Почему личные данные не защищены во многих IM-мессенджерах

Почему личные данные не защищены во многих IM-мессенджерах

Статья Алексея Абрамович (директор департамента тестирования безопасности ПО в компании A1QA) опубликована на сайте онлайн журнала Information Security .

Старше Интернета

Система обмена мгновенными сообщениями (Instant messaging, IM) появилась раньше Интернета. И хоть такое определение появилось только в 1990-е, первые коллективные системы обмена сообщениями появились ещё в середине 1960-х. первоначально они использовались как системы оповещения, но вскоре их стали использовать для общения пользователей, зарегистрированных на одном компьютере.

В 1970-е годы появляются онлайн-чаты, а когда в 1980-е на Западе становится популярной система ВВS (bulletin board system), некоторые системы внедряют аналоги чатов, которые через десять лет будут называться Instant messengers.

images

Первые мессенджеры с графическим интерфейсом пользователя появились одновременно с широким распространением Интернета, а в 1996 году появился знаменитый интернет-пейджер с ICQ-системой мгновенных сообщений. Система ICQ была невероятно популярна во всём мире за счёт того, что удобный интерфейс сочетался с такими функциями, как установка статусов, передача сообщений и файлов. Это была программа, которую, наконец, можно было назвать функциональной.

IM-клиенты несколько отошли на второй план с широким распространением мобильных телефонов и удешевлением sms-сообщений. Но с приходом смартофонов стали появляться IM-приложения, ориентированные на пользователей таких устройств. Эти сервисы даже напоминают социальные сети, поскольку позволяют добавлять фотографию профиля, устанавливать статусы, обмениваться сообщения и файлами. Особенность мобильных IM-приложений состоит в том, что в качестве логина они используют номер телефона. Таким образом была решена проблема добавления новых контактов. Как только владелец смартфона вводит новый номер телефона в адресную книгу, новый контакт автоматически переносится в его IM-мессенджер.

Защита от рекламы и инфо-воров

Из множества IM-приложений мы предлагаем рассмотреть информационную безопасность трёх самых популярных на сегодня: WhatsApp, Viber, Telegram. Все эти приложения используют клиент-серверную архитектуру, позволяют создавать группы и чаты между двумя собеседниками, а также передавать файлы и местоположение пользователей.

Как воров привлекают большие города, так и интернет-мошенников привлекают популярные приложения. Поэтому все приложения, которые обрабатывают персональные данные пользователей, должны заботиться о максимальной защищённости данных. И чем менее защищённое приложение, тем больше в нём рекламы, спама и взломанных профилей и украденной личной информации. Это основные статьи дохода злоумышленников, атакующих IM-мессенджеры. Как же от них защищаются мессенджеры?

Для борьбы с рекламной рассылкой во всех рассмотренных приложениях предусмотрена функция чёрного списка, куда попадают все спаммеры. Однако такая мера утрачивает свою эффективность при смене номера. Тогда автоматически меняется логин и все настройки безопасности, в том числе и чёрные списки, приходится устанавливать заново. Ни в одном из приложений со стороны провайдера сервиса на данный момент не внедрено фильтрации.

Кроме того, даже внеся рекламных спаммеров в чёрный список, рекламные сообщения всё равно могут приходить от действительных контактов пользователя – его друзей и знакомых, которые пользуются этим же приложением. А поскольку механизма аутентификации пользователей при добавлении в список контактов в рассмотренных приложениях не предусмотрено, злоумышленник может воспользоваться этим для рассылки рекламы от имени друзей пользователя.

Читайте полную версию статьи тут

Alt text

a1qa

Все о тестировании и качестве ПО