Czy Signal i WhatsApp nas szpiegują?

 

Jakie informacje o nas mogą zdobyć służby za pomocą komunikatorów internetowych? A jakie hackerzy? Każda z aplikacji oferuje pewien poziom zabezpieczenia. Niektóre są uznane za bardziej, a inne za mniej bezpieczne pod względem prywatności. Przyjrzyjmy się im po kolei, aby sprawdzić do czego legalnie mają dostęp amerykańskie służby śledcze. I postawmy sobie pytanie: skoro zagraniczne służby mają dostęp prawie do wszystkiego, a w mediach wciąż głośno o systemie inwigilacji Pegasus i innych programach szpiegujących (malware), to do czego mogą mieć dostęp nasze krajowe służby lub dobrze wyszkoleni hackerzy? Poniżej porównanie jakie informacje są legalnie udostępniane, a na sam koniec słowo o nieuczciwej konkurencji i hackerach.

iMessage

Amerykańskie służby śledcze posiadają legalny dostęp do podstawowych danych osobowych użytkownika, zakres 25 dni historii wraz z numerami, z którymi użytkownik się kontaktował, ale także do kopii bezpieczeństwa w iCloud, jeśli użytkownik taką kopię utworzył - pokonując przy tym klucze zabezpieczeń.

Signal

Służby śledcze USA deklarują, że nie posiadają dostępu do treści komunikacji pomiędzy użytkownikami Signal’a. Mogą jedynie określić czas, kiedy użytkownik się zarejestrował oraz ostatnią datę aktywności. Jednak niektóre doniesienia temu przeczą i wskazują, że rząd USA może odczytać wiadomości wysyłane za pomocą tego popularnego komunikatora. Przykładem wziętym z życia jest dostęp do komunikacji demonstrantów z organizacji Oath Keepers, którzy wtargnęli na Kapitol 6 stycznia 2021. Podobno dzięki złamaniu szyfru Signal’a służby dowiedziały się m. in. kto zakupił noktowizor, a kto miał grozić policjantom karabinem AR-15. Jak podaje raport FBI, w zaszyfrowanych wiadomościach uczestnicy szturmu sami przyznali, że ich działania nie mają politycznych ani legalnych podstaw. Komunikacja członków grupy Oath Keepers została wykorzystana jako dowód przeciwko nim w sprawie sądowej.  

Telegram

Deklarowany brak dostępu do treści wiadomości, kontaktów oraz innych danych. Jedynie w uzasadnionym przypadku, np. gdy chodzi o akt terroryzmu, szefowie Telegrama mogą przekazać służbom informację o adresie IP i numerze telefonu. Telegram szyfruje nasze wiadomości z pojedynczymi użytkownikami, ale jeśli prowadzimy na nim grupowe konwersacje, to nie ma wtedy mowy o jakimkolwiek szyfrowaniu. Żeby zapewnić sobie prywatność trzeba uruchomić tzw. „sekretny czat”, czyli specjalny tryb rozmowy, w którym żadne przesyłane przez nas dane nie trafiają na serwery aplikacji Telegram.

Threema

Mało znany w Polsce program, nadal jest uważany za stosunkowo bezpieczny, ale tylko w kontekście treści. Token PUSH, klucz publiczny, data (bez godziny), czas ostatniego logowania czy też numer telefonu lub e-mail (o ile użytkownik uzupełnił w profilu) już nie są chronione.

Viber

Służby nie posiadają dostępu do treści wiadomości. Natomiast numer telefonu, data rejestracji, numer IP z miejsca logowania są ujawniane. W zakresie wiadomości udostępniane są też po części historie komunikacji (nadal nie treści) m. in. data, numer źródłowy i docelowy numer konwersacji. 

WeChat

Chiński komunikator internetowy, powszechnie uznawany za mało bezpieczny, a nawet wykorzystywany do inwigilacji. Oficjalnie podaje, że chroni treść wiadomości, szczególnie abonentów zarejestrowanych w Chinach (nawet jeżeli będzie to w zakresie formalnego pozwu). Obywatele innych krajów nie są już tak bezpieczni, a podstawowe informacje jak nazwa, numer telefonu, e-mail, adres IP mogą być przez twórców aplikacji udostępnione władzom tak długo jak konto jest aktywne.

Whatsapp

Choć aplikacja informuje użytkowników o szyfrowaniu wiadomości, to jednak służby mogą mieć limitowany dostęp do treści. Przy złożonym pozwie udostępniane są podstawowe informacje o użytkowniku. Sąd może zapytać o więcej jak np. informacje o zablokowanych użytkownikach. Nie jest ukrywany także spis książki telefonicznej użytkownika. Jeżeli podejrzany używa iPhone oraz iCloud to możliwy jest dostęp do danych Whatsapp, w tym treści wiadomości.

Wickr

Podstawą tej aplikacji są samoniszczące się wiadomości. Treści w ich przypadku są zatem bezpieczne. Niemniej udostępniane są takie informacje jak czas utworzenia konta, data ostatniego użycia, typ urządzenia, na którym zainstalowano ten komunikator, ID kontaktów książki telefonicznej użytkownika, awatar, limitowana historia użytkowania aplikacji, w tym uśpienia smartfona.

Jak to się ma do rzeczywistości

Powyższe porównanie pokazuje do czego służby USA mają swobodny, legalny dostęp, a do czego nie. Jak widać zakres dostępu jest dosyć spory i pozwala sporo się o użytkowniku dowiedzieć. Trzeba jednak podkreślić, że żadna z tych aplikacji nie jest programem szpiegującym typu Pegasus, który może całkowicie przejąć kontrolę nad smartfonem i pozyskać dowolne dane. Lepiej jednak nie bagatelizować tematu bezpieczeństwa komunikatorów, a przede wszystkim regularnie sprawdzać sprzęt pod kątem obecności szkodliwych programów i aplikacji, przed którymi trzeba się zabezpieczyć.

Phishing, spoofing i hakerzy 

Co zrobić by zapewnić sobie minimum bezpieczeństwa? Przede wszystkim uważaj, gdzie surfujesz w internecie, co instalujesz, co potwierdzasz i co pobierasz - aby zminimalizować zagrożenie ze strony malware, czyli oprogramowania szpiegowskiego.

Zarówno konkurencja jak i hackerzy nie śpią, wygrywając z coraz to nowymi "łatkami bezpieczeństwa", wypuszczanymi przez twórców oprogramowania. Co warto zabezpieczyć przed wyciekiem ze smartfona? Bez względu na to, czy są to zdjęcia kochanki, stuletnia tajemnica rodzinnej produkcji lub warunki kontraktu na dziesiątki milionów złotych, których nie może poznać konkurent przetargu - nie bagatelizuj tego – zabezpiecz się przed wyciekiem poufnych informacji, bo nigdy nie wiesz czy ktoś na bieżąco nie śledzi Twojego ekranu i wtedy na pewno dowie się więcej, niż legalnie zrobią to służby.

A jeżeli obawiasz się, że ktoś próbuje wyłudzić Twoje poufne informacje lub już do tego doszło - zgłoś się. W firmie InvestProtect znamy sposoby, aby Ci pomóc w ochronie przed cyberprzestępcami. Jesteśmy do dyspozycji pod numerem +48 730 868 895.

Jaki komunikator wybrać?

Z moich doświadczeń w walce z cyberprzestępczością wynika, że nie ma komunikatorów, które można uznać za całkowicie bezpieczne. Jest tylko kilka aplikacji, których twórcy na pierwszym miejscu stawiają prywatność i bezpieczeństwo użytkowników. I niestety nie są to najpopularniejsze: Whatsapp i Messenger. Najwięcej pozytywnych opinii wśród ekspertów i użytkowników zbiera aplikacja Signal. Organizacje pozarządowe potwierdziły, że to oprogramowanie nie gromadzi danych o rozmówcach, a jego zabezpieczenia są trudne do złamania. Wiadomości są kasowane po określonym czasie, nie ma możliwości ich kopiowania, a w przypadku utraty urządzenia – można je usunąć w sposób zdalny.

Najwięcej prywatności zapewniają szyfrujące aplikacje dostępne tylko dla wybranych użytkowników, gdzie wszystkie dane przechowywane są w urządzeniach, między którymi odbywa się komunikacja (najczęściej w smartfonach) lub na dedykowanych, odpowiednio zabezpieczonych serwerach, bez dostępu do chmury.

Aplikacje tego typu wykorzystuje świat przestępczy. Ale okazało się, że można ich użyć także w walce z zorganizowaną przestępczością. Taką operację o nazwie „Trojańska tarcza” (Operation Trojan Shield) przeprowadziły wspólnie FBI i Europol, po zamknięciu kanadyjskiej firmy Phantom Secure, która sprzedawała urządzenia do prowadzenia zaszyfrowanej – a więc niedostępnej dla policji – komunikacji. Z pomocą pracownika Phantom Secure, (który poszedł na współpracę w zamian za złagodzenie kary) FBI założyła własną firmę, ANOM, oferującą te same usługi. Rozprowadzono ponad 12 tys. urządzeń wśród 300 gangów z ponad 100 krajów. Urządzenia miały zainstalowaną unikalną aplikację ANOM, dającą agentom dostęp do teoretycznie zaszyfrowanych treści. Przechwycono dzięki temu ponad 27 mln wiadomości napisanych w 45 językach. FBI i policja z 16 krajów aresztowała ponad 800 osób podejrzanych o popełnianie różnych przestępstw. Zajęto 38 ton narkotyków, setki sztuk broni, tuziny luksusowych aut i gotówkę o wartości 180 mln zł.

Podsumowując – do prywatnego użytku wystarczy komunikator, który zapewnia podstawowy poziom bezpieczeństwa. Zawsze jednak trzeba uważać, jakie wiadomości przekazujemy za pomocą komunikatora. Teoretycznie wszystkie aplikacje służące do przesyłania wiadomości wyposażone są w funkcję szyfrowania end-to-end. Praktycznie - nie ma takiego szyfru, którego nie dałoby się złamać.

 

Ostatnie Artykuły

  • Warszawa
    ul. Sienna 72/14,
    00-833 Warszawa

  • Gdańsk
    ul. Hynka 6,
    80-465 Gdańsk

  • Paryż
    Biuro operacyjne

Zapoznaj się z ofertą agencji śledczej wyspecjalizowanej dla klienta biznesowego

Poznaj InvestProtect

Pn-Pt 9-17
+48 730 006 581