Трохи дивно говорити про це на третьому місяці вторгнення, але щоденні спостереження підтверджують наявність такої потреби. Слід визнати, що рівень технічної й медіаграмотності користувачів трохи підвищився останнім часом. Уже (майже) нікому не спадає на думку поширювати відео з результатами ракетних ударів, багато хто чув про фішинг або брав участь у DDoS атаках. Але, на жаль, значна кількість людей досі щоденно використовує незахищені месенджери, у тому числі для передачі чутливої інформації. Схоже, що Viber досі лишається одним з основних каналів зв'язку для багатьох користувачів.
Претензії до Viber можна умовно розділити на дві категорії: етичні та технічні.
Етичний аспект
Месенджер розробляється з 2010 року зареєстрованою у Кіпрі компанією Viber Media, хоча основні центри розробки знаходяться в Ізраілі й Білорусі. З 2014 року Viber належить японській компанії Rakuten, але важко було б уявити, що це призвело б до кардинальних змін у команді. Про те, що білоруський офіс досі відіграє важливу роль, говорить список поточних вакансій на офіційному вебсайті. Спробуємо з'ясувати, що про нього відомо.
Компанія Synesis, що брала участь у розробці Viber, розташована в Москві й Мінську та поміж іншим створювала систему портретного пошуку для Yandex. Про це сказано на офіційному вебсайті.
Серед інших продуктів можна побачити систему Kipod, офіційно «платформу для розумного міста», а фактично систему ідентифікації людей на відеопотоках камер спостереження.
Саме вона використовувалася режимом Лукашенка для придушення протестів. І саме через це з грудня 2020 року компанія знаходиться під санкціями Евросоюзу.
Якщо коротко, то причинами введення санкцій є допомога режиму в розправах над опозицією шляхом створення системи спостереження й розпізнавання облич, серед користувачів якої білоруські КДБ і МВС. Поза тим, у Мінському офісі співробітникам заборонялося спілкуватися білоруською, а засновник компанії Алєксандр Шатров особисто висловлювався на підтримку режиму. Після вторгнення в Україну 2022 року він потрапив до Списку спеціально позначених громадян і заблокованих осіб США, а пов'язані з ним компанії також опинилися в кількох санкційних списках.
Нагадую, йдеться про розробників найпоширенішого в Україні мобільного застосунку. Іншими словами, якщо ви користувалися Viber після 2020 року, ви підтримували режим вусатого таргана, який у 2022 люб'язно надав свою територію для вторгнення й запуску ракет. Але ж ви не використовували платні функції, тобто не фінансували вторгнення? Так, якщо саме такою сумою ви оцінюєте свої персональні дані, якими харчується месенджер. Але про це в другій частині.
Технічний аспект
Чотири найпопулярніших в Україні месенджери на кінець 2021 — це Viber, Facebook Messenger, Telegram, WhatsApp. Досить важко порівняти їх з погляду безпеки, бо всі вони повністю або частково є пропрієтарними.
❓Що таке пропрієтарне програмне забезпечення? Це погано?
▶️ У цьому контексті мається на увазі відсутність доступу до вихідного коду, на відміну від програмного забезпечення з відкритим кодом (opensource). Це не обов'язково говорить про якість програмного забезпечення, але зазвичай доступ незалежних спеціалістів до вихідного коду дає можливість швидко виявляти вразливості й реагувати на них. Особливо це важливо для задач шифрування. Іншими словами, якщо компанія приховує код і не практикує незалежні аудити, неможливо точно сказати, наскільки безпечною є система.
Єдине, що є в нашому розпорядженні, це офіційні apk-пакети (якщо йдеться про Android-версію), які розповсюджуються на Google Play. Це архіви, які містять метадані та бінарний код застосунку, чорні скрині, зібрані невідомо ким. У буквальному сенсі, бо у цифровому підписі офіційного пакету Viber, який вам пропонують встановити з Google Play, більшість полів не заповнені. Звісно, цифровий підпис не обов'язково відповідає дійсності, але інший месенджер з російським слідом, Telegram, принаймні явно вказує ім'я Ніколая Кудашова з Санкт-Петербургу й організацію VK, хоча зв'язок VK й Telegram не є секретом.
❓ Telegram можна вважати більш захищеною альтернативою Viber?
▶️ Навіть якщо до Telegram значно менше претензій, ніж до Viber, той факт, що розробники або частина з них ймовірно знаходяться на території російської федерації й підпорядковуються її законодавству, не виключає можливості їх добровільної чи вимушеної співпраці з певними структурами, як це уже трапилося з VK. Ймовірно до певної міри це вже відбувається щонайменше з 2018 року як мінімум стосовно номерів телефонів і IP адрес користувачів.
Деяку інформацію про apk файли можна одержати за допомогою сервісу Exodus, який аналізує код на наявність відомих трекерів.
❓Що таке трекер?
▶️ Трекер — це програмний код, який збирає ті чи інші дані про пристрій і пересилає для подальшої занонної чи не дуже обробки. Наприклад, з метою продажу персоналізованої реклами, діагностичних цілей тощо. Це може бути історія листування, геолокація, контакти, фото, записи з мікрофону чи камери, показання датчиків та інша інформація, до якої застосунок має доступ.
Число ліворуч означає кількість виявлених трекерів, праворуч — кількість дозволів для застосунку, тобто функцій пристрою, на доступ до яких він претендує. У детальних звітах на сайті Exodus ви можете побачити, про що конкретно йдеться, але спрощено тенденція така: що менші ці числа, то краще для приватності. В ідеалі кількість трекерів мала б дорівнювати нулю. Щодо дозволів, то тут усе залежить від функціональності застосунку, але якщо ви встановили застосунок-ліхтарик, який хоче мати доступ до геолокації, це має насторожувати. У звіті дозволи, що мають привертати увагу, позначені знаком оклику.
Отже, за грубою суто кількісною оцінкою найпопулярніших месенджерів Viber менше за всіх поважає ваші особисті дані. Якщо ви все ще вважаєте цей сервіс безплатним, то мабуть досі не усвідомили, що ви і є основним товаром.
❓Мої персональні дані нікому нецікаві, у моїх чатах нема державних таємниць, лише побутове спілкування. Чому мене має це турбувати?
▶️ Якщо ви не поважаєте свої персональні дані, поважайте хоча б персональні дані інших людей. У списку ваших контактів можуть виявитися люди, які зараз боронять вас зі зброєю в руках. Надаючи застосунку Viber доступ до адресної книги, ви передаєте їх контактні дані країні-агресору, навіть якщо людина не використовує Viber. Це лише один приклад, який не вичерпує всіх можливостей.
Для порівняння, кілька месенджерів із більш дружньою до користувача політикою конфіденційності.
Останній у цьому списку, Briar, має досить скромну функціональність, але може працювати в умовах відсутності інтернету за допомогою вцілілих точок Wi-Fi та Bluetooth. Щоб бути готовим до такого сценарію, навчіться ним користуватися та навчіть своїх близьких до того, як комунікації будуть зруйновані. За умови великої кількості користувачів пристрої утворюють своєрідну децентралізовану мережу, тому можливо пересилати повідомлення навіть на значні відстані.
Можна було б згадати ще проблеми з шифруванням, надійність якого у Viber нічим не підтверджена, наявність серверів у недружніх до нас країнах, можливість викрадення локальної копії чатів у десктопній версії, спам, нав'язливу рекламу й багато чого іншого, але все вказує на те, що єдина причина, чому більшість українців досі користується Viber полягає саме в тому, що більшість українців користується Viber.
Щоб розірвати коло, покажіть цей текст своїй мамі, бабусі, класному керівнику, директору. Якщо ви зможете донести цю думку до невеликих груп людей у своєму оточенні, врятувати маленький чат шкільного батьківського комітету чи робочого колективу, це буде ваш внесок у підвищення обороноздатності країни в цифровому просторі.
