Блог A1QA

О тестировании и качестве ПО

Защита личных данных в IM-мессенджерах (1 часть)

Менее 20% IM-приложений полностью защищают данные переписки своих пользователей. Такие данные приводит исследование Фонд электронных рубежей. Из 40 рассмотренных ими мессенджеров только семь соответствуют всем видам безопасности. Как злоумышленникам удаётся «влезть» в наши приложения, и что кроме информации они могут у нас украсть, мы подробно расскажем в этой статье.

Старше Интернета

Система обмена мгновенными сообщениями (Instant messaging, IM) появилась раньше Интернета. И хоть такое определение появилось только в 1990-е, первые коллективные системы обмена сообщениями появились ещё в середине 1960-х. Первоначально они использовались как системы оповещения, но вскоре их стали использовать для общения пользователей, зарегистрированных на одном компьютере.

В 1970-е годы появляются онлайн-чаты, а когда в 1980-е на Западе становится популярной система ВВS (Bulletin Board System), некоторые системы внедряют аналоги чатов, которые через десять лет будут называться Instant messengers.

Первые мессенджеры с графическим интерфейсом пользователя появились одновременно с широким распространением Интернета, а в 1996 году появился знаменитый интернет-пейджер с ICQ-системой мгновенных сообщений. Система ICQ была невероятно популярна во всём мире за счёт того, что удобный интерфейс сочетался с такими функциями, как установка статусов, передача сообщений и файлов. Это была программа, которую, наконец, можно было назвать функциональной.

IM-клиенты несколько отошли на второй план с широким распространением мобильных телефонов и удешевлением SMS-сообщений. Но с приходом смартофонов стали появляться IM-приложения, ориентированные на пользователей таких устройств. Эти сервисы даже напоминают социальные сети, поскольку позволяют добавлять фотографию профиля, устанавливать статусы, обмениваться сообщения и файлами. Особенность мобильных IM-приложений состоит в том, что в качестве логина они используют номер телефона. Таким образом была решена проблема добавления новых контактов. Как только владелец смартфона вводит новый номер телефона в адресную книгу, новый контакт автоматически переносится в его IM-мессенджер.

Защита от рекламы и инфо-воров

Из множества IM-приложений мы предлагаем рассмотреть информационную безопасность трёх самых популярных на сегодня: WhatsApp, Viber, Telegram. Все эти приложения используют клиент-серверную архитектуру, позволяют создавать группы и чаты между двумя собеседниками, а также передавать файлы и местоположение пользователей.

Как воров привлекают большие города, так и интернет-мошенников привлекают популярные приложения. Поэтому все приложения, которые обрабатывают персональные данные пользователей, должны заботиться о максимальной защищённости данных. И чем менее защищённое приложение, тем больше в нём рекламы, спама, взломанных профилей и украденной личной информации. Это основные статьи дохода злоумышленников, атакующих IM-мессенджеры. Как же от них защищаются мессенджеры?

Для борьбы с рекламной рассылкой во всех рассмотренных приложениях предусмотрена функция чёрного списка, куда попадают все спаммеры. Однако такая мера утрачивает свою эффективность при смене номера. Тогда автоматически меняется логин и все настройки безопасности, в том числе, и чёрные списки приходится устанавливать заново. Ни в одном из приложений со стороны провайдера сервиса на данный момент не внедрено фильтрации.

Кроме того, даже внеся рекламных спаммеров в чёрный список, рекламные сообщения всё равно могут приходить от действительных контактов пользователя — его друзей и знакомых, которые пользуются этим же приложением. А поскольку механизма аутентификации пользователей при добавлении в список контактов в рассмотренных приложениях не предусмотрено, злоумышленник может воспользоваться этим для рассылки рекламы от имени друзей пользователя.

Читайте полную версию статьи тут.

Поделиться статьей: