Wickr me что за приложение
Telegram, Signal, Wickr Me: выбираем самый безопасный мессенджер и разбираемся, существует ли он
Нас часто спрашивают, насколько хорошо те или иные популярные мессенджеры хранят тайны своих пользователей — переписку и пересылаемые файлы, существуют ли риски взлома самих сервисов, да и вообще, есть ли он — идеальный безопасный мессенджер? Команда департамента аудита и консалтинга Group-IB провела сравнительный анализ защищенности трех основных мессенджеров, которых чаще других называют в списке наиболее защищенных. В этой обзорной статье мы представим результаты независимого исследования и дадим свой ответ, какой мессенджер безопаснее.
О каких мессенджерах пойдет речь?
Сразу оговоримся, что отбор мессенджеров для нашего обзора производился на основе анализа существующих открытых исследований защищенности мессенджеров, их популярности в России и их позиционирования на рынке.
По итогам оценки и изучения мнений экспертов отрасли наша команда выбрала три мессенджера, ориентированные на защиту данных пользователей:
Мессенджеры устанавливались на смартфоны с iOS версии 13.3.1 и Android версии 7.1.2, при этом на смартфонах заранее были получены права суперпользователя (jailbreak для iOS и root-доступ для Android).
Как сравнивали мессенджеры?
Теперь вкратце расскажем о методике проведенного анализа защищенности. На рисунке ниже отображена схема формирования оценки по каждому мессенджеру.
Для проведения анализа мы выбрали три основные категории:
В категориях «Архитектура» и «Основная функциональность» оценка складывалась на основе результатов технических (инструментальных) проверок, которые проводились по стандарту OWASP Mobile Security Testing Guide.
В категории «Архитектура» после проведения инструментальных проверок мы получили оценку:
В категории «Основная функциональность» оценивалась корректность работы следующих функций мессенджеров:
Таким образом, максимальная итоговая оценка мессенджера может составить 332 балла и складывается в следующем отношении:
Если вам интересно узнать больше — полную информацию о методологии проведенного анализа защищенности можно найти здесь.
Сразу оговоримся, что в границы нашего исследования не вошли:
И что получилось?
Пришло время поделиться результатами исследования: как видно на диаграмме ниже, наибольшее количество баллов набрал Wickr Me — 304 из 332 возможных:
В таблице отражено, как складывалась оценка каждого мессенджера:
Давайте рассмотрим лидеров в каждой категории и найденные недостатки, после чего немного детальнее рассмотрим каждый из них.
Открытость сообществу
Лидеры в этой категории — Signal и Telegram — набрали одинаковое значение, 10 баллов. Репозитории мессенджеров содержат исходный код приложения и протоколы, доступные для исследования всем желающим. Однако мессенджеры держат закрытой серверную часть приложения, поэтому не получили максимальную оценку.
Wickr Me набрал меньше баллов, так как мессенджер не раскрывает исходный код.
Архитектура
В этой категории есть общий для мессенджеров недостаток — возможность обхода биометрической аутентификации. Эксплуатируя этот недостаток, можно получить доступ к данным пользователя мессенджера.
Лидером в категории «Архитектура» является Wickr Me, который содержит меньше выявленных недостатков, чем у конкурентов.
Signal и Telegram набрали меньше баллов, так как «небезопасно» хранят чувствительные данные мессенджера и профиля пользователя на клиентской стороне.
Из плюсов следует отметить, что все мессенджеры поддерживают E2EE-шифрование передаваемых данных, поэтому оценка Certificate pinning не проводилась.
Основная функциональность
Эту категорию можно расширять до бесконечности, но у нашей команды не было цели исследовать все реализованные фичи, и мы остановились на изучении основной функциональности мессенджеров и их безопасности:
Лидерами данной категории стали Wickr Me и Telegram, набрав максимальное количество баллов.
Версия мессенджера Signal под платформу Android содержит недостаток обработки исключений, который приводит к остановке приложения (то есть мессенджер сразу закрывается), поэтому Signal набрал меньше баллов в этой категории.
Информация о найденных недостатках
Мы описали общие результаты исследования, а теперь перейдем к более технической части. Ниже описаны некоторые детали выявленных недостатков мессенджеров.
Напомним, что все выявленные недостатки были обнаружены на устройствах с root-доступом (или к устройству применен jailbreak).
Первый недостаток, характерный для всех трех мессенджеров (для обеих платформ) — это возможность обхода описанной выше биометрической аутентификации. Дальше мы рассмотрим этот недостаток для каждой платформы.
Возможность обхода биометрической аутентификации
Современные смартфоны поддерживают несколько механизмов аутентификации, и один из возможных — это биометрическая аутентификация при помощи Touch ID или Face ID. При включенной функции биометрической аутентификации устройство сканирует отпечаток пальца (или лицо) и сравнивает с эталонным, заранее занесенным в систему.
У всех приложений, в том числе мессенджеров из нашего списка, для платформы iOS биометрическая аутентификация пользователя осуществляется при помощи Local Authentication Framework с использованием функции evaluatePolicy класса LAContext. Рассмотрим работу биометрической аутентификации немного подробнее.
Как выглядит биометрическая аутентификация для пользователя?
При нажатии на логотип мессенджера отображается диалоговое окно аутентификации, которое запрашивает у пользователя подтверждение действия, например, изменение настроек, покупку и т.д. с помощью биометрической аутентификации (Touch ID/Face ID).
В зависимости от того, как закончился процесс биометрической аутентификации, функция evaluatePolicy возвращает значение («true» или «false»), которое используется далее для управления приложением (например, открывается мессенджер или нет).
В чем заключается недостаток?
У всех исследуемых мессенджеров недостаток реализации биометрической аутентификации состоит в том, что пользователь аутентифицируется лишь на основе результата функции evaluatePolicy («true» или «false») и мессенджер не использует системные механизмы авторизации при доступе к значениям из защищенного хранилища Keychain. Более подробно о локальной аутентификации можно узнать в Mobile Security Testing Guide: здесь и здесь.
Как устранить недостаток?
Один из способов устранить описанный недостаток — создать в защищенном хранилище Keychain запись, которая будет содержать некоторый секрет (например, упомянутый ранее аутентификационный токен). При сохранении записи в Keychain необходимо задать соответствующие атрибуты, например, kSecAccessControlTouchIDAny или kSecAccessControlTouchIDCurrentSet.
Далее, чтобы получить значение этой записи, нужно будет обязательно успешно пройти локальную аутентификацию (в зависимости от заданных настроек доступа в Keychain — с помощью Touch ID/Face ID или ввода парольной фразы). Использование Keychain с необходимыми атрибутами сохраняемых в нем объектов позволит снизить возможность получения доступа к данным мессенджера.
Android
Описанный выше недостаток характерен и для мессенджеров платформы Android, поэтому мы рассмотрим работу биометрической аутентификации немного подробнее.
В приложении для платформы Android биометрическая аутентификация пользователя осуществляется с использованием классов FingerprintManager (не используется с Android 9), BiometricPrompt, BiometricManager.
Процесс биометрической аутентификации для пользователя на платформе Android выглядит абсолютно так же, как и на iOS.
В чем заключается недостаток?
Недостаток реализации биометрической аутентификации исследуемых мессенджеров для платформы Android аналогичен недостатку для iOS — не используются возможности операционной системы и устройства: мессенджеры не запрашивают системную авторизацию пользователя через KeyStore. Таким образом, потенциальный злоумышленник может подменять результат выполнения процедуры аутентификации для ее обхода.
Как устранить недостаток?
Для устранения данного недостатка в приложении рекомендуется использовать симметричные/асимметричные криптографические ключи (класс KeyGenerator), при инициализации которых вызывать функцию setUserAuthenticationRequired (true). Вызов данной функции позволяет получить доступ к значениям соответствующих криптографических ключей только после успешного прохождения процесса локальной аутентификации. Ключи при этом используются для шифрования некоторого секрета, например, аутентификационного токена в приложении.
Хранение чувствительной информации в локальном хранилище
Еще один обнаруженный недостаток — небезопасное хранение чувствительных данных в локальном хранилище — характерен для двух из трех мессенджеров.
Ниже мы привели примеры небезопасного хранения чувствительной информации в локальном хранилище, которые встречаются у некоторых мессенджеров платформы iOS:
Для устранения данного недостатка рекомендуется пересмотреть архитектуру и способы хранения чувствительных данных мессенджера.
Еще раз напомним, что вышеуказанные чувствительные данные мессенджера недоступны без использования root-доступа (или jailbreak) на устройстве.
Некорректная обработка исключений
Данная уязвимость относится только к платформе Android и мессенджеру Signal.
При исследовании основной функциональности мессенджеров осуществлялась отправка файлов разных форматов. В результате был найден один сценарий, при котором отправка файла вызывала остановку в работе мессенджера со следующей ошибкой: «Signal has stopped».
Исследование лог-файлов мессенджера показало, что у мессенджера есть необрабатываемое исключение. Информация об ошибке на внешние серверы не отправляется.
Как устранить недостаток?
Чтобы избавиться от данного недостатка, нужно реализовать проверку формата файла, который пользователь выбирает для отправки.
Ответы разработчиков
Обо всех описанных выше недостатках наша команда сообщила разработчикам мессенджеров. На момент публикации мы получили ответ от двух из трех мессенджеров (Signal и Telegram), третий на наши вопросы так и не ответил.
Разработчики поблагодарили нашу команду за предоставленную информацию и сообщили, что не считают выявленные недостатки уязвимостью, поскольку исследуемые версии мессенджеров используют для защиты данных мессенджера штатные механизмы защиты информации операционной системы. Используемые механизмы не позволяют эксплуатировать выявленные недостатки, а использование на устройстве root-доступа (или jailbreak) остается на усмотрение пользователя.
Тем не менее, мессенджеры могут реализовать проверку наличия root-прав на устройстве и уведомлять об этом пользователя устройства для снижения риска потенциальной компрометации данных.
Вывод
Мы провели сравнительный анализ защищенности трех мессенджеров, позиционирующих себя как безопасные, и выяснили, что все мессенджеры имеют ряд общих недостатков, а у Signal и Telegram также выявлены недостатки реализации хранения чувствительной информации в локальном хранилище.
Несмотря на то, что эксплуатация вышеуказанных недостатков возможна только при наличии физического доступа к смартфону, по оценке нашей команды, все эти недостатки снижают уровень защищенности данных пользователя.
По итогам всех проверок лидером нашего исследования стал мессенджер Wickr Me, который набрал 304 балла и у которого выявлено меньше всего недостатков.
Вывод прост: абсолютно безопасных мессенджеров нет, но мы надеемся, что благодаря этому исследованию вы сможете сохранить конфиденциальность и повысить безопасность своего общения, зная обо всех подводных камнях выбранного вами сервиса.
Программа wickr me инструкция на русском
Добро пожаловать в Wickr. Новый онлайн-мессенджер, который на 100% анонимен в Интернете. Wickr – это приложение, которое буквально не оставляет никаких следов. Wickr уничтожает ваши сообщения не только на ваших смартфонах, телефонах и компьютерах, но также и на серверах, через которые происходит переписка. Также в самой программе есть функция полного стирания всей истории, после выполнения которой сообщения нельзя восстановить никакими средствами.
С помощью Wickr можно передавать текстовые сообщения, картинки, аудио, видео и PDF-файлы с использованием различных стандартов шифрования (AES 256, ECDH 521, RSA 4096 TLD). Ваши сообщения не будут содержать никаких имен, геолокационных данных, ни получателя, ни отправителя. В настройках приложения вы сможете сами выбрать период времени, через который сообщения будут удаляться безвозвратно. Добро пожаловать в анонимную вселенную Wickr.
Для того чтобы воспользоваться всеми функциями, отправитель и получатель должны установить Wickr на свои устройства. Приложение Wickr доступно для операционных систем Google Android и iOS. Оно совершенно бесплатно для всех пользователей.
Wickr – это онлайн-мессенджер, который на 100% анонимен в Интернете. Wickr – это приложение, которое буквально не оставляет никаких следов. Wickr уничтожает ваши сообщения не только на ваших смартфонах, телефонах и компьютерах, но также и на серверах, через которые происходит переписка. Кроме того в самой программе есть функция полного стирания всей истории, после выполнения которой сообщения нельзя восстановить никакими средствами.
С помощью Wickr можно передавать текстовые сообщения, картинки, аудио, видео и PDF-файлы с использованием различных стандартов шифрования (AES 256, ECDH 521, RSA 4096 TLD). Ваши сообщения не будут содержать никаких имен, геолокационных данных, ни получателя, ни отправителя. В настройках приложения вы сможете сами выбрать период времени, через который сообщения будут удаляться безвозвратно.
Wickr – это закрытая экосистема и чтобы использовать ее, оба пользователя должны иметь профили в приложении. Профиль создается за несколько минут, а вот найти своего адресата вы сможете только по конкретному имени пользователя или электронной почте. С Wickr чувствуешь себя шпионом, т.к. вводить пароль здесь приходится на каждом шагу.
Wickr устанавливается на компьютерах: Windows, OS X, Linux (deb 32-bit и 64-bit) и мобильных устройствах: iOS, Android.
Установка Wickr в Ubuntu и производные
Перейдите по ссылке Wickr downloads, загрузите deb пакет согласно архитектуры вашей системы (32-bit или 64-bit) и установите в Центре приложений.
По окончании установки вы найдёте Wickr в программах Интернет или поиском в меню:
После открытия программы нажмите на кнопке Create New Account (Создать новую учетную запись):
Откроется дополнительное окно извещающее о том, что Wickr не имеет опции для сброса забытого пароля. Поэтому необходимо записать или запомнить ваш пароль. Для подтверждения нажмите ОК:
Введите имя пользователя (с маленькой буквы, как в электронной почте), пароль, выберите тип вашего аккаунта и нажмите кнопку Create Account (Регистрация):
Далее войтдите в свой аккаунт Wickr, путём ввода пароля и нажатия кноки Sing in (Вход):
Откроется основное окно Wickr. В нём вы можете добавлять контакты, создавать новые сообщения для друзей/знакомых и т.п.:
Нажмите на кнопке слева Friends (друзья), чтобы добавить друга из своих контактов:
Введите адрес электронной почты или номер телефона:
Примечание. Имейте ввиду, что ваш друг уже должен быть зарегистрирован в Wickr (иметь аккаунт) на мобильном устройстве или его электронный адрес. Только тогда вы можете найти его по номеру телефона или электронной почте.
Настройки Wickr находятся в левом нижнем углу главного окна. Нажмите на кнопке Settings (Настройки), чтобы начать настройку своего аккаунта.
Здесь вы можете: добавить свою фотографию, номер телефона, почтовый адрес и т.д., чтобы сделать более доступным для ваших друзей, чтобы найти вас. Кроме того, вы можете ввести в черный список пользователей, кого вы хотите заблокировать.
Теперь вы можете общаться со своими друзьями анонимно и безопасно.
Ссылка на источник compizomania
14-12-2014.
Wickr Me
Знакомство
реклама
| Оценка в Google Play | 4.2 |
| Разработчик | Wickr Inc |
| Количество загрузок в Google Play | 1 000 000-5 000 000 |
| Совместимость приложения с другими версиями ОС Android | 4.0 или более поздняя |
| Размер приложения после установки | 32 Мбайт |
| Версия приложения | 2.6.4.1 |
| Покупки в приложении | – |
реклама
Идентификатор устройства и данные о вызовах:
Первое впечатление и настройка
Wickr Me здорово изменился. Например, он наконец-то получил русский интерфейс и адекватный перевод. Схема создания нового аккаунта осталась прежней. Сами придумываем ID, а также присваиваем ему свой пароль. Номер телефона оставлять необязательно.
Жаль, что, как и раньше, программа задумчива при регистрации. Ну а оставлять контактные данные или нет – ваше личное дело.
Далее делать скриншоты нет возможности, программа сразу блокирует сие действие хоть через встроенный инструмент, хоть через сторонний. В настройках блокировка не отключается.
реклама
Интерфейс мессенджера – однооконный с двумя вкладками – сообщения и контакты. Причем последние доступны все, а не только с привязанными интернет-аккаунтами.
В настройках можно просмотреть все активные устройства, то есть те, где установлен Wickr Me, изменить пароль, а также настроить уведомления, например, назначить свой рингтон на них. Из интересного – шредер сообщений и файлов, который можно параметризировать, настроив глубокое либо поверхностное удаление. Есть и автовыход из программы через заданное время, после этого будет необходимо ввести пароль.
Кроме того, можно настроить время жизни любых сообщений. Это может быть один день или три секунды, после истечения которых в свои права вступает шредер.
Мессенджер
Общение в программе происходит лесенкой, есть стикеры и эмодзи, сквозное шифрование здесь распространяется на все. Не обошлось и без секретных чатов, а вот звонков через мессенджер не реализовано.
реклама
Нагрузка на систему
Wickr Me потребляет 77 Мбайт ОЗУ при 0.2% на процессоре, расходуя в течение дня чуть больше процента заряда батареи. Это и неудивительно, ведь среднее энергопотребление здесь на уровне 5.5 мВт.
Программа совместима с Android 4.0 или выше, весит в системе 32 Мбайт, не содержит рекламы и предлагается бесплатно.
реклама
Выводы
Wickr Me – это что-то среднее между Eleet Private Messenger и PushMe Fun. С одной стороны, обеспечивается полное шифрование и анонимные чаты, с другой – нашлось место украшательствам. Кроме того, реализована защита от скриншотов и PIN-код на приложение.
Оценка: 5.0 по пятибалльной шкале.
реклама
| Интерфейс | Отлично (однооконный) |
| Возможность самостоятельной настройки | Необходимый минимум |
| Общая эффективность | Отлично |
| Удобство управления | Отлично |
| Максимальная нагрузка на систему (CPU/RAM) | 0.2% / 77 Мбайт |
| Размер после установки | 32 Мбайт |
| Максимальный расход аккумулятора | 1.2% |
| Скорость энергопотребления | 5.5 мВт |
| Использование GPS-модуля | Нет |
| Трафик | Мессенджер |
| Необходимость в root | Нет |
| Реклама | Нет |
Заключение
Современные защищенные мессенджеры выглядят блекло по сравнению с теми же Telegram или WhatsApp. Это о Eleet Private Messenger и PushMe Fun. С другой стороны, они пока и не претендуют на лавры именитых конкурентов, а их существование заставляет последних совершенствоваться, чтобы не перейти во второй эшелон.
Таким образом, главная задача данных приложений – обеспечить неизвестный массам уголок, где можно пошушукаться. Впрочем, это больше относится к PushMe Fun, поскольку Eleet Private Messenger настроен более серьезно и позволяет организовать приватное деловое общение.
Сводное сравнение Eleet Private Messenger, PushMe Fun и Wickr Me
реклама
| Функциональность | Wickr Me | Eleet Private Messenger | PushMe Fun |
| Оценка автора | 5.0 | 4.8 | 4.5 |
| Интерфейс | Отлично (однооконный) | Однооконный с сайдбаром слева | Однооконный |
| Возможность самостоятельной настройки | Необходимый минимум | Необходимый минимум | Необходимый минимум |
| Общая эффективность | Отлично | Отлично | Хорошо |
| Удобство управления | Отлично | Отлично | Отлично |
| Максимальная нагрузка на систему (CPU/RAM) | 0.2% / 77 Мбайт | 0.2% / 70 Мбайт | 0.1% / 80 Мбайт |
| Размер после установки | 32 Мбайт | 35 Мбайт | 48 Мбайт |
| Максимальный расход аккумулятора | 1.2% | 3% | 2% |
| Скорость энергопотребления | 5.5 мВт | 7 мВт | 6 мВт |
| Использование GPS-модуля | Нет | Да | Да |
| Трафик | Мессенджер | Мессенджер | Мессенджер |
| Необходимость в root | Нет | Нет | Нет |
| Реклама | Нет | Нет | Нет |
Wickr Me на рынке давно, но не теряет своей актуальности, благо теперь присутствует русский язык, а само общение реализовано просто и удобно. При этом в последних версиях приложения нашлось место стикерам, дабы не отставать от всеобщей истерии по общению намеками.
Стоит отметить, что все три участника отличаются минимальным энергопотреблением, чего не скажешь о том же Viber, который внезапно стал шифрованным. Короче, выбор за вами, а я свою точку зрения изложил. В следующей статье мы поговорим о двух новых решениях и подведем итоги рассмотрения пяти приложений.