Знакомьтесь – Wickr Me

Цепочка событий, начавшаяся в 2013 году и связанная с Эдвардом Сноуденом, породила своего рода "цунами" в сфере кибербезопасности. Заявления о глобальной слежке спецслужб за всеми пользователями мира до сих пор будоражат умы и простых людей, и специалистов информационной безопасности. Одним из последствий заявлений Сноудена стал "бум" мессенджеров.

Всего за несколько лет концепция безопасного приложения для общения стала навязчивой идеей, которая остаётся актуальной и по сей день. На рынке приложений несколько десятков различных мессенджеров от различных производителей, но вопрос надёжности всё так же остаётся открытым. Сегодня взглянем ещё раз на один из крайне популярных мессенджеров Wickr и его бесплатную версию Wickr Me.

Wickr используется в качестве публичного канала связи как минимум десятками работающих в данный момент даркнет-магазинами на Западе, а также сотнями (если не тысячами) магазинов для связи со своими наркокурьерами.

По этому мессенджеру не раз делали обзоры, не раз писали статьи, где его сравнивали с другими мессенджерами. Например, есть статья Хабре, в которой проведено достаточно серьёзное сравнение мессенджеров Signal, Telegram и Wickr Me. Статья "свежая", да и проверка производилась по стандарту OWASP Mobile Security Testing Guide – это уже не "пара знакомых хацкеров". И, тем не менее, результаты этого тестирования нельзя рассматривать как истину в конечной инстанции (и в статье об этом сказано): всё дело в том, что исходные коды как клиентского приложения, так и серверной части закрыты. Это значит, что нет никакой возможности провести полноценный аудит исходного кода, убедиться в отсутствии различных служебных бэкдоров, сборе статистической информации о пользователях, метаданных и иных подводных камней.

А подводные камни могут быть – и весьма серьёзные. Начиная от сбора информации об устройстве, на котором установлено приложение, IP-адресе и статистики использования, заканчивая шпионажем за передаваемыми данными и бэкдором в устройство с административными правами.

Фактически, владельцы Wickr могут знать об активности пользователя всё. Как минимум, когда и с кем, а также с какого IP-адреса велось общение определённого пользователя. Как максимум – нельзя исключать тайное чтение переписок спецслужбами, использующими потенциальные бэкдоры.

В судебных документах США встречаются доказательства, основанные на том, что в абзаце выше указано как "минимум". В доступе к якобы надёжно зашифрованным перепискам правоохранители не признаются, о таких возможностях публике не сообщают – но стоит учитывать, что они могут их использовать против нарушителей закона тайно, а суду лгать о настоящем способе поимки преступников.

Немаловажным фактом в безопасности является страна-разработчик. Wickr разработан компанией из США. А, как все мы прекрасно знаем, именно спецслужбы США начали секретную кампанию глобального сбора информации о каждом человеке после событий 11 сентября 2004 года. Достаточно вспомнить про политику компании Facebook, которая, начихав на конфиденциальность пользователей, открыто пользуется популярностью своих приложений для сбора статистической информации и просмотра передаваемых сообщений с целью последующей перепродажи этих данных рекламным компаниям и передачи властям.

Рассказывать о достоинствах Wickr нет смысла – об этом написано и так предостаточно. А говорить о явных недостатках почти нечего – закрытая программная реализация просто не даёт это сделать. Остаётся лишь догадываться о незадокументированных возможностях этого мессенджера. Возможно, их действительно нет, а компания просто хочет получать обоснованную прибыль за свой качественный продукт. Но вполне вероятно, что это лишь приманка для различных преступных деятелей с целью их последующей компрометации.