традиционные системы обмена сообщениями «ориентированы на получателя»; получатель решает, как долго будут храниться сообщения и как они будут передаваться. AWS Wickr передает контроль в руки отправителя. AWS Wickr дает вам уверенность в том, что ваши личные сообщения не окажутся на потерянном или украденном телефоне, не застрянут в интернет-блоге и не всплывут, когда взломают сайт социальных сетей, которым вы пользовались ранее.

Вопрос. Почему я не вижу сообщение, которое было отправлено мне?

Скорее всего, срок хранения сообщения истек. Каждый пользователь, отправляющий сообщение, может решить, как долго оно будет храниться, установив таймер истечения срока действия. Кроме того, отправители могут установить таймер удаления при прочтении, который начинает отсчет времени после того, как сообщение было разблокировано или прочитано.

По истечении таймера срока действия сообщение автоматически удаляется, независимо от оставшегося времени прочтения или от того, открывали ли вы сообщение.

Вопрос. Могу ли я узнать, было ли прочитано мое сообщение?

В настоящее время AWS Wickr не предлагает подтверждения о прочтении. Однако мы работаем над созданием дополнительной функции получения разрешений на чтение, которая не будет нарушать конфиденциальность получателей.

Вопрос. Как я могу узнать, был ли кто-то активен в последнее время?

Вы можете видеть статусы с зеленой точкой рядом с чьим-либо именем и аватаром, что указывает на их активность. Это называется опцией присутствия, которая позволяет увидеть, находятся ли другие пользователи в настоящее время в сети или нет, а также когда они были активны в последний раз.

Вопрос. Что такое голосовые заметки?

Вы можете отправлять полностью зашифрованные голосовые заметки в комнаты или беседы. Отправьте голосовую заметку длиной до одной минуты, нажимая и удерживая значок микрофона на мобильном устройстве. Для настольного компьютера выберите кнопку начала и завершения. Продолжительность голосовых заметок должна составлять не менее 2 секунд.

Звонки

Вопрос. Как начать звонок?

При нажатии на значок телефона в правом верхнем углу экрана комнаты, группы или сообщения AWS Wickr откроется меню «Начать звонок».

Вопрос. Могу ли я звонить пользователям, находящимся вне сети?

Да, вы можете звонить как пользователям онлайн, так и пользователям вне сети в Wickr Me и AWS Wickr.

Вопрос. Можно ли записывать звонки в AWS Wickr?

Безопасность и конфиденциальность

Вопрос. Может ли AWS получить доступ к информационному контенту моей организации?

Нет. Сообщения шифруются сквозным образом и доступны для чтения только на устройствах конечных пользователей.

Вопрос. Сохраняет ли AWS Wickr мои данные?

Мы стремимся ограничить сбор и хранение информации о клиентах только тем, что необходимо для предоставления сервисов в соответствии с действующими законами о защите данных и конфиденциальности. Мы можем хранить ваши материалы на наших серверах (вплоть до истечения срока действия данных, установленного на таймере), чтобы доставлять их пользователям, вышедшим из системы. Более подробную информацию см. в нашем уведомлении о конфиденциальности.

Вопрос. Где найти уведомление о конфиденциальности?

Более подробную информацию см. в нашем уведомлении о конфиденциальности.

Вопрос. Где найти условия предоставления сервиса?

Подробные сведения см. на странице условий обслуживания.

Внешняя федерация

Вопрос. Могу ли я отправлять сообщения людям за пределами своей организации?

По умолчанию сети AWS Wickr могут общаться со всеми, кто использует AWS Wickr.

Вопрос. Могу ли я запретить своей команде получать сообщения от других людей за пределами нашей организации?

Администраторы могут отключить федерацию с внешними сетями AWS Wickr в настройках группы для обеспечения безопасности.

Вопрос. Для чего используется идентификатор сети?

Идентификаторы сети можно внести в список разрешений, чтобы ограничить круг лиц, с которыми могут общаться ваши команды.

Управление данными

Как работает хранение данных в AWS Wickr?

По умолчанию хранение данных в Wickr не включено. Администратору Wickr для вашей сети необходимо будет создать и включить функцию хранения данных, чтобы контент, отправленный из вашей сети Wickr, сохранялся для аудиторских и нормативных целей. После включения этой функции пользователи в вашей сети Wickr увидят в приложении уведомление, информирующее их о записи отправленного ими контента. Входящий федеративный контент (сообщения, файлы, метаданные и т.д., отправленные от контактов вне вашей сети Wickr) не будет записываться. Wickr не обладает доступом к записанному контенту; все данные хранятся у клиента и управляются ему. Системный администратор клиента должен будет обеспечить безопасное хранение сохраненного контента в соответствии с нормами / политикой, касающимися деловых коммуникаций.

Вопрос. Можно ли сохранить сообщения, отправленные пользователями AWS Wickr за пределами моей сети людям из моей сети?

Нет, при хранении данных сохраняются только сообщения, отправленные внутри сети AWS Wickr, или сообщения из вашей сети другим пользователям. Входящие сообщения от пользователей в разных сетях AWS Wickr не отслеживаются.

Вопрос. В каких регионах доступен AWS Wickr?

AWS Wickr доступен в следующих регионах: Азиатско-Тихоокеанский регион (Сидней), Канада (Центральная), Европа (Франкфурт и Лондон), восток США (Северная Вирджиния), а также регионе GovCloud на западе США (AWS WickrGov). В этих регионах обрабатываются и хранятся данные.

Вопрос. Доступен ли сервис AWS Wickr или AWS WickRGov в AWS GovCloud (США)?

Сервис AWS WickrGov доступен в облаке AWS GovCloud в США. Регион Запад США (Орегон)

Расширяемые рабочие процессы

Вопрос. Где можно узнать подробнее о ботах AWS Wickr?

Администраторы могут узнать больше о ботах AWS Wickr, в том числе о настройке, существующих ботах и персонализации ботов.

Цены и оплата

Вопрос. Как начисляется плата за использование AWS Wickr?

В консоли администратора AWS Wickr вы можете управлять планом и пользователями. В зависимости от выбранного тарифного плана и количества пользователей на пропорциональной основе вам выставляется счет за каждый месяц. Счета за услуги AWS Wickr можно найти на странице выставления счетов Консоли управления AWS.

Миграция

Вопрос. Я текущий клиент Wickr Pro. Как перейти на AWS Wickr?

Администраторы сетей AWS Wickr могут заполнить эту форму, чтобы отправить запрос на перенос существующих сетей Wickr Pro в AWS Wickr. Нам понадобится идентификатор вашего аккаунта AWS и идентификатор сети Wickr Pro, чтобы соединить ваши аккаунты AWS и Wickr. Мы свяжемся с вами после успешного перехода вашей сети с Wickr Pro на AWS Wickr.

Для получения дополнительной информации ознакомьтесь с нашим руководством по миграции.

Вопрос. Я только начинаю работать с AWS. Как создать новый аккаунт AWS?

Если у вас еще нет аккаунта AWS, заполните форму на странице регистрации. Подробнее см. здесь.

Вопрос. Что делать, если моя организация еще не готова к переходу с Wickr Pro на AWS Wickr?

Поддержка Wickr Pro будет прекращена 31 января 2024 года. Если вы не перенесете свою сеть Wickr Pro на AWS Wickr до указанной даты, ваша сеть и содержащиеся в ней данные будут удалены. Чтобы перейти на AWS Wickr, нажмите здесь и заполните форму для переноса.

Вопрос. Когда начнется процесс переноса?

Перенос начнется 1 марта 2023 года. Он может занять до 2 недель. Мы свяжемся с вами после успешного переноса вашей сети на AWS Wickr.

Вопрос. В чем заключаются изменения и преимущества перехода с Wickr Pro на AWS Wickr?

С AWS Wickr вы получаете новые возможности, включая интеграцию с Консолью управления AWS для создания сетей и управления ими, а также улучшенный процесс регистрации пользователей. AWS Wickr сохраняет информацию в целях соблюдения нормативных требований, обеспечения законности и аудита.

Вопрос. Какое приложение мне нужно использовать для AWS Wickr?

Мы обновим существующие мобильные приложения Wickr Pro и приложения для настольных компьютеров до AWS Wickr, чтобы обеспечить упрощенный процесс перехода. Это изменение не должно привести к потере каких-либо данных для пользователей Wickr Pro. Это обновление приложения является только одной частью перехода; администраторы сети Wickr должны заполнить эту форму для завершения процесса.

Вопрос. Как перенос влияет на доступ администратора к консоли администратора AWS Wickr?

Администраторы Wickr Pro получают доступ к консоли администратора AWS Wickr с помощью кнопки управления администратора в приложениях для настольных компьютеров Wickr, которая будет недоступна в AWS Wickr. AWS Wickr будет использовать Управление идентификацией и доступом AWS (IAM) для контроля того, кто может быть аутентифицирован (войти в систему) и авторизован (иметь разрешения) для использования консоли администратора AWS Wickr. Клиенты AWS Wickr могут назначить политику полного доступа AWS Wickr своим администраторам в Консоли управления AWS, после чего администраторы смогут использовать страницу AWS Wickr в Консоли управления AWS для доступа к консоли администратора Wickr.

Вопрос. Как перенос повлияет на выставление счетов в Wickr Pro?

AWS Wickr интегрирован с выставлением счетов AWS, поэтому вы можете легко отслеживать свои расходы, просматривать и оплачивать счета, управлять настройками выставления счетов и многое другое. В рамках переноса мы прекратим выставление счетов в консоли администратора Wickr и перейдем на выставление счетов AWS, так что вы сможете просматривать свои счета и управлять ими на панели выставления счетов AWS. Теперь вы можете воспользоваться различными способами оплаты, например оплатить по счет-фактуре, с банковского счета и т. д.

Вопрос. Как перенос повлияет на поддержку Wickr Pro?

Клиенты Wickr Pro после перехода на AWS Wickr больше не будут иметь доступ к службе поддержки Wickr. Базовая поддержка AWS включена для всех клиентов AWS без дополнительной оплаты и предусматривает помощь в выставлении счетов. Чтобы получить техническую поддержку и другие возможности поддержки, можете ознакомиться с различными планами поддержки AWS и обновить их в соответствии с потребностями вашего бизнеса.

Вопрос. Я использую тарифный план Wickr Pro Basic (всегда бесплатный). Предлагает ли AWS Wickr всегда бесплатный тарифный план?

AWS Wickr не предлагает постоянно бесплатный тарифный план, но доступна трехмесячная бесплатная пробная версия; узнать больше можно на странице ценообразования AWS Wickr. Если вы являетесь клиентом Wickr Pro Basic (всегда бесплатным), вам необходимо перейти на платный тарифный план в консоли администратора Wickr перед отправлением этой формы.

Вопрос. У меня уже есть аккаунт Wickr Pro. Будут ли мои данные удалены, если я не перейду на AWS Wickr?

Поддержка Wickr Pro и Wickr Pro Basic (всегда бесплатных) будет прекращена 31 января 2024 года. Если вы не перенесете свой план Wickr Pro или Wickr Pro Basic на AWS Wickr до указанной даты, ваша сеть и содержащиеся в ней данные будут удалены. Чтобы перейти на AWS Wickr, нажмите здесь и заполните форму для переноса.

Поддержка

Вопрос. Как можно приобрести услуги поддержки?

Чтобы получить техническую поддержку и другие возможности поддержки, ознакомьтесь с нашими планами поддержки AWS.

Вопрос. Как связаться со службой поддержки?

Существуют различные способы связи со службой поддержки AWS Wickr.

Узнайте больше о ценах на AWS Wickr

AWS Wickr имеет гибкую ценовую политику.

Начните разработку в консоли

Начните разработку с использованием AWS Wickr в Консоли управления AWS.

Свяжитесь со службой поддержки по вопросам продаж

Свяжитесь с командой AWS Wickr.

Как установить Wickr Me на ПК и телефон

Популярность мессенджеров, использующих шифрование, растет с каждым днем. Все больше пользователей обеспокоены сохранностью персональных данных. Это относится и к корпоративным перепискам. Одной из лучших площадок для работы и личных чатов является Wickr. В данной статье рассказывается, как установить Wickr Me на компьютер и телефон.

Как установить Wickr Me

Рассматриваемый мессенджер является разработкой компании Wickr. Команда выпустила несколько версий для разной целевой аудитории. Pro — это платная версия, адаптированная для предприятий. Она позволяет создавать групповые чаты, проводить коллективные видеозвонки и не только. Enterprise также распространяется по подписке. Она ориентирована на корпорации и отличается расширенным набором настроек.

Рассматриваемый вариант, Me, распространяется безвозмездно, но содержит полноценный функционал. Это и является его главным достоинством. Сервис подойдет как для приватного общения, так и для рабочих переписок.

Именно установке Wickr Me посвящена данная статья.

Как установить Wickr Me на компьютер

Весомым преимуществом WM является простая инсталляция. Для того, чтобы установить программу, достаточно следовать несложным алгоритмам. Загрузка проводится в пару нажатий. После этого программой можно пользоваться. Рассмотрим способы того, как проводится установка Wickr Me на ПК.

На ПК с Windows

На момент написания статьи Wickr Me адаптирован для Windows 10. Для того, чтобы загрузить программу на персональный компьютер, зайдите на официальный сайт мессенджера. Найти его можно по адресу wickr com. Затем следуйте дальнейшему алгоритму:

• найдите раздел Download в верхней панели на главной странице;
• выберите блок Wickr Me и нажмите «Установить»;
• в открывшемся окне выберите Windows;
• нажмите кнопку загрузки;
• после скачивания файла откройте его и подтвердите установку.

Сама инсталляция мессенджера проводится аналогичным образом, как и для большинства приложений. Это значит, что пользователям не придется вмешиваться в процесс: он пройдет автоматически.

compizomania

Wickr — это онлайн-мессенджер, который на 100% анонимен в Интернете. Wickr — это приложение, которое буквально не оставляет никаких следов. Wickr уничтожает ваши сообщения не только на ваших смартфонах, телефонах и компьютерах, но также и на серверах, через которые происходит переписка. Кроме того в самой программе есть функция полного стирания всей истории, после выполнения которой сообщения нельзя восстановить никакими средствами.

С помощью Wickr можно передавать текстовые сообщения, картинки, аудио, видео и PDF-файлы с использованием различных стандартов шифрования (AES 256, ECDH 521, RSA 4096 TLD). Ваши сообщения не будут содержать никаких имен, геолокационных данных, ни получателя, ни отправителя. В настройках приложения вы сможете сами выбрать период времени, через который сообщения будут удаляться безвозвратно.

Wickr — это закрытая экосистема и чтобы использовать ее, оба пользователя должны иметь профили в приложении. Профиль создается за несколько минут, а вот найти своего адресата вы сможете только по конкретному имени пользователя или электронной почте. С Wickr чувствуешь себя шпионом, т.к. вводить пароль здесь приходится на каждом шагу.

Wickr устанавливается на компьютерах: Windows, OS X, Linux (deb 32-bit и 64-bit) и мобильных устройствах: iOS, Android.

Установка Wickr в Ubuntu и производные

Перейдите по ссылке Wickr downloads, загрузите deb пакет согласно архитектуры вашей системы (32-bit или 64-bit) и установите в Центре приложений.

По окончании установки вы найдёте Wickr в программах Интернет или поиском в меню:

После открытия программы нажмите на кнопке Create New Account (Создать новую учетную запись):

Откроется дополнительное окно извещающее о том, что Wickr не имеет опции для сброса забытого пароля. Поэтому необходимо записать или запомнить ваш пароль. Для подтверждения нажмите ОК:

Введите имя пользователя (с маленькой буквы, как в электронной почте), пароль, выберите тип вашего аккаунта и нажмите кнопку Create Account (Регистрация):

Далее войтдите в свой аккаунт Wickr, путём ввода пароля и нажатия кноки Sing in (Вход):

Откроется основное окно Wickr. В нём вы можете добавлять контакты, создавать новые сообщения для друзей/знакомых и т.п.:

Нажмите на кнопке слева Friends (друзья), чтобы добавить друга из своих контактов:

Введите адрес электронной почты или номер телефона:

Примечание. Имейте ввиду, что ваш друг уже должен быть зарегистрирован в Wickr (иметь аккаунт) на мобильном устройстве или его электронный адрес. Только тогда вы можете найти его по номеру телефона или электронной почте.

Настройки Wickr

Настройки Wickr находятся в левом нижнем углу главного окна. Нажмите на кнопке Settings (Настройки), чтобы начать настройку своего ​​аккаунта.

Здесь вы можете: добавить свою фотографию, номер телефона, почтовый адрес и т.д., чтобы сделать более доступным для ваших друзей, чтобы найти вас. Кроме того, вы можете ввести в черный список пользователей, кого вы хотите заблокировать.

Теперь вы можете общаться со своими друзьями анонимно и безопасно.

Telegram, Signal, Wickr Me: выбираем самый безопасный мессенджер и разбираемся, существует ли он

Нас часто спрашивают, насколько хорошо те или иные популярные мессенджеры хранят тайны своих пользователей — переписку и пересылаемые файлы, существуют ли риски взлома самих сервисов, да и вообще, есть ли он — идеальный безопасный мессенджер? Команда департамента аудита и консалтинга Group-IB провела сравнительный анализ защищенности трех основных мессенджеров, которых чаще других называют в списке наиболее защищенных. В этой обзорной статье мы представим результаты независимого исследования и дадим свой ответ, какой мессенджер безопаснее.

О каких мессенджерах пойдет речь?

Сразу оговоримся, что отбор мессенджеров для нашего обзора производился на основе анализа существующих открытых исследований защищенности мессенджеров, их популярности в России и их позиционирования на рынке.

По итогам оценки и изучения мнений экспертов отрасли наша команда выбрала три мессенджера, ориентированные на защиту данных пользователей:

1. Signal — некоммерческий проект Open Whisper Systems
2. Telegram — некоммерческий проект Telegram FZ-LLC
3. Wickr Me — коммерческий проект Wickr Inc с бесплатной версией

Мессенджеры устанавливались на смартфоны с iOS версии 13.3.1 и Android версии 7.1.2, при этом на смартфонах заранее были получены права суперпользователя (jailbreak для iOS и root-доступ для Android).

Как сравнивали мессенджеры?

Теперь вкратце расскажем о методике проведенного анализа защищенности. На рисунке ниже отображена схема формирования оценки по каждому мессенджеру.

Для проведения анализа мы выбрали три основные категории:

1. Открытость сообществу
2. Архитектура
3. Основная функциональность

• наличие отчетов внешних аудиторов (в том числе наличие bug bounty-программ)
• доступность исходного кода мессенджера для исследователей (клиентская и серверная часть, протокол шифрования)
• наличие доступной и подробной документации для пользователей мессенджера

В категориях «Архитектура» и «Основная функциональность» оценка складывалась на основе результатов технических (инструментальных) проверок, которые проводились по стандарту OWASP Mobile Security Testing Guide.

В категории «Архитектура» после проведения инструментальных проверок мы получили оценку:

• защищенности данных мессенджера (например, конфигурационные файлы, необходимые для работы мессенджера)
• защищенности каналов связи (например, реализация передачи данных на сервер мессенджера)
• защищенности резервных копий (например, файлы приложения, создаваемые как мессенджером, так и операционной системой смартфона)
• защищенности данных профиля пользователя (например, логин пользователя, местоположение)

В категории «Основная функциональность» оценивалась корректность работы следующих функций мессенджеров:

• обмен сообщениями (включая файлы различных форматов)
• совершение видео- и аудиовызовов

Таким образом, максимальная итоговая оценка мессенджера может составить 332 балла и складывается в следующем отношении:

Если вам интересно узнать больше — полную информацию о методологии проведенного анализа защищенности можно найти здесь.

Сразу оговоримся, что в границы нашего исследования не вошли:

• анализ исходного кода: он доступен не для всех мессенджеров.
• исследование серверной части мессенджеров: оно может включать инвазивное воздействие и требует письменного согласия на проведение данных работ.
• криптографический анализ используемых алгоритмов шифрования и reverse engineering мессенджеров: эти работы займут намного больше времени, чем было отведено на проект, поэтому не будем отбирать хлеб специалистов-криптографов.

И что получилось?

Пришло время поделиться результатами исследования: как видно на диаграмме ниже, наибольшее количество баллов набрал Wickr Me — 304 из 332 возможных:

В таблице отражено, как складывалась оценка каждого мессенджера:

Давайте рассмотрим лидеров в каждой категории и найденные недостатки, после чего немного детальнее рассмотрим каждый из них.

Открытость сообществу

Лидеры в этой категории — Signal и Telegram — набрали одинаковое значение, 10 баллов. Репозитории мессенджеров содержат исходный код приложения и протоколы, доступные для исследования всем желающим. Однако мессенджеры держат закрытой серверную часть приложения, поэтому не получили максимальную оценку.

Wickr Me набрал меньше баллов, так как мессенджер не раскрывает исходный код.

Архитектура

В этой категории есть общий для мессенджеров недостаток — возможность обхода биометрической аутентификации. Эксплуатируя этот недостаток, можно получить доступ к данным пользователя мессенджера.

Лидером в категории «Архитектура» является Wickr Me, который содержит меньше выявленных недостатков, чем у конкурентов.

Signal и Telegram набрали меньше баллов, так как «небезопасно» хранят чувствительные данные мессенджера и профиля пользователя на клиентской стороне.

Из плюсов следует отметить, что все мессенджеры поддерживают E2EE-шифрование передаваемых данных, поэтому оценка Certificate pinning не проводилась.

Основная функциональность

Эту категорию можно расширять до бесконечности, но у нашей команды не было цели исследовать все реализованные фичи, и мы остановились на изучении основной функциональности мессенджеров и их безопасности:

• обмен сообщениями
• совершение аудио- и видеозвонков

Лидерами данной категории стали Wickr Me и Telegram, набрав максимальное количество баллов.

Версия мессенджера Signal под платформу Android содержит недостаток обработки исключений, который приводит к остановке приложения (то есть мессенджер сразу закрывается), поэтому Signal набрал меньше баллов в этой категории.

Информация о найденных недостатках

Мы описали общие результаты исследования, а теперь перейдем к более технической части. Ниже описаны некоторые детали выявленных недостатков мессенджеров.

Напомним, что все выявленные недостатки были обнаружены на устройствах с root-доступом (или к устройству применен jailbreak).

Первый недостаток, характерный для всех трех мессенджеров (для обеих платформ) — это возможность обхода описанной выше биометрической аутентификации. Дальше мы рассмотрим этот недостаток для каждой платформы.

Возможность обхода биометрической аутентификации

Современные смартфоны поддерживают несколько механизмов аутентификации, и один из возможных — это биометрическая аутентификация при помощи Touch ID или Face ID. При включенной функции биометрической аутентификации устройство сканирует отпечаток пальца (или лицо) и сравнивает с эталонным, заранее занесенным в систему.

iOS

У всех приложений, в том числе мессенджеров из нашего списка, для платформы iOS биометрическая аутентификация пользователя осуществляется при помощи Local Authentication Framework с использованием функции evaluatePolicy класса LAContext. Рассмотрим работу биометрической аутентификации немного подробнее.

Как выглядит биометрическая аутентификация для пользователя?

При нажатии на логотип мессенджера отображается диалоговое окно аутентификации, которое запрашивает у пользователя подтверждение действия, например, изменение настроек, покупку и т.д. с помощью биометрической аутентификации (Touch ID/Face ID).

В зависимости от того, как закончился процесс биометрической аутентификации, функция evaluatePolicy возвращает значение («true» или «false»), которое используется далее для управления приложением (например, открывается мессенджер или нет).

В чем заключается недостаток?

У всех исследуемых мессенджеров недостаток реализации биометрической аутентификации состоит в том, что пользователь аутентифицируется лишь на основе результата функции evaluatePolicy («true» или «false») и мессенджер не использует системные механизмы авторизации при доступе к значениям из защищенного хранилища Keychain. Более подробно о локальной аутентификации можно узнать в Mobile Security Testing Guide: здесь и здесь.

Как устранить недостаток?

Один из способов устранить описанный недостаток — создать в защищенном хранилище Keychain запись, которая будет содержать некоторый секрет (например, упомянутый ранее аутентификационный токен). При сохранении записи в Keychain необходимо задать соответствующие атрибуты, например, kSecAccessControlTouchIDAny или kSecAccessControlTouchIDCurrentSet.

Далее, чтобы получить значение этой записи, нужно будет обязательно успешно пройти локальную аутентификацию (в зависимости от заданных настроек доступа в Keychain — с помощью Touch ID/Face ID или ввода парольной фразы). Использование Keychain с необходимыми атрибутами сохраняемых в нем объектов позволит снизить возможность получения доступа к данным мессенджера.

Android

Описанный выше недостаток характерен и для мессенджеров платформы Android, поэтому мы рассмотрим работу биометрической аутентификации немного подробнее.

В приложении для платформы Android биометрическая аутентификация пользователя осуществляется с использованием классов FingerprintManager (не используется с Android 9), BiometricPrompt, BiometricManager.

Процесс биометрической аутентификации для пользователя на платформе Android выглядит абсолютно так же, как и на iOS.

В чем заключается недостаток?

Недостаток реализации биометрической аутентификации исследуемых мессенджеров для платформы Android аналогичен недостатку для iOS — не используются возможности операционной системы и устройства: мессенджеры не запрашивают системную авторизацию пользователя через KeyStore. Таким образом, потенциальный злоумышленник может подменять результат выполнения процедуры аутентификации для ее обхода.

Как устранить недостаток?

Для устранения данного недостатка в приложении рекомендуется использовать симметричные/асимметричные криптографические ключи (класс KeyGenerator), при инициализации которых вызывать функцию setUserAuthenticationRequired (true). Вызов данной функции позволяет получить доступ к значениям соответствующих криптографических ключей только после успешного прохождения процесса локальной аутентификации. Ключи при этом используются для шифрования некоторого секрета, например, аутентификационного токена в приложении.

Хранение чувствительной информации в локальном хранилище

Еще один обнаруженный недостаток — небезопасное хранение чувствительных данных в локальном хранилище — характерен для двух из трех мессенджеров.

Ниже мы привели примеры небезопасного хранения чувствительной информации в локальном хранилище, которые встречаются у некоторых мессенджеров платформы iOS:

• передаваемые файлы, а также кэшированные изображения из чатов в открытом виде;
• ключ шифрования базы данных мессенджера в Keychain. Поскольку не используется локальная аутентификация для доступа к значениям из Keychain (см. «Возможность обхода биометрической аутентификации»), хранение ключа шифрования базы данных мессенджера в Keychain снижает уровень защищенности данных;
• файлы конфигурации мессенджера, в которых присутствуют параметры, использующиеся для шифрования;
• IP-адрес устройства в лог-файлах мессенджера;
• сообщения чатов в открытом виде в базе данных мессенджера.

• файлы конфигурации мессенджера, в которых присутствуют параметры, использующиеся для шифрования, а также информация о номере телефона пользователя;
• сообщения пользователя (в том числе черновики) в открытом виде;
• контактная информация пользователей мессенджера, с которыми переписывался владелец устройства.

Для устранения данного недостатка рекомендуется пересмотреть архитектуру и способы хранения чувствительных данных мессенджера.

Еще раз напомним, что вышеуказанные чувствительные данные мессенджера недоступны без использования root-доступа (или jailbreak) на устройстве.

Некорректная обработка исключений

Данная уязвимость относится только к платформе Android и мессенджеру Signal.

При исследовании основной функциональности мессенджеров осуществлялась отправка файлов разных форматов. В результате был найден один сценарий, при котором отправка файла вызывала остановку в работе мессенджера со следующей ошибкой: «Signal has stopped».

Исследование лог-файлов мессенджера показало, что у мессенджера есть необрабатываемое исключение. Информация об ошибке на внешние серверы не отправляется.

Как устранить недостаток?

Чтобы избавиться от данного недостатка, нужно реализовать проверку формата файла, который пользователь выбирает для отправки.

Ответы разработчиков

Обо всех описанных выше недостатках наша команда сообщила разработчикам мессенджеров. На момент публикации мы получили ответ от двух из трех мессенджеров (Signal и Telegram), третий на наши вопросы так и не ответил.

Разработчики поблагодарили нашу команду за предоставленную информацию и сообщили, что не считают выявленные недостатки уязвимостью, поскольку исследуемые версии мессенджеров используют для защиты данных мессенджера штатные механизмы защиты информации операционной системы. Используемые механизмы не позволяют эксплуатировать выявленные недостатки, а использование на устройстве root-доступа (или jailbreak) остается на усмотрение пользователя.

Тем не менее, мессенджеры могут реализовать проверку наличия root-прав на устройстве и уведомлять об этом пользователя устройства для снижения риска потенциальной компрометации данных.

Вывод

Мы провели сравнительный анализ защищенности трех мессенджеров, позиционирующих себя как безопасные, и выяснили, что все мессенджеры имеют ряд общих недостатков, а у Signal и Telegram также выявлены недостатки реализации хранения чувствительной информации в локальном хранилище.

Несмотря на то, что эксплуатация вышеуказанных недостатков возможна только при наличии физического доступа к смартфону, по оценке нашей команды, все эти недостатки снижают уровень защищенности данных пользователя.

По итогам всех проверок лидером нашего исследования стал мессенджер Wickr Me, который набрал 304 балла и у которого выявлено меньше всего недостатков.

Вывод прост: абсолютно безопасных мессенджеров нет, но мы надеемся, что благодаря этому исследованию вы сможете сохранить конфиденциальность и повысить безопасность своего общения, зная обо всех подводных камнях выбранного вами сервиса.

• cybersecurity
• компьютерная безопасность
• мессенджеры
• telegram
• signal
• wickr
• research
• messengers
• исследование
• безопасность данных
• data security

• Блог компании F.A.C.C.T.
• Информационная безопасность
• Исследования и прогнозы в IT
• IT-компании