Yahoo, ICQ чаты по-прежнему уязвимы для правительственных шпионов

В ходе теста CNET удалось перехватить и прочитать мгновенные сообщения Yahoo, поскольку компания до сих пор не включила шифрование. Прошло не менее 10 лет с тех пор, как уязвимость системы безопасности стала общедоступной. Деклан МакКаллах / CNET

Девять месяцев после того, как Эдвард Сноуден показал экстремальное интернет-наблюдение американскими и британскими спецслужбами некоторые крупные технологические компании еще не предприняли элементарных шагов, чтобы оградить мгновенные сообщения своих пользователей от подслушивания.

Анализ CNET показывает, что Yahoo и ICQ передают содержимое предположительно личных мгновенных сообщений в незашифрованном виде, выставляя их как правительственным шпионам, так и злоумышленники в той же сети Wi-Fi , Служба AIM AOL шифрует контент, но пропускает метаданные о том, кто с кем разговаривает.

Эти проблемы конфиденциальности были выделены Guardian статья Четверг, который показал, что шпионские агентства подслушивают незашифрованные видеочаты Yahoo. Система видеонаблюдения под кодовым названием Optic Nerve «перехватывает и хранит изображения с веб-камер миллионов пользователей Интернета, которые не подозреваются в неправомерных действиях», говорится в документе со ссылкой на документы, предоставленные Сноуденом.

Это стало возможным, потому что Yahoo сильно отстала от конкурентов Google и Microsoft в применении стандартной технологии, известной как SSL, которая скремблирует информацию перед ее передачей. SSL и аналогичные технологии, если они реализованы должным образом, предназначены для защиты даже от агрессивных попыток АНБ собирать петабайты интернет-трафика.

«У нас есть достаточно доказательств того, что Yahoo на самом деле не заботится о безопасности или конфиденциальности сообщений своих клиентов», - сказал он. Крис Согоян , главный технолог проекта ACLU «Речь, конфиденциальность и технологии». «Будь то отсутствие шифрования в веб-почте или проблема с видео, Yahoo проигнорировала неоднократные предупреждения от исследователей, от правозащитников».

Уязвимость пользователей Yahoo к слежкам была общеизвестна уже как минимум десять лет. Статья 2004 года ( PDF ) в Журнал Hakin9 описал, как перехватывать сообщения Yahoo с помощью утилиты tcpdump. «Нет шифрования, даже шифрования содержимого пакетов», - заключил Хакин.

Четыре года спустя CNET связался с Yahoo в рамках опрос о конфиденциальности Мы руководим компаниями, предоставляющими услуги мгновенного обмена сообщениями. Yahoo сообщила нам, что использует SSL только для шифрования пароля пользователя во время первоначальной аутентификации, и признала, что «Yahoo Messenger не использует шифрование для доставки сообщений».

Это потребовало откровений Сноудена, чтобы подтолкнуть генерального директора компании, Мариссу Майер, к закрытию этой зияющей дыры в безопасности. В блоге в ноябре прошлого года Спустя почти полгода после того, как файлы шпионского агентства начали просачиваться, Майер заявил, что Yahoo «предложит пользователям возможность шифровать весь поток данных в / из Yahoo к концу первого квартала 2014 года». Она не дала обещания, что шифрование будет включено по умолчанию, однако практика чата Google и Skype применялась более полувека.

Yahoo в равной степени вяло применила шифрование веб-почты: наконец-то активированный HTTPS-шифрование для Yahoo Mail по умолчанию в прошлом месяце. В отличие от Google включен HTTPS по умолчанию для Gmail в 2010 году, с последующим вскоре после Hotmail. facebook по умолчанию включено шифрование в 2012.

Представитель Yahoo вчера предоставил CNET заявление, в котором говорится: «Мы стремимся сохранить доверие и безопасность наших пользователей и продолжаем наши усилия по расширению шифрования во всех наших службах».

«Единственной причиной, по которой они шифруют электронную почту с помощью веб-почты, стала история на первой странице в The Washington Post», - сказал Согоян из ACLU. «Только тогда, в ответ на это освещение, Yahoo включила SSL по умолчанию». Что октябрь 2013 статья Выяснилось, что отделение NSA по специальным источникам собрало больше адресных книг электронной почты от Yahoo, чем от всех других поставщиков электронной почты вместе взятых. (Адреса Gmail были раскрыты из-за отсутствия шифрования в приложении «Адресная книга» компании Apple, надзор за безопасностью в Купертино впоследствии исправлено .)

Даже сегодня, после того как Yahoo включила шифрование по умолчанию для электронной почты в Интернете (но не для обмена мгновенными сообщениями), она использует старые протоколы с некоторыми известные уязвимости безопасности , Серверы Yahoo также не поддерживают прямая секретность , который предложил бы дополнительный уровень защиты от подслушивания правительства. Google а также щебет делать.

Сообщения ICQ также не были зашифрованы, как вы можете видеть на скриншоте выше из анализатора пакетов Wireshark. AIM-клиент AOL слил метаданные о том, кто с кем разговаривает. Деклан МакКаллах / CNET Как мы проводили тесты

Мы проверили, использовалось ли шифрование в пяти клиентах обмена сообщениями: AIM AOL, приложение Apple для сообщений, подключающихся к AIM, Google Hangouts, ICQ Mail.ru, Skype от Microsoft и Yahoo Messenger. Mail.ru, интернет-компания в России, где остается ICQ довольно популярный , купил сервис от AOL в 2010 году.

Для выполнения теста мы использовали анализатор пакетов Wireshark для перехвата обмена данными между MacBook с OS X 10.9.1 и удаленными серверами, которые использовала каждая служба.

Ни ICQ, ни протокол Yahoo Messenger не шифровали содержимое сообщений. Это означало, что когда мы отправляли сообщение, оно передавалось через Интернет в открытом виде.

Настольное приложение AOL AOL установило незашифрованные соединения с api.aim.net, которые передавали уникальные идентификаторы «to» и «from». Даже если АНБ и GCHQ не могут расшифровать контент, незашифрованные уникальные идентификаторы могут добавить к огромному количеству метаданных агентств социальные связи США и других граждан ,

AOL и Mail.ru не отвечали на запросы о комментариях.

Google Hangouts, Skype и Messages, с другой стороны, последовательно использовали шифрование SSL. Это то, что мы ожидали - это было сообщается предварительно и Skype шифрование было изучено в некоторых деталях - и наши тесты подтвердили это.

Мы признаем ограничения этого теста. Мы не оценивали качество набора шифров SSL или его реализацию. Мы также не проверяли наличие сертификатов. И мы не проверяли всех клиентов; возможно, что Windows-клиент для AIM ведет себя по-другому. (The протокол используемый AIM поддерживает незашифрованные чаты, поэтому, если вы используете сторонний клиент, такой как Adium, убедитесь, что настройки конфиденциальности в учетных записях пользователей настроены на включение шифрования.)

Мы также не тестировали мобильные приложения, хотя предыдущие отчеты указывали на некоторые проблемы. А 2012 бумага (PDF) Представленный на Симпозиуме по безопасности сетей и распределенных систем сказал, что Voypi, приложение для обмена сообщениями iPhone, не использует шифрование.

Thijs Alkemade, студент информатики и ведущий разработчик приложения для обмена мгновенными сообщениями Adium, опубликовал скрипт на Python прошлой осенью перехватывать сообщения WhatsApp. Он предупреждала пользователи WhatsApp, которые впоследствии Facebook купили за 16 миллиардов долларов:

Вы должны исходить из того, что любой, кто может прослушивать ваше соединение WhatsApp, способен расшифровать ваши сообщения, если приложит достаточно усилий. Вы должны считать все ваши предыдущие разговоры в WhatsApp скомпрометированными. Пользователь WhatsApp ничего не может с этим поделать, кроме как прекратить использовать его, пока разработчики не смогут обновить его.

анализ Компания WhatsApp на прошлой неделе, разработавшая фирму по информационной безопасности Praetorian, обнаружила недостатки шифрования. Компания заявила, что «АНБ будет любить». WhatsApp сказал, что исправляет их.

Похожие