Мессенджер Signal против Telegram и WhatsApp: стоит ли на него переходить. Кому принадлежит мессенджер сигнал

В России ситуация еще более однозначная. По данным мобильных операторов, российские пользователи больше всего переписываются в WhatsApp и Telegram. Часть населения использует Viber, Skype, FaceTime, Facebook, IMO и WeChat – и ни один оператор не упоминает Signal.

Создатель сверхзащищенного мессенджера Signal ушел с поста гендиректора. Его заменил сооснователь Whatsapp

Создатель защищенного мессенджера Signal Мокси Марлинспайк сложил полномочия гендиректора проекта и передал должность бизнесмену Брайну Эктону. Это сооснователь другого мессенджера, WhatsApp. Назначение Эктона временное, но оно может затянуться, поскольку в настоящее время других кандидатов на пост гендиректора Signal нет. Марлинспайк не назвал причины своего ухода, но намекнул на усталость от проекта.

Создатель защищенного мессенджера Signal Мокси Марлинспайк (Moxie Marlinspike) снял с себя полномочия гендиректора компании. О своей отставке он сообщил при помощи поста в корпоративном блоге.

Истинные причины своего решения Марлинспайк не раскрыл. Что примечательно, свой пост он передал Брайану Эктону (Brian Acton), сооснователю мессенджера WhatsApp.

Назначение Эктона на должность гендиректора Signal носит временный характер, хотя и неизвестно, как долго он будет находиться у руля. Сам Эктон в настоящее время входит в совет некоммерческого фонда Signal, управляющего развитием мессенджера.

Марлинспайк сохранит за собой место в совете директоров Signal, но пока нет гарантии, что в ближайшее время он покинет и его. Также он будет принимать участие в отборе кандидатов на пост главы компании.

Как связаны WhatsApp и Signal

Брайан Эктон – американский программист, интернет-предприниматель и миллионер. Он является создателем WhatsApp, самого популярного в мире мессенджера, согласно статистике Statista.com за октябрь 2021 г.

В 2018 г. Эктон совместно с Марлинспайком учредили некоммерческий фонд Signal Foundation, который в настоящее время координирует разработку мессенджера Signal и сразу вложил в него $50 млн.

Эктон запустил WhatsApp в 2009 г. В феврале 2014 г. проект перешел в собственность Facebook, ныне известную как Meta. Сам Эктон покинул его в 2017 г. по причине многочисленных разногласий с новыми владельцами на тему использования персональных данных пользователей для таргетинга рекламы.

Выгорание исключать нельзя

В посте о своем уходе Марлинспайк заявил, работал над Signal почти 10 лет, и что большая часть рабочих процессов долгие годы была завязана исключительно на нем. Таким образом, сохраняется вероятность, что его уход с должности гендиректора своего же творения связан с выгоранием.

«Я работаю над Signal уже почти десять лет. Моей целью всегда было, чтобы мессенджер мог расти и поддерживаться без моего участия, но четыре года назад это по-прежнему не представлялось возможным. Я писал весь код для Android, писал весь серверный код, а также был единственным человеком, которому можно было обратиться за помощью. Я координировал разработку всех продуктов и руководил всеми. Я никогда не мог отказаться от сотовой связи, мне приходилось везде носить с собой ноутбук на случай чрезвычайных ситуаций, а иногда я сидел один на тротуаре под дождем поздно ночью, пытаясь диагностировать деградацию услуги», – говорится в публикации Марлинспайка.

Со слов создателя Signal, в последние четыре года он старался изменить ситуацию и сделать так, чтобы все зависело не только от него одного. Он утверждает, что своей цели он добился.

«Сейчас Signal – это команда из 30 человек: сочетание замечательных инженеров, суперталантливых дизайнеров, одаренного и невозмутимого вспомогательного персонала и очень опытной и преданной команды руководителей. Я редко пишу код, а если и делаю, то во второстепенной роли. Я не искушаю судьбу, отказываясь от сотовой связи, ни один человек никогда не бывает постоянно на связи, и, надеюсь, никто в Signal больше никогда не окажется сидящим на тротуаре со своим ноутбуком под дождем (если только это не будет вашей предпочтительной удаленной работой)», – написал Марлинспайк.

Наконец, в «самом защищённом мессенджере» ограничен функционал, касаемый стикеров. Их нельзя добавить одним тапом по понравившейся наклейке, а только по ссылке. Вернее, добавить по тапу можно, но только при условии, что изображение скинул другой участник чата.

Что это за мессенджер

Создатели Signal позиционируют мессенджер как самый безопасный на рынке. В подтверждение на главной странице сайта приложения находится цитата Эдварда Сноудена: «Я использую Signal ежедневно».

В отличие от других приложений единственные данные, которые Signal собирает о пользователях – номера мобильных телефонов. Все остальное либо хранится локально на устройствах, либо подвергается сквозному шифрованию.

Различия с другими мессенджерами

По интерфейсу Signal – классический мессенджер, который практически не отличается от Telegram или WhatsApp. Его главная особенность – многоступенчатая защита любого способа общения.

1. Первая ступень безопасности – end-to-end шифрование. Чат могут прочитать только отправитель и получатель. Переписку не может увидеть даже разработчик.

Такую же технологию использует Telegram, но только в секретных диалогах. В WhatsApp шифруется каждый диалог – но если хотя бы один участник переписки создает резервную копию чата или экспортирует его, то шифрование становится бессмысленным.

В Signal защищен каждый чат, видео- и аудиозвонки – в том числе групповые беседы и групповые конференции. Создать резервную копию можно только при переносе данных с одного смартфона на другое – у пользователя при этом должен быть доступ к обоим устройствам.

2. Вторая ступень безопасности – возможность подтвердить собеседника. Сквозное шифрование само по себе – не новость: его используют и WhatsApp, и Telegram. Но если одним из устройств завладеют, то у собеседников не будет возможности об этом узнать.

В «Сигнале» собеседники получают коды сверки – их можно сверить при личной встрече и отметить диалог как подтвержденный. Если один из собеседников авторизуется с нового устройства, второй получит уведомление о том, что контакт больше не является подтвержденным.

3. Переписка и данные пользователей не хранятся на серверах разработчика. Создатели Signal выложили код приложения в открытый доступ: каждый желающий может проверить, что мессенджер не перехватывает сообщения.

Для сравнения: Telegram собирает дополнительно ваше имя, контакты и ID. WhatsApp добавляет к этому списку данные о рекламе, историю покупок, местоположение, то, как часто вы используете приложение и многое другое.

4. Пароль. Приложению можно присвоить PIN-код – вы сможете увидеть переписку после того, как правильно его введете. Эта опция копирует возможности WhatsApp и Telegram, но без нее защита не была бы полной.

Чтобы сохранить полную приватность, стоит учитывать некоторые отличия от других мессенджеров.

• Если вы удаляете сообщение на своем устройстве, оно не исчезает на устройстве собеседника. Полностью удалить переписку можно только при включении функции исчезающих сообщений.
• Ваш аккаунт привязан к мобильному телефону. Все, у кого есть ваш контакт, смогут вам написать. Если вы хотите сохранить аккаунт в тайне, заведите второй номер телефона.
• Десктопную версию можно использовать только при работающем приложении на телефоне. Точно так же работает WhatsApp.

Используют ли Signal в России?

Мессенджер начал активно расти только в 2020 году. После новости об изменении политики конфиденциальности WhatsApp количество пользователей за месяц увеличилось в 2 раза: с 20 миллионов в декабре до 40 миллионов в январе 2021. Но это количество несравнимо с популярностью Telegram (500 млн человек в январе 2021 года) и тем более – WhatsApp (2 млрд человек в декабре 2020 года).

В России ситуация еще более однозначная. По данным мобильных операторов, российские пользователи больше всего переписываются в WhatsApp и Telegram. Часть населения использует Viber, Skype, FaceTime, Facebook, IMO и WeChat – и ни один оператор не упоминает Signal.

Как утверждают авторы законопроекта, крупные компании, включая Google и Facebook, начали злоупотреблять подобной защитой и перестали прилагать усилия для борьбы с незаконным контентом. EARN IT может лишить всех компаний положенного им по текущему закону иммунитета от судебных преследований.

Где скачать Signal для компьютера и телефона

У приложения есть собственный официальный портал: https://signal.org/ru/. Скачать его можно для ПК с Windows и Mac. Но для входа понадобится установить мобильное приложение Signal по ссылкам:

Мессенджеру нужно предоставить доступ к файлам мультимедиа, разрешение совершать звонки. Затем ввести свой номер телефона, логин в системе и Pin-код. Он нужен для быстрого доступа к своему профилю в случае переустановки клиента Signal на телефоне.

Как привязать телефон к Signal на компьютере

После установки приложения в смартфоне, скачайте программу на компьютер. На экране ПК появится QR-код. Его нужно сканировать камерой на смартфоне.

1. Откройте Signal на телефоне.
2. Нажмите верху три точки и выберите Настройки.
3. Нажмите пункт Привязанные устройства.
4. Далее внизу выберите синюю кнопку с плюсом и разрешите приложению делать снимки.
5. Наведите камеру на код с экрана компьютера.
6. Подтвердите привязку.

Внешне мессенджер Signal очень похож на другие, особенно на Telegram. После входа на ПК в нём появляется папка Заметки для себя. Она служит для обмена данными между устройствами. Отправляйте фото, музыку, видео с устройства на устройство, добавляя файлы в эту папку.

Стикеры в Signal

В приложении все передаваемые данные между клиентами защищены сквозным шифрованием, даже стикеры. Их набор доступен на ПК и телефоне. В меню есть функция, по нажатию которой можно добавлять свои наклейки. Пакет нужно заранее подготовить и поместить в память устройства.

В Signal есть стандартный набор смайлов. И ещё одна особенность – функция автоматического размытия лиц на фото.

Кроме того, мессенджер позволяет подтвердить личность людей, с которыми вы общаетесь, чтобы убедиться, что их ключ шифрования не был изменён во время загрузки на ключ хакера.

2022: Швейцарская армия запретила военным использовать иностранные мессенджеры

Вооруженные силы Швейцарии запретили военнослужащим пользоваться мессенджерами Telegram, WhatsApp и Signal из соображений обеспечения информационной безопасности. Об этом стало известно 7 января 2022 года. Подробнее здесь.

Взлом израильскими хакерами

16 декабря 2020 года стало известно о том, что израильская компания Cellebrite, разработчик шпионского ПО, заявила, что сумела взломать мессенджер Signal. По данным портала TechRadar и разработчика антивируса AVG, Signal – это самый защищенный мессенджер в мире. Обойти защиту Signal специалисты Cellebrite смогли при помощи собственного программного инструмента Physical Analyzer, предназначенного для систематизации и обработки информации, полученной со смартфона.

В основе Signal лежит проприетарная система шифрования текста и контента Signal Protocol с открытым исходным кодом. Эта система также используется компаниями Facebook и Microsoft в своих месседжерах, но в них она шифрует только текстовые сообщения, а не передаваемые файлы.

Cellebrite опубликовала подробный отчет о процессе взлома Signal прямо на своем официальном сайте. По информации компании, база данных мессенджера хранится в зашифрованном с помощью SqlScipher виде. SqlScipher – это расширение SQLite с открытым исходным кодом, которое обеспечивает прозрачное 256-битное AES-шифрование файлов базы данных. Для чтения БД хакерам был нужен специальный ключ, который, как оказалось, можно извлечь из файла с общими настройками и расшифровать его с помощью ключа под названием «AndroidSecretKey», который сохраняется «Keystore» — специальной функцией ОС Android.

Затем они запустили SqlCipher в базе данных с расшифрованным ключом и значениями 4096 и 1 для размера страницы и итераций kdf, что позволило им расшифровать БД и обнаружить текстовые сообщения в файле «signal.db.decrypted» в таблице с названием «sms». Все отправленные и полученные файлы были найдены в папке «app_parts», но они были дополнительно зашифрованы.

Специалисты Cellebrite выяснили, что для шифрования вложений Signal использует алгоритм AES в режиме CTR, после чего им осталось только провести дешифровку. Дополнительно сопоставлять найденные файлы с чатами им не пришлось – это было сделано еще на этапе анализа сообщений, и в итоге они получили полностью читабельные чаты, доступные теперь в том же виде, в котором их видят участники беседы.

По заявлению Cellebrite, компания намерена сотрудничать с правоохранительными органами различных стран для взлома Signal на нужных им устройствах «на законных основаниях» 1 .

Взлет скачиваний во время беспорядков в США

В мае 2020 г на фоне протестов в США вырос спрос на защищенный мессенджер Signal. С 25 мая его скачали 121 000 раз, а в воскресенье 31 мая — рекордные 37 000. В рейтинге приложений App Store мессенджер за это время поднялся с 936 на 126 место по популярности.

2019: Уязвимость, позволяющая включать микрофон на устройстве

5 октября 2019 года стало известно, что в Android-версии защищенного мессенджера Signal выявлена логическая ошибка, позволяющая шпионить за пользователями. Уязвимость заключается в том, что преступники могут инициировать вызов и автоматически ответить на него без согласия пользователя. Иными словами, с помощью бага можно включить микрофон на устройстве и прослушивать ведущиеся вокруг разговоры.

Проблема схожа с обнаруженным в начале 2019 года багом в функции Apple FaceTime в iOS, также позволявшем услышать звук и увидеть видео с устройства собеседника до того, как он ответит на звонок.

Уязвимость в Signal, обнаруженная специалистом команды Google Project Zero Натали Сильванович (Natalie Silvanovich), связана с методом handleCallConnected, отвечающим за конечное соединение вызова.

Как отмечается, уязвимость срабатывает только при аудиозвонках, для видео звонков данный метод не подходит, поскольку в приложении Signal пользователям требуется вручную включить камеру.

Несмотря на то, что схожая проблема имеется и в iOS-версии мессенджера, в зоне риска находятся только пользователи Android-версии, поскольку в iOS-клиенте происходит сбой вызова из-за ошибки в пользовательском интерфейсе.

Разработчики приложения были проинформированы о проблеме и устранили ее спустя несколько часов после сообщения исследовательницы 3 .

Уязвимость к атакам по сторонним каналам

По сообщению от 13 декабря 2018 года исследователи из Cisco Talos сообщили об уязвимостях в популярных мессенджерах, использующих шифрование. По словам специалистов, WhatsApp, Telegram и Signal можно взломать с помощью атак по сторонним каналам. Подробнее здесь.

В списке 20 самых защищенных мессенджеров по версии Artezio

Аналитический отдел Artezio (входит в группу компаний ЛАНИТ) 26 ноября 2018 года опубликовал список 20 мессенджеров, способных обеспечить высокий уровень приватности. Рейтинг был составлен по итогам комплексного тестирования программ, при этом качество шифрования данных и надежность средств защиты информации были ключевыми критериями при формировании итоговой экспертной оценки, сообщили TAdviser представители Artezio. Топ-8 программ с высоким уровнем приватности возглавил мессенджер Signal. Подробнее здесь.

Ошибка при переходе на Signal Desktop

24 октября 2018 года стало известно, что обновление защищённого мессенджера Signal может иметь довольно неприятные последствия для его пользователей.

Мессенджер Signal продвигается как защищённое средство коммуникации, в котором используется сквозное шифрование, что по идее должно исключать доступ посторонних к содержимому переписки. Однако, как выяснилось, существуют ситуации, когда всё шифрование Signal оказывается бесполезным.

Signal распространяется как расширение к браузеру Google Chrome, и как самостоятельная программа (Signal Desktop). С версии для браузера можно «проапгрейдиться» до десктоп-версии, однако в процессе Signal выкладывает на диск пользовательского устройства всю переписку в незашифрованном виде, причём вместе со всеми вложениями. Приложение затем автоматически ре-импортирует все эти диалоги, однако в определённый период всё, что должно быть зашифровано, лежит на диске в plaintext.

При экспорте диалогов на диск Signal формирует отдельные папки, каждая из которых названа по имени и телефонному номеру контакта. Тем самым уже происходит утечка конфиденциальных данных.