Ang pinakamahusay na naka-encrypt na apps sa pagmemensahe (at ang kanilang mga limitasyon) noong 2023
Nais malaman kung alin ang pinakamahusay na naka-encrypt na app ng pagmemensahe? Sa kasamaang palad, hindi ito simple, dahil ang mga app na perpekto sa ilang mga sitwasyon madalas na kailangang gumawa ng trade-off na ginagawang mas praktikal sa kanila ang iba.
Nangangahulugan ito na ang pinakamahusay na app ay depende sa sitwasyon, kaya kailangan mo pa rin ng maraming iba’t ibang mga pagpipilian na nagbibigay sa iyo ng tamang halo ng pagiging praktiko at naaangkop na antas ng seguridad para sa anumang naibigay na pag-uusap.
Upang magsimula, sabihin ang mga dahilan kung bakit dapat mong gamitin ang isang naka-encrypt na app ng pagmemensahe, pati na rin ang mga tampok ng isang hypothetical perpektong app. Pagkatapos maaari naming siyasatin ang mga pangunahing apps na inaalok, pati na rin kung kailan gagamitin ang bawat isa.
Upang matapos, pupunta kami sa mga limitasyon ng mga app na ito, at mga sitwasyon kung saan kahit na ang pinakamahusay na proteksyon ay hindi mai-save ang iyong data.
Bakit gumamit ng naka-encrypt na apps sa pagmemensahe?
Sa mga nagdaang taon, ang mga mensahe sa pagmemensahe ay naging isang one-stop-shop kung saan maaari nating isagawa ang malaking bahagi ng aming komunikasyon. Karamihan sa atin ay mayroong aming mga telepono sa amin ng karamihan ng oras, kaya pinapayagan kami ng mga app na ito na makipag-usap sa tuwing nais namin. Ginawa nitong mas praktikal ang mga apps sa pagmemensahe kaysa sa iba pang mga channel ng komunikasyon tulad ng mga tawag sa landline at pagmemensahe batay sa desktop.
Para sa karamihan, ang mga app na ito ay libre, na kung saan ay isa pang kalamangan sa mga bagay tulad ng mga tawag sa telepono at pagmemensahe ng SMS. Ang karamihan ng mga app ay nag-aalok ng isang iba’t ibang mga iba’t ibang mga paraan na maaari mo ring makipag-ugnay sa iba. Maaari kang magpadala sa mga tao ng mga text message, mga mensahe ng boses, gumawa ng boses o tawag sa video, magpadala ng mga larawan at kahit na magbahagi ng mga file.
Sa itaas nito, nag-aalok ang isang bilang ng mga apps sa pagmemensahe encryption mula end-to-end, na nangangahulugang nangangahulugan na ang data ay hindi mai-access sa paglalakbay nito sa pagitan ng iyong telepono at ng iyong tatanggap. Makakatulong ito upang maiwasan ang mga hacker na makinig sa iyong mga pag-uusap at pagnanakaw ng data, pati na rin pinipigilan nito ang gobyerno na hindi rin masunurin.
Ang mga aspetong ito ay ginagawang mas ligtas ang naka-encrypt na mga apps sa pagmemensahe kaysa sa mga tawag sa telepono, text message, karaniwang email at maging ang mapagpakumbabang post office. Kapag idinagdag mo ang lahat ng mga tampok na ito nang magkasama, maraming mga kadahilanan upang samantalahin ang mga naka-encrypt na apps sa pagmemensahe. Ngunit hindi lahat ng mga ito ay nilikha pantay, o ang kanilang mga developer ay palaging laging sineseryoso ang iyong seguridad.
Ang perpektong naka-encrypt na app ng pagmemensahe
Kung makakagawa kami ng isang pangarap na app, pagsasama-sama nito ang iba’t ibang mga iba’t ibang mga tampok, ngunit sa kasamaang palad, ang katotohanan ay makakakuha ng paraan at pilitin kaming gumawa ng mga kompromiso. Gayunpaman, ang perpektong app ay:
May kakayahang makipag-usap sa lahat
Sa isip, nais namin lamang ng isang app na magagamit namin upang makipag-ugnay sa lahat. Tulad ng nakatayo, dumadaan kami sa pagkabagot ng paglipat sa pagitan ng iba’t ibang apps, teksto, email at tawag kapag nakikipag-usap kami sa aming mga kaibigan, pamilya at kasamahan.
Ito ay magiging mas mahusay kung magagawa nating lahat ito sa isang lugar. Sa teoryang ito, maaaring magawa ito sa dalawang paraan. Ang una ay kung ang bawat isa ay may at gumagamit ng isang unibersal na pagmemensahe app. Ang kahalili ay para sa isang solong app upang makapagpadala ng mga mensahe sa lahat ng iba pang mga app.
Sa ngayon, lahat ng aming tanyag na naka-encrypt na apps sa pagmemensahe ay maaari lamang magamit upang makipag-usap sa iba na gumagamit ng parehong platform. Hindi ka maaaring magpadala ng isang WhatsApp message sa isang iMessage account ng isang tao, maaari mo lamang itong ipadala sa ibang mga gumagamit ng WhatsApp (bagaman sa lalong madaling panahon, isasama ng Facebook ang mga apps nito upang ang mga tao ay maaaring magpadala ng mga mensahe sa pagitan ng WhatsApp, Facebook Messenger at Instagram).
Ang pagkuha ng lahat na gumamit ng parehong app ay maaaring hindi praktikal dahil sa aming iba’t ibang mga pangangailangan. Ang iba pang pagpipilian ay para sa isang iba’t ibang mga app na gumamit ng parehong protocol, na nagpapahintulot sa interoperability. Bilang halimbawa, kung ikaw ay isang gumagamit ng Gmail, hindi ka limitado sa pagpapadala lamang ng mga email sa iba pang mga account sa Gmail. Maaari kang magpadala ng isang email sa sinuman. Tulad ng maaaring magamit ng mga gumagamit ng Outlook at iba pa.
Ang mga magkakatulad na system ay posible para sa mga mensahe sa pagmemensahe, ang kinakailangan lamang para sa maraming mga platform na gumamit ng parehong pinagbabatayan na protocol. Nagagawa na ito, kasama ang mga app tulad ng ChatSecure at Mga Pag-uusap na bawat isa ay gumagamit ng XMPP protocol, na nagpapahintulot sa mga gumagamit na magpadala at tumanggap ng mga mensahe mula sa iba’t ibang mga application na gumagamit ng parehong protocol.
Ang pamamaraang ito ay hindi perpekto, at maraming mga developer ang tumanggi ito sa parehong mga komersyal at teknikal na mga kadahilanan. Ito ay sa interes ng Facebook at iba pang mga kumpanya upang mapanatili kang naka-lock sa kanilang mga serbisyo sa pagmemensahe. Sa isang mas praktikal na kahulugan, ang paggamit ng isang bukas na protocol ay nililimitahan kung ano ang makamit ng mga nagawa at ginagawang mahirap para sa kanila upang magdagdag ng mga bagong tampok para sa seguridad o mga layunin sa pagpapaandar..
Buong tampok & madaling gamitin
Kung nais namin na gamitin ng lahat ang parehong app, pagkatapos ay kailangan nitong isama ang bawat tampok na maaaring nais ng mga gumagamit. Kung wala itong mga bagay tulad ng video chat, emojis o GIF, pagkatapos ang ilang mga gumagamit ay magtungo sa iba pang mga serbisyo na nag-aalok ng mga opsyon na iyon sa halip.
Sa tuktok ng mga tampok nito, ang isang mainam na app ay magiging simple at maginhawa. Ito ay awtomatikong i-sync ang aming mga contact, gawing madali upang makahanap ng mga bagong tao, at nag-aalok ng mabilis at madaling komunikasyon. Sa kasamaang palad, maraming iba’t ibang mga mekanismo ng kaginhawaan ang sumasalungat sa ilan sa mga hakbang sa privacy at seguridad na tatalakayin natin sa ibaba.
Nakatuon sa seguridad
Ang seguridad ay kritikal sa anumang sitwasyon kung saan nagpapadala kami ng sensitibo o mahalagang impormasyon. Bilang default, ang internet ay isang napaka-insecure na lugar at ang mga umaatake ay maaaring nakatagpo sa bawat sulok. Ito ang dahilan kung bakit mahalaga para sa aming mga mensahe sa pagmemensahe na seryosohin ang kanilang seguridad.
Ang isa sa mga pinakamahalagang tampok para sa isang ligtas na app ay end-to-end na pag-encrypt. Kapag ipinatupad ito kasama ang pinakamahusay na mga kasanayan sa seguridad, ginagawang imposible para sa sinumang ma-access ang data na naglalakbay sa pagitan ng app sa iyong telepono at app ng iyong tatanggap. Nangangahulugan ito na ang mga kriminal at ang gobyerno ay hindi maaaring ma-access ang anumang data o mensahe sa paglipas ng serbisyo.
Para sa ilang mga gumagamit, ang perpektong app ay papayagan sila manatiling di kilala. Nangangahulugan ito na hayaan ng platform ang mga ito na mag-sign up nang walang paghahatid ng anumang data. Tulad ng nakatayo, ang lahat ng mga higit pang pangunahing aplikasyon ay nangangailangan ng ilang uri ng pagkakakilanlan, kung ito ay isang email o numero ng telepono. Sa ilang mga kaso, may mga paraan upang mai-sidestep ito, ngunit hadlangan pa rin ito.
Ang mga hindi nagpapakilalang gumagamit ay magtatapos sa pagharap sa mga isyu sa pagiging praktikal dahil ang mga app ay hindi magawang mag-alok sa kanila ng mga madaling gamiting tampok tulad ng contact na pag-sync nang hindi nakompromiso ang kanilang pagkakakilanlan.
Para sa parehong mga kadahilanan sa privacy at seguridad, mainam para sa app na maiwasan ang pag-iimbak ng impormasyon ng gumagamit. Kailangang mangolekta at maproseso ang mga platform ng ilang metadata upang maitaguyod at paganahin ang iyong mga komunikasyon. Posible rin para sa kanila na tanggalin ang data pagkatapos. Ang ilang mga serbisyo ay nagpoproseso at nag-iimbak ng higit na higit na metadata kaysa sa kanilang mga karibal, na kung saan ay isang malaking pulang bandila para sa privacy at seguridad.
Mahalaga rin ito para sa anumang ligtas na app ng pagmemensahe bukas na mapagkukunan. Nangangahulugan ito na magagamit ang code sa publiko at maaaring masuri ng sinuman. Ang mas maraming mga tao na tumitingin sa code, mas malaki ang pagkakataon ng isang tao na makita ang mga kahinaan o nakakahamak na kilos.
Ang mga panlabas na pag-audit ng seguridad ay dapat ding isagawa, ngunit hindi bilang isang kapalit para sa bukas na mapagkukunan ng software. Ang mga pag-audit ay ginagawa ng isang maliit na grupo ng mga tao, na pinatataas ang posibilidad ng pagsusuri na maging kompromiso. Ang mga resulta ay maaaring hindi ipakilala sa publiko. Ang mga panlabas na pag-audit ay kulang sa parehong uri ng pagsisiyasat na nagmumula sa kolektibong mga mata ng isang komunidad na nagbubuhos sa source code.
Ang isang malawak na iba’t ibang mga tampok ng seguridad na dapat na maipatupad din, tulad ng perpektong pasulong na lihim. Ito ay isang term na kriptograpiya na nangangahulugang kahit na ang mga susi ng pag-encrypt ay nakompromiso sa hinaharap, hindi ito magagamit upang ma-access ang mga nakaraang mensahe. Ang iba ay maaaring nais ng mga tampok tulad ng mga mapanirang mensahe ng sarili, o kahit isang mekanismo na hindi pinapagana ang mga nakukuha sa screen.
Maaaring mainam na magkaroon ng marami sa mga tampok na ito ng seguridad pinagana sa pamamagitan ng default upang maprotektahan ang mga gumagamit, na nagpapahintulot sa kanila na huwag paganahin ang mga makakakuha ng paraan sa kanilang paggamit. Bilang kahalili, ang isang mainam na app ay maaaring magkaroon ng mahigpit, pamantayan at magaan na mga mode na ginagawang madali para sa mga gumagamit na ibagay ang pagsasaayos ng seguridad sa kanilang mga pangangailangan.
Hindi lamang ang mga tampok na mahalaga – mahalaga ang saloobin ng nag-develop. Ang developer ng app na hypothetical na ito ay dapat nakatuon sa privacy, seguridad at transparency. Dapat nilang pigilan ang panghihimasok mula sa mga awtoridad at tumanggi na mangolekta ng data ng gumagamit para sa advertising.
Ang pinakamahusay na naka-encrypt na apps sa pagmemensahe
Ngayon na napag-usapan namin ang mga perpektong tampok ng isang secure na app ng pagmemensahe, maaari naming simulan ang pag-aralan ang mas karaniwang mga app para sa kanilang positibo at negatibong mga katangian.
Magsisimula kami sa pamamagitan ng pagsasaklaw ng maraming mga nakatutok na security apps at pagkatapos ay lumipat sa mga mas malawak na network. Maraming mga iba pang mga app na inaalok, ang bawat isa ay may sariling mga kagiliw-giliw na tampok sa seguridad, o mga malalaking userbases sa ilang mga rehiyon.
Ang pangunahing layunin ay upang siyasatin ang mga app na may pinakamahusay na seguridad pati na rin ang pinakakaraniwan, upang mabigyan ka ng pananaw sa kung alin ang mainam na gagamitin, pati na rin ang mga kailangan mong patnubapan..
1. Signal
Signal Blue Icon ni Tyler Reinhard na lisensyado sa ilalim CC0
Magsimula tayo sa Signal, na kadalasang nakikita bilang pamantayang ginto pagdating sa mga naka-encrypt na apps sa pagmemensahe. Marami itong nangyayari para sa ito, matalino sa seguridad, bagaman hindi ito perpekto, at ang ilang mga kahalili ay maaaring magkaroon ng mga indibidwal na tampok na gusto ng ilang mga gumagamit.
Nag-aalok ang application ng isang hanay ng mga tampok na gawin itong maihahambing sa isang serbisyo tulad ng WhatsApp. Mahalaga ang lahat, mula sa teksto hanggang sa mga tawag sa video, sa mga chat sa grupo at emojis. Ito ay hindi kapani-paniwalang madaling gamitin kumpara sa iba pang mga ligtas na anyo ng komunikasyon tulad ng PGP.
Ang signal ay nakatayo para sa pag-setup ng pag-encrypt, na na-orkestra sa paraang sa pangkalahatan ng kumpanya hindi ma-access ang iyong data o ang mga susi na secure ito. Hindi rin nito pipigilan ang iyong metadata, kaya kung ang mga awtoridad ay subpoena ang mga tala ng Signal, hindi gaanong maihahatid ito.
Nasubukan ito sa korte bago, at ang tanging data na nagawang ibigay ng kumpanya ay ang timestamp para sa kung kailan nilikha ang account, pati na rin kung kailan ito huling nakakonekta. Ang pagpapanatili ng tulad ng isang limitadong halaga ng data ay nagpapahiwatig na ang Signal ay naglalagay ng isang makabuluhang antas ng pag-aalala sa seguridad at privacy ng mga gumagamit nito.
Maaaring hindi mo nais na nababato sa mga detalye, ngunit ang seguridad nito ay nakamit sa pamamagitan ng iba’t ibang mga algorithm at mekanismo ng seguridad. Kasama dito ang XedDSA at VXEdDSA digital lagda, ang pinalawig na triple diffie-Hellman key agreement protocol, pati na rin ang Double Ratchet at ang Sesame algorithm.
Ang sinumang may kaalamang teknikal ay maaaring mag-check up sa code ng Signal dahil ito bukas na mapagkukunan. Nasuri din ito ng mga mananaliksik, na natagpuan “walang pangunahing mga bahid sa disenyo nito”. Ito ay isang higit na kumikinang na pagsusuri kaysa sa tunog ng seguridad ng nitpicking.
Sa pangkalahatan, ang protocol ay napakahusay na napakahusay laban sa lahat ng masusing pagsisiyasat nito, kung kaya’t tinuring ito ng marami pinakamahusay at pinaka praktikal na ligtas na solusyon sa pagmemensahe.
Ang isa sa mga pangunahing gripe na may kamalayan sa seguridad ay may app na ito nangangailangan ng isang numero ng telepono para sa pagpaparehistro. Ginagamit ito upang i-verify ang account ng isang gumagamit, tinatanggal ang pangangailangan para sa mga username at password. Mas pinadali nitong matuklasan ang mga contact na gumagamit ng Signal.
Ang ilang mga tao ay nag-aatubili na ibigay ang kanilang numero ng telepono, ngunit kinakailangan lamang upang mai-set up ang account. Maaari ring gumamit ang mga gumagamit ng numero ng VoIP, landline, o isang di-personal na numero, kaya mayroong mga workarounds sa isyu.
Ang isa pang plus para sa Signal ay ang istraktura nito, pagpopondo at pangkalahatang pangitain. Ito ay itinatag ng Moxie-Marlinspike, isang taong nakakaantig na kilalang tao bilang isang mandaragat na anarchist, pati na rin isang crypto-savant. Matapos ang mga taon ng pag-squat at hitchhiking, co-itinatag niya ang isang kumpanya na tinatawag na Whisper Systems.
Nang makuha ito ng Twitter, siya ay naging pinuno ng cybersecurity platform ng social media. Natapos niya ang pag-alis ng kumpanya upang simulan ang Open Whisper Systems, ang kumpanya na ngayon ay bubuo ng Signal. Sa paggawa nito, lumakad siya palayo sa $ 1 milyon sa mga pagpipilian sa stock.
Ang app ay libre nang walang mga ad, at ito hindi nangongolekta o nagbebenta ng data ng gumagamit nito. Kasalukuyan itong nakasalalay sa mga gawad at donasyon, na nagmula sa Freedom of the Press Foundation, Brian Acton, at iba pa.
Bagaman ang mga detalyeng ito ay hindi awtomatikong ginagawa ang Signal na isang mapagkakatiwalaang samahan, ginagawa nito itong mas maaasahan kaysa sa mga alternatibo tulad ng Facebook na umaasa sa pagmimina ng data upang gawin ang kanilang bilyun-bilyon.
Ang pinakamalaking disbentaha ng Signal ay hindi na malapit sa sikat na mga pangunahing app tulad ng WhatsApp o Facebook Messenger. Ito ay tanyag para sa mga mamamahayag, aktibista, pulitiko at iba pa na nakitungo sa sensitibong impormasyon, ngunit hindi ito nakita ng parehong uri ng malawak na pag-aampon bilang mas malaking karibal nito.
Nangangahulugan ito na hindi mo maaaring magamit ito upang mensahe ng marami sa iyong mga kaibigan, pamilya o kasamahan. Maaari mong subukang hikayatin silang tanggapin ito, ngunit hindi laging madaling ibenta. Habang ito ay isa sa mga pinakamahusay na pagpipilian para sa tuwing nakikipag-usap ka sa sensitibo o mahalagang impormasyon, maaaring kailanganin mong bumalik sa mas ligtas na mga alternatibong kagaya ng WhatsApp o Facebook Messenger upang makipag-usap sa ilang mga tao.
2. Mga wire
Wire Text logo ni Wire na lisensyado sa ilalim CC0
Ang wire ay hindi gaanong tanyag kaysa sa Signal, ngunit mayroon itong ilang mga pagkakaiba-iba na ginagawang angkop na kahalili sa ilang mga pangyayari. Nag-aalok ito ng pangunahing pangkat ng mga inaasahang tampok, tulad ng pagmemensahe, mga tawag sa boses at video, pati na rin ang mga chat sa grupo. Kasama rin dito ang isang hanay ng mga tool sa pakikipagtulungan na naka-target sa merkado ng negosyo. Ang Wire app ay medyo din maginhawa at madaling gamitin.
Isa sa mga pakinabang nito ay pinapayagan nito ang mga gumagamit magparehistro nang walang paghahatid ng isang numero ng telepono. Maaari lamang silang mag-sign up sa mga username at password sa halip. Ang mga mensahe nito ay naka-encrypt kasama ang Proteus, na batay sa Signal Protocol. Ginagamit ng mga wire ang SRTP at DTLS para sa mga tawag sa boses.
Wire din bukas na mapagkukunan at na-awdit sa labas. Ang mga naunang bersyon ay may ilang mga isyu sa seguridad, kahit na ang mga problema ay na-address. Tulad ng nakatayo, ang app ay naisip na mag-alok ng isang mataas na antas ng seguridad.
Ang isa sa mga pinakamalaking pagbaba ng Wire ay ito mas maraming tindahan ang metadata kaysa Signal. Ang impormasyong ito ay pinananatiling plaintext at kasama nito kung sino ang nakontak at kung saan hindi kanais-nais para sa mga gumagamit na nais itago ang impormasyong ito. Ayon sa mga pahayag mula sa Wire, ang impormasyong ito ay pinananatiling makakatulong sa pag-sync ng mga contact sa buong mga aparato.
Walang impormasyon sa publiko (sa oras ng pagsulat) na nagpapahiwatig kung ang platform ay pinilit ng sinumang mga awtoridad na ibigay ang data ng gumagamit, kaya hindi namin alam kung paano magiging patas ang app sa ganitong paraan kumpara sa Signal.
Sa paghusga sa katunayan na ang Wire ay nangongolekta ng mas maraming data, mas mahusay na ipagpalagay na ito ay magiging sapilitang ibigay ang higit pa sa mga awtoridad, ngunit hindi namin alam kung ang kumpanya ba ay handa na i-drag ang mga takong nito kapag harapin ng mga kahilingan sa pagpapatupad ng batas.
Ang proyekto ay batay sa Switzerland at binubuo ng maraming dating empleyado ng Skype. Naunang natanggap nito ang pagpopondo mula sa Iconical at nakatuon sa sarili laban sa paggamit ng mga ad upang suportahan ang platform. Kasalukuyan itong nag-aalok ng parehong mga libreng plano at mga pagpipilian sa premium, na maaaring magbigay ng pondo para sa pag-unlad nito at mga gastos sa pagpapatakbo.
Ang wire ay may isang mas maliit na network kaysa sa Signal, na nangangahulugang ang mga gumagamit ay may mas kaunting mga tao upang makipag-usap sa. Sa kabila nito, ito ay isang praktikal na solusyon para sa mga gumagamit ng negosyo, sa mga nais a platform ng cross-device at para sa mga gumagamit na ayaw ibigay ang kanilang mga numero ng telepono.
3. Wickr
Ang Wickr ay isa sa mas nakatatandang apps na nakatuon sa seguridad, nag-aalok ng mga tampok tulad ng pagmemensahe, mga tawag sa video, pagbabahagi ng larawan at pag-sync sa mga aparato. Tulad ng bawat isa sa mga app na tinalakay sa artikulong ito, ang Wickr ay may sariling mga kalamangan at kahinaan. Nangangahulugan ito na ito ay magiging isang angkop na pagpipilian sa ilang mga sitwasyon, ngunit hindi sa iba.
Nag-aalok ang Wickr ng tatlong magkakaibang mga serbisyo:
- Wickr Me – Isang libreng personal na app ng pagmemensahe.
- Wickr Pro – Isang platform sa pakikipagtulungan sa negosyo na may parehong libre at bayad na mga pagpipilian.
- Wickr Enterprise – Isang nasusukat at nakahanda na tool na handa sa pagsunod sa mga pangangailangan ng mga negosyo.
Ang bawat isa sa mga antas na ito ay nagsasama ng iba’t ibang mga tampok na maaaring bahagyang baguhin ang pag-setup ng seguridad at privacy. Ang artikulong ito ay higit na tititingin sa Wickr Me, dahil ito ang pinaka maihahambing na serbisyo sa iba pang mga app na tatalakayin namin.
Ang Wickr messaging protocol ay nag-aalok ng pag-encrypt ng end-to-end na may perpektong pasulong na lihim at isang mahusay na nawawala na sistema ng mensahe. Ang pag-setup ng seguridad nito ay nakatanggap ng kanais-nais na mga pagsusuri mula sa mga dalubhasa sa seguridad, at mayroon din ito pinuri ng Electronic Frontier Foundation para sa pangkalahatang pamamaraan nito sa transparency.
Ang application ng metadata ng application mula sa komunikasyon na naglalakbay sa pamamagitan ng network nito, na kung saan ay isang panalo para sa privacy ng gumagamit. Ang isa pang mahalagang tampok ay hindi ito nangangailangan ng numero ng telepono o anumang pagkakakilanlan ng impormasyon. Nangangahulugan ito na maaari itong magamit para sa hindi nagpapakilalang pagmemensahe, hindi katulad ng Signal.
Ang Wickr ay mayroon ding isang malakas na kasaysayan ng seguridad. Ang ilang mga bug ay natagpuan ilang taon na ang nakalilipas, ngunit mula nang sila ay naka-patched. Kahit na sa loob ng angkop na lugar ng seguridad, ang tulad ng isang maliit na bilang ng mga bahid ay kapuri-puri.
Ang isa sa mga pangunahing isyu sa Wickr ay iyon hindi ito ganap na buksan ang mapagkukunan. Ang code para sa cryptographic protocol ng app ay sa wakas ay pinakawalan noong 2023, ngunit ang application ng kliyente at code ng side-server ay hindi pa rin magagamit.
Ayon kay ZDNet, ang dating CEO ng Wickr ay lumalaban na ganap na buksan ang code dahil sa “proprietary intellectual property ng kumpanya at istrukturang negosyo para sa kita.” Inilabas ni Wickr ang code para sa security protocol pagkatapos ng pagbabago ng pamumuno, ngunit tumanggi pa ring mai-publish ang code sa kabuuan nito.
Ang isang pulutong ng mga tao ay tila iniisip na ang app ay ganap na bukas na mapagkukunan. Maaaring kumalat ang impression na ito dahil maraming mga artikulo sa media ang hindi malinaw na tanging ang protocol ng seguridad ay ginawang bukas na mapagkukunan, at hindi ang client o server code.
Ito ay isang mapanganib na maling kuru-kuro dahil humantong ito sa mga tao na maniwala na ang buong code ay bukas na sinuri ng komunidad para sa likod at iba pang mga kahinaan. Hindi ito ang kaso, at kahit na ang kumpanya ay tila lubos na mapagkakatiwalaan sa pangkalahatan, hindi natin malalaman sigurado hanggang ang code ay ganap na bukas na mapagkukunan.
Sa yugtong ito, wickr ay tila hindi nagpapakita ng mga hangarin na patungo sa direksyon na ito, na maaaring magpahiwatig na ang paggawa ng open source ng code ng security ay higit sa isang publisidad kaysa sa isang pangako sa seguridad.
Ang pagkakataon ni Wickr pagkakaroon ng isang backdoor para sa mga awtoridad ay maaaring medyo mababa, ngunit dahil maraming iba pang mga apps na nakatuon sa seguridad ang nakaharap sa buong pag-iingat na nagmumula sa pagiging bukas na mapagkukunan, ang mga kahaliling ito ay mas malamang na magkaroon ng isa.
Habang ang ganap na bukas na mapagkukunan ng apps ay karaniwang ginustong ng komunidad ng seguridad, makatarungang isaalang-alang din ang kabilang panig. Ang Wickr ay sumailalim sa mga panlabas na pagsusuri mula sa maraming mapagkakatiwalaang mga samahan. Kabilang dito ang Aspect Security, Veracode, NCC Group at ang AICPA. Ang kumpanya ay mayroon ding isang bug bounty program na nag-aalok ng hanggang sa $ 100,000.
Sa huli, kailangan mong gumawa ng iyong sariling desisyon tungkol sa kung pinagkakatiwalaan mo ang kumpanya at mga pag-audit nito, o mas gusto mo ang isang pagpipilian na maaaring titingnan ng bukas na mapagkukunan.
Sa baligtad, ang Wickr ay napaka-transparent tungkol sa kung ano ang data na kinokolekta nito, pati na rin sa ilalim ng mga kondisyon kung saan maaaring mapilitang ibigay ang personal na impormasyon sa mga awtoridad.
Inilalagay ng Wickr ang sumusunod na impormasyon sa mga gumagamit ng serbisyo nito sa Akin:
- Ang petsa ng isang account ay nilikha.
- Ang uri ng mga aparato na ginamit sa account.
- Ang petsa ng huling paggamit.
- Ang kabuuang bilang ng mga ipinadala at natanggap na mga mensahe.
- Ang bilang ng mga panlabas na ID (mga email address at numero ng telepono) na konektado sa account, ngunit hindi ang mga panlabas na panlabas na ID mismo.
- Ang imahe ng avatar (kung ang gumagamit ay nagbigay ng isa).
- Isang limitadong hanay ng mga talaan tungkol sa mga kamakailang pagbabago sa mga setting ng account. Maaaring kabilang dito kung ang isang aparato ay naidagdag o nasuspinde, ngunit hindi kasama ang nilalaman ng mensahe o impormasyon sa pagruruta at paghahatid.
- Ginagamit ang numero ng bersyon ng Wickr.
Ang mga gumagamit ng serbisyo sa Pro ay may mga sumusunod na impormasyong nakaimbak din:
- Ang kanilang ugnayan sa network.
- Ang kanilang Wickr Pro ID (email address).
- Ang kanilang numero ng telepono, kung ito ay ibinigay ng isang administrator ng network bilang pangalawang kadahilanan sa pagpapatunay.
Depende sa kung paano naka-set up ang Wickr Pro, maaari itong mangolekta ng higit pang data. Kasama sa kumpanya ang sumusunod na pagtanggi:
Para sa Wickr Pro, ang pagsasaayos ng bawat network ay maaaring mag-iba depende sa mga pangangailangan ng negosyo. Sa gayon, ang impormasyong Wickr ay maaaring magbigay bilang tugon sa isang naaangkop na kahilingan para sa impormasyon ng gumagamit ay magkakaiba din.
Dahil ang Wickr ay nag-iimbak lamang ng data na nakalista sa itaas, ito lamang ang impormasyong maihahatid nito sa pagpapatupad ng batas, na nangangahulugang hindi ito maibibigay ang nilalaman ng mensahe o metadata. Ang patakaran sa pagkapribado ng kumpanya ay nagsasaad din na ipaalam sa mga gumagamit nito kung mayroong mga kahilingan para sa impormasyon ng kanilang account maliban kung ito ay ligal na pinipigilan na gawin ito. Sa kasong ito, naglalayong ipaalam sa apektadong gumagamit sa sandaling pinahintulutan itong gawin ito.
Inilabas din ni Wickr ang mga ulat ng transparency ng dalawang beses bawat taon. Ang ulat nito mula Hulyo 1 ay sumasaklaw sa mga kahilingan na natanggap nito sa nakaraang anim na buwan, na kasama ang:
- Limang mga warrants sa paghahanap na sumaklaw sa walong account (ang isang solong order ay maaaring mag-alala ng higit sa isang account).
- 49 mga utos ng korte tungkol sa 75 mga account.
- 40 subpoena ng pagpapatupad ng batas na sumasaklaw sa 59 mga account.
- Mga kahilingan sa seguridad ng Zero.
- 21 iba pang mga kahilingan.
- Apat na kahilingan tungkol sa mga hindi residente ng US.
Tulad ng sinabi namin sa itaas, kapag natanggap ni Wickr ang mga kahilingan na ito, maaari lamang ibigay ang impormasyon na iniimbak nito, hindi ang mga nilalaman ng mensahe o metadata.
Ang pangunahing pangkat ng Wickr ay binubuo ng mga espesyalista sa cybersecurity at mga eksperto sa privacy. Karamihan sa mga paunang teknikal na pag-unlad nito ay binabantayan ng isa sa mga co-founder ng organisasyon at ang dating CTO na ito, si Doctor Robert Statica. Siya ay may isang kahanga-hangang infosec pedigree, na, na sinamahan sa kasalukuyang pamumuno ng kumpanya, ay pinanatili ang proyekto sa mabuting kamay.
Ang samahan ay nakatanggap ng paunang pondo mula sa isang magkakaibang grupo o organisasyon, kabilang ang Knight Foundation, Breyer Capital, Juniper Networks, CME Group, Wargaming at iba pa. Ito ay medyo pamantayan para sa isang for-profit firm. Ang modelo ng negosyo ni Wickr ay kasalukuyang batay sa pag-aalok ng mga serbisyo sa subscription sa premium.
Sa pangkalahatan, ang Wickr ay katulad ng Wire dahil nag-aalok ito ng isang hanay ng mga serbisyo ng negosyo at pinapayagan ang mga gumagamit na mag-sign up nang hindi nagpapakilalang. Nakakakuha ito ng mga dagdag na puntos sa hindi ito nag-iimbak ng metadata tulad ng ginagawa ni Wire, gayunpaman, ang pagtanggi nitong gawing ganap na buksan ang code nito ay magtatanggal ng maraming mga indibidwal na nakikilala sa seguridad.
Habang ang Wickr ay karaniwang isang mahusay na serbisyo, nag-aalok ang Signal ng isang mas malaking network at maraming mga benepisyo sa seguridad. Maliban kung partikular na hinihiling mo ang mga tool sa pakikipagtulungan o pakikipag-ugnay sa negosyo, ang Signal ay marahil ang mas mahusay na pagpipilian sa karamihan ng mga kalagayan.
4. Kaguluhan
Ang kaguluhan ay tumatagal ng ibang diskarte sa naunang tinalakay na mga app at marahil pinakamahusay na naiwan sa mga gumagamit ng kapangyarihan sa ngayon. Ito ay bukas na mapagkukunan at ginagamit ang pederal na Matrix protocol, na nangangahulugang ang mga gumagamit ng Riot ay hindi limitado sa pagpapadala ng mga mensahe sa iba pa na naka-install ng parehong app.
Dahil ito ay itinayo sa tuktok ng isang bukas na pamantayan, ang Kaguluhan maaaring maihatid ang mga mensahe sa anumang iba pang application na gumagamit din ng Matrix protocol. Nangangahulugan ito na ang isang mensahe ng Riot ay maaaring dumiretso sa mga inbox ng sinumang gumagamit ng mga programa tulad ng Fractal o WeeChat Matrix.
Ginagawa ng pederal na kalikasan ang tulad ng email – maaari kang magpadala at tumanggap ng mga email mula sa sinuman, kahit na gumamit ka ng Gmail at ginagamit nila ang Outlook. Tulad ng email, ang Matrix protocol ay naglalayong malawakang tanggapin, na nagpapahintulot sa mga tao na magpadala ng bawat isa sa mga mensahe kahit na kung alin ang kliyente na ginagamit nila.
May mga opisyal na tulay sa mga protocol tulad ng XMPP at IRC, pati na rin ang tool ng pakikipagtulungan ng Slack. Nabuo rin ng pamayanan ang sariling mga tulay na iyon mga mensahe ng relay papunta at mula sa iba’t ibang mga sikat na uri ng komunikasyon, kasama ang:
- SMS
- Signal
- Facebook Messenger
- Skype
- iMessage
- Telegram
- Google Hangout
- Discord
Nag-aalok ang kaguluhan ng iba’t ibang mga karaniwang tampok, mula sa teksto hanggang sa mga tawag sa video, pribadong chat sa mga chat ng grupo, pagbabahagi ng file, at kahit na mga bot. Gayunpaman, hindi ito madaling gamitin, at hindi gaanong mas matanda kaysa sa isang katunggali tulad ng Signal.
Sa kabila ng tila mga bentahe ng kakayahang makipag-usap sa pagitan ng mga app, ang mga pederal na sistema ay mayroon ding kanilang pagbagsak. Maaari silang gawing mas mapaghamong pag-unlad, na maaaring humantong sa pag-iwan ng mga sistema ng siled tulad ng Signal at Wire. Nangangahulugan ito na maaari silang maging huli upang mag-ampon ng mga bagong tampok at mekanismo ng seguridad, na ginagawang mas nakakaakit ang mga serbisyo.
Ang end-to-end encryption sa Riot’s Matrix protocol ay itinayo sa tuktok ng Double Ratchet algorithm na ginagamit din ni Signal. Ginagamit ng Matrix ang MegOLM para sa mga chat sa grupo, pati na rin ang isang bilang ng iba pang mga diskarte sa cryptographic.
Ang kaguluhan ay pa rin ng isang medyo hindi pa nababago app, kaya ang kasalukuyang seguridad ay debatable. Noong Abril, ang mga server para sa pinagbabatayan na protocol ng Matrix tumagos ng isang hacker, na maaaring magbigay sa kanila ng pag-access sa data ng mensahe, mga hashes ng password at mga access sa mga token.
Ang susi para sa pag-sign ng Riot app ay maaari ring mai-kompromiso, na maaaring potensyal na pinahihintulutan ang mang-aatake na maglabas ng isang nakakahamak na bersyon ng Riot. Inilabas ng mga nag-develop ang isang bagong bersyon ng app na may ibang ID upang maiwasan ang posibilidad na ito.
Sa yugtong ito, tila walang naganap na pag-audit ng seguridad, kaya mahirap malaman kung gaano kahusay ang pinipigilan ni Riot laban sa pagsisiyasat. Ang mga application sa kanilang mga unang yugto ay may posibilidad na maging puno ng mga isyu sa seguridad, kaya kailangang maging maingat ang mga gumagamit, gayunpaman hindi ito nangangahulugang hindi magiging isang ligtas na app ang Riot.
Sinusubaybayan ng Riot ang kanyang sarili pabalik sa Amdocs, isang Israeli na multinasyunal na ngayon ay headquarter sa US. Ang isang tool sa chat ay nilikha sa loob ng kumpanya, na sumali sa protocol ng Matrix. Ang isang subsidiary ay nilikha upang hawakan ang proyekto, ngunit ang pagpopondo nito ay pinutol noong 2023.
Ito ang humantong sa pangunahing mga developer na nagtatatag ng kanilang sariling kumpanya upang tumuon sa pagbuo ng parehong Matrix at Riot. Karamihan sa paunang pondo ay nagmula sa komunidad, na may isang cash injection mula sa Katayuan, mga pakikipagsosyo at ang potensyal para sa pagkonsulta. Sa ilalim ng modelong ito ng negosyo, ang app ay kasalukuyang inaalok nang libre, nang walang suporta sa ad.
Mayroong isang maliit na halaga ng online na pag-aalinlangan tungkol sa mga pagsisimula ng app sa ilalim ng Amdocs, na dati’y sinisiyasat para sa posibleng pag-uugnay sa Israel. Ang imbestigasyon ay hindi nakakahanap ng anumang katibayan, at ang proyekto ay pinapatakbo ngayon ng isang hiwalay na kumpanya. Ang link ay marahil isa sa pinakakaunting tungkol sa mga aspeto ng seguridad ng Riot, ngunit ang ilang mga infosec nerds ay nagmamahal sa isang mahusay na pagsasabwatan.
Sa yugtong ito, ang Riot ay may isang medyo maliit na network. Ang website nito ay nagpapahiwatig na mayroon itong pitong milyong mga gumagamit, habang ang Play Store ng Google ay umabot sa 10,000+. Ang mga numero ng Riot ay maaaring tiyak na tumpak, dahil ang karamihan sa komunidad nito ay may malay sa seguridad, na ginagawang mas malamang na i-download nila ang app sa pamamagitan ng kanilang browser o F-Droid.
Sa kabila ng maliit na base ng gumagamit nito, ang Riot ay higit na kapaki-pakinabang kaysa sa mga bilang na ito na nagpapahiwatig dahil sa interoperability nito sa iba pang mga application na gumagamit ng Matrix protocol, pati na rin ang mga tulay nito sa iba pang mga platform.
5. WhatsApp
WhatsApp Logotype sa pamamagitan ng lisensyang WhatsApp sa ilalim CC0
Ngayon na napag-usapan namin ang ilang magkakaibang mga apps na nakatuon sa seguridad, oras na upang tumingin sa mas pangunahing mga platform. Bilang isang kompromiso sa pagitan ng seguridad at pagkakaroon ng isang malaking network, marahil ang WhatsApp ang pinakamahusay na mapagpipilian. Maiging matalino, mayroon itong halos lahat ng kailangan ng karamihan, itinayo ito sa tuktok ng protocol ng Signal, at mayroon itong isang hindi kapani-paniwalang bilang ng mga gumagamit, na may 1.5 bilyong aktibong buwanang gumagamit sa pagtatapos ng 2023.
Dahil sa kaibuturan nito, ang karamihan sa mga mambabasa ay marahil pamilyar dito, kaya hindi namin tinakpan nang detalyado ang mga tampok nito. Ang pinakamahalagang bahagi ay ang seguridad nito. Noong 2014, gumawa ng WhatsApp ang mga alon sa industriya ng tech bilang isa sa mga unang pangunahing platform upang magsimula pag-encrypt ng mga mensahe nito mula sa end-to-end nang default.
Nakipagtulungan ito sa magulang ng Open Whisper Systems ng Signal upang maganap ito, na nangunguna sa pack sa kasalukuyang alon ng pag-ampon ng pag-encrypt. Habang binuo ito gamit ang parehong protocol, hindi lahat ng mga aspeto ay pareho. Upang magsimula sa, nito ang code ay pagmamay-ari at hindi bukas para sa inspeksyon. Nangangahulugan ito na hindi namin lubos na sigurado kung ano ang nangyayari sa ilalim ng hood.
Bagaman ang ilang mga kahinaan ay natagpuan, malawak na na-overstated sila ng media. Noong 2023, iniulat ng Tagapangalaga ang isang makabuluhang kapintasan na na-endangered na mga gumagamit – gayunpaman, ito ay kalaunan ay natagpuan na hindi tumpak at ang papel ay mula nang maiurong ang artikulo.
Noong Mayo, isang kahinaan ang natagpuan sa WhatsApp, ngunit mula pa ito ay naka-patched. Habang ang kapintasan ay tiyak na nababahala, kinakailangang tingnan ito sa wastong konteksto. Ito ay kasangkot sa isang napakahusay na pamamaraan na binuo ng NSO Group, isang kumpanya ng seguridad na bumubuo ng nasabing kumplikadong pag-atake na maaari itong mahalagang matingnan bilang isang cyber-supervillain conglomerate.
Hindi malinaw na malinaw kung gaano karaming mga tao ang naapektuhan, ngunit kung ang mga katulad na pag-atake ay anumang dapat dumaan, ang hack ay kumuha ng maraming mga mapagkukunan upang mai-mount, at maaaring ginamit lamang sa isang target na paraan.
Kasunod ng lohika na ito, tila ang mga gumagamit ng mababang peligro ay hindi masugatan, at kahit na sila, ligtas sila ngayon hangga’t mayroon sila naka-install ang pinakabagong update. Sa kabila ng mga paminsan-minsan at overblown na ulat na ito, ang platform ng WhatsApp ay isa sa mas ligtas na mga pagpipilian sa pangunahing magagamit
Habang disente ang seguridad ng app, ang pinaka-nakababahala na pagkakaiba sa pagitan ng WhatsApp at Signal ay bumaba sa dami ng data na kinokolekta ng WhatsApp, pati na rin kung sino ang kumokontrol dito. Ang mga tindahan ng WhatsApp ay higit pang metadata kaysa sa Signal, kasama na kung sino ang nakipag-ugnay, kung anong oras naganap ang komunikasyon, at kung gaano katagal ang anumang mga tawag na tumagal.
Bukas nitong ibinahagi ang impormasyong ito at tugunan ang data ng libro sa mga awtoridad kung iniutos na gawin ito. Bagaman hindi maihahatid ng WhatsApp ang nilalaman ng mensahe, ang metadata ay madalas na sapat upang matulungan ang pagpapatupad ng batas sa mga pagsisiyasat nito.
WhatsApp din kamay sa data na ito sa Facebook sa ilalim ng pagbibigay-katwiran na tila makakatulong ito upang labanan ang spam, subaybayan ang mga sukatan at magpakita ng mas may-katuturang mga ad. Ang pagbubukod ay nasa Europa, kung saan pinipigilan ng regulasyon ng EU ang kumpanya na gawin ito.
Ang Facebook ay may mahabang kasaysayan ng mga paglabag sa privacy – ang modelo ng negosyo nito ay nakasalalay dito. Sa kabila ng disenteng pagpapatupad ng seguridad ng WhatsApp, mahirap na maipasa ang pag-serbisyo sa naturang isang kontrobersyal na kumpanya. Ibinahagi nito ang metadata nito, ngunit maaaring lumala ang privacy at seguridad sa paglipas ng panahon?
Lahat ng tungkol sa hinaharap ng WhatsApp ay nasa hangin dahil ang Facebook ay kasalukuyang nasa gitna ng isang napakalaking overhaul na naglalayong isama ang Facebook, WhatsApp at Instagram upang pahintulutan ang pagmemensahe sa cross-platform sa pagitan ng mga serbisyo.
Mahirap malaman kung paano ito makakaapekto sa seguridad dahil, sa yugtong ito, hindi maraming detalye ang inilabas. Nagpahayag ang Facebook ng isang higit na pangako sa privacy sa hinaharap, ngunit sa yugtong ito, hindi natin matiyak kung paano magtatapos ang mga bagay.
Malayo ang WhatsApp mula sa perpekto, lalo na kung isinasaalang-alang mo kung sino ang overlord nito. Gayunpaman, isinasaalang-alang na napakaraming tao na mayroon na ito, isang mahusay na pagpipilian kung hindi posible ang mas ligtas na mga pagpipilian.
6. Telegram
Logo ng Telegram sa pamamagitan ng Javitomad na lisensyado sa ilalim CC0
Ang Telegram ay madalas na naisip na isang ligtas na alternatibo, ngunit kapag naghuhukay ka ng mas malalim, hindi lahat ng bagay ay tila. Mayaman at tampok na mabilis ito, lalo na sa mga bansa na pinagbawalan ang ibang mga serbisyo.
Ang unang welga laban sa aplikasyon ay ang scheme ng pag-encrypt, MTProto, ay batay sa sariling kriptograpiya ng Telegram. Ito ay isang kardinal na kasalanan dahil ang kriptograpiya ay kilalang-kilala kumplikado at madaling i-tornilyo. Ang platform ay matagal nang pinuna ng mga cryptographers para sa hindi paggamit ng isang mas ligtas at lubusang na-scrape na scheme ng pag-encrypt.
Ang pangalawang pangunahing kasalanan ay na tanging ang client-side source code ay bukas na mapagkukunan. Nangangahulugan ito na hindi namin talaga alam kung ano ang nangyayari sa gilid ng server. Sinasabi ng Telegram na sa huli ay ilalabas nito ang kabuuan ng code, ngunit hindi ito masuri nang mabuti para sa mga isyu sa seguridad hanggang pagkatapos.
Ang Telegram ay pinuna rin para sa default na pag-setup ng pagmemensahe, na hindi naka-encrypt mula sa dulo hanggang sa katapusan. Ang kumpanya ay may access sa mga susi na protektahan ang mga komunikasyon ng isang gumagamit at maaaring theoretically sapilitang ibigay ang mga ito sa mga awtoridad.
Sinasabi ng Telegram na hindi pa ito nangyari, at dahil sa pagsasaayos nito, kukuha ito ng mga utos sa korte mula sa maraming mga bansa upang gawin ito, ngunit paalala ito na hindi nagbabahagi ang Signal at WhatsApp..
Nag-aalok din ang Telegram ng isang lihim na pag-andar ng chat na nag-encrypt ng mga mensahe mula sa end-to-end, ngunit ito ay may problemang rin. Upang magsimula, batay din ito sa kontrobersyal na pamamaraan ng pag-encrypt ng Telegram, na maaaring hindi ligtas tulad ng iginiit ng kumpanya.
Ang iba pang kritikal na aspeto ay nangangailangan ng labis na pagsusumikap upang i-encrypt ang mga pag-uusap sa ganitong paraan, na nangangahulugang ang karamihan sa mga tao ay hindi nag-abala dito. Kung ikaw ay may malay sa seguridad, marahil mas mahusay na manatili sa isang app na sinisiguro ang lahat nang default, upang hindi mo kailangang gumawa ng anumang mga karagdagang hakbang upang mapanatiling ligtas ang iyong komunikasyon..
Sa ngayon, ang mga chat ng pangkat ay hindi mai-encrypt sa isang end-to-end na paraan. Ang kumpanya ay naganap din sa apoy para sa paglulunsad ng mga paligsahan sa krograpiya, kung saan aabot sa $ 300,000 ang inaalok kung may sinumang maaaring atake sa platform sa isang tiyak na paraan. Ang senaryo ay hindi makatotohanang at kinurihan ng mga security blogger.
Tulad ng inaasahan, walang nakakaya upang manalo ng alinman sa mga kumpetisyon, gayunpaman, hindi ito kinakailangan dahil sa seguridad ng Telegram. Ang mga crack contests ay karaniwang itinuturing na disdain ng komunidad ng infosec, dahil sila ay madalas na hindi patas at higit pa tungkol sa pag-post kaysa sa totoong seguridad.
Ang mga kasanayan sa seguridad sa Telegram ay maaaring hindi ang pinakamasama sa buong mundo, ngunit tiyak na natagpuan ito bilang isang madilim. Ang seguridad ay palaging nagsasangkot ng ilang antas ng pagtitiwala, at ang ilan sa nabanggit na mga kasanayan ay naglaho nito.
7. iMessage
Ang iMessage ay may mga produktong Apple nang default, ngunit ang eksaktong bilang ng mga gumagamit ay mahirap mapagkukunan. Hanggang sa 2023, tinantiya na may halos 700 milyong mga iPhone sa buong mundo, kaya ang pagtatantiya ng higit sa isang bilyong gumagamit ay hindi makatuwiran.
Sa kabila ng pagiging limitado sa mga gumagamit ng Apple, mahalagang tingnan ang seguridad ng app dahil sa kung gaano ito katanyagan. Ang unang pangunahing isyu ay iyon ang code ay pagmamay-ari at hindi bukas na mapagkukunan, na nangangahulugan na ang komunidad ng seguridad ay hindi nagkaroon ng pagkakataon na tingnan ito.
Ang kumpanya ay nagsasagawa ng mga panloob na pag-audit, ngunit ang impormasyon tungkol sa mga panlabas na mga pagsusuri ay mahirap dumaan. Dahil dito, mahirap malaman kung isinagawa sila, kung kailan naganap ang pinakabagong, at kung ano ang mga resulta.
Ang isa pang isyu ay ang iMessage ay gumagamit ng 1280-bit RSA key. Habang ang mga ito ay kasalukuyang sapat na upang maprotektahan laban sa karamihan sa mga pag-atake, hindi ito sa lupain ng posibilidad na isang taong-atake ng bansa ay maaaring mapangahas sa kanila. Para sa kadahilanang ito, kasalukuyang inirerekomenda ng NIST ang 2048-bit RSA key bilang isang minimum na hubad.
Ang ilang mga butas sa seguridad ay natagpuan sa iMessage sa mga nakaraang taon, ngunit walang labis na pagkagalit. Noong 2016, natuklasan ng mga mananaliksik mula sa John Hopkins University ang isang bug na pinagana ang mga ito upang mangolekta ng susi ng pag-encrypt, gayunpaman mula pa ito ay na-patch ng Apple.
Pagdating sa pangkalahatang diskarte sa privacy at seguridad ng kumpanya, mahirap malaman kung saan naninindigan ang Apple. Ang kaso ng kumpanya sa FBI patungkol sa pagbaril sa San Bernardino ay tila ipinapakita na ang parehong kumpanya at ang end-to-end encryption na ito ay nanindigan laban sa mga awtoridad.
Sa kabilang banda, naihayag ang mga dokumento ng NSA na sinasabing ang Apple ay isa sa isang dakot ng mga kumpanya na nagbigay ng tatlong-sulat na ahensya ng pag-access sa kanilang mga system upang masusi ang mga tao sa ilang mga sitwasyon. Itinanggi ng kumpanya ang anumang aktibong paglahok sa programa.
Mahirap malaman ang eksaktong mga posisyon ng Apple tungkol sa bagay na ito, ngunit ito ay nagkakahalaga ng pansinin ang kumpanya ang modelo ng negosyo ay hindi umiikot sa pangangalap ng data, hindi katulad ng mga katunggali nito, Facebook at Google. Sa pangkalahatan, marahil ang iMessage ay hindi ang iyong unang pagpipilian para sa seguridad, ngunit dapat itong maging maayos hangga’t hindi masyadong mataas ang antas ng iyong banta.
8. Facebook Messenger
Facebook Messenger 4 na Logo sa pamamagitan ng lisensyado sa Facebook sa ilalim CC0
Sa wakas, nakarating kami sa isa sa mga pinakatanyag na platform ng pagmemensahe, isang app na dapat mong patnubayan nang malinaw kung nagmamalasakit ka tungkol sa iyong privacy at seguridad. Ang Messenger ng Facebook ay nasa lahat, walang bayad, madaling gamitin at patuloy na magdagdag ng mga bagong tampok, ngunit ang serbisyo ay hindi ginagawa kahit saan malapit upang maprotektahan ang interes ng mga gumagamit nito.
Bumubuo ang Facebook ng karamihan ng kita nito sa pamamagitan ng pag-aani ng personal na data at pagpasok ng mga ad, kaya Tumatakbo ang privacy sa kasalukuyang modelo ng negosyo. Ang reputasyon ng seguridad nito ay hindi eksaktong stellar, alinman.
Upang magsimula sa, ang pag-encrypt ng end-to-end ay hindi inaalok ng default. Tulad ng napag-usapan namin sa ilalim ng seksyon sa Telegram, nangangahulugan ito na ang labis na karamihan ng mga tao ay hindi kumuha ng pagkakataon na gamitin ang tampok na Lihim na Pag-uusap, na kung saan ay batay sa protocol ng Signal. Ang resulta ay ang karamihan sa mga pribadong mensahe ng mga tao ay nai-scan at nasuri ng platform.
Sa itaas nito, ang Ang code ng kumpanya ay pagmamay-ari at hindi bukas upang suriin ng mga mananaliksik at ang nalalabi sa bukas na mapagkukunan ng komunidad. Nangangahulugan ito na hindi namin alam kung ano ang totoong nangyayari at kung mayroong mga nasa likod o kahinaan.
Kung sakupin namin ang lahat ng mga nakaraang insidente sa seguridad at pagkapribado, narito kami buong araw. Bilang panimulang punto, mayroon kaming:
- Ang iskandalo sa Cambridge Analytica.
- Pag-upo sa data ng gumagamit sa mga awtoridad.
- Maramihang mga paglabag sa data.
Ang mga nasa itaas na isyu ay halos hindi magaspang sa ibabaw ng mga isyu sa privacy at seguridad ng Facebook. Sapat na sabihin, ang Facebook Messenger ay tungkol lamang sa pinakamasama app na maaari mong gamitin kung naghahanap ka ng isang ligtas at pribadong platform.
Kamakailan lamang ipinangako ng Facebook ang isang pagbabago sa direksyon upang maging isang mas nakatuon na kumpanya na nakatuon sa privacy. Nasa ilalim din ito ng isang pangunahing pag-overhaul upang maisama ang WhatsApp, Instagram at Messenger, ngunit mahirap sabihin kung gaano kalaki ang mga pagbabagong ito ay makakaapekto sa mga serbisyo ng kumpanya sa katagalan.
Iba pang mga apps sa pagmemensahe
Binigyan ka namin ng mabilis na rundown ng ilan sa mga pinakatanyag na apps, pati na rin ang ilan na may pinakamahusay na diskarte sa seguridad. Marami pa ang mahuhulog sa alinman sa kategorya, ngunit hindi praktikal na sakupin ang bawat isa.
Kung nais mong suriin ang isang app na hindi namin napag-usapan, tanungin ang mga sumusunod na katanungan:
- Ito ba ay seguridad at nakatuon sa privacy?
- Bukas ba itong mapagkukunan?
- Na-awdit ba ito?
- Ito ba ay itinuturing na mabuti ng komunidad ng seguridad?
- Mayroon bang mga nakaraang insidente sa seguridad? Ang mga menor de edad o pangunahing ito? Na-remedyo na ba sila?
- Ang kumpanya ba ay transparent?
- Nakakatawa ba ito (abangan ang mga buzzword tulad ng blockchain o pag-encrypt na grade-military)?
- Sino ang nagmamay-ari nito? Ano ang kanilang mga motivations?
- Anong modelo ng negosyo ang nagpapanatili nito? Advertising? Pagmimina ng data? Mga subscription? Mga donasyon?
Kung ang application ay makatwirang maayos sa bawat isa sa mga lugar na ito, kung gayon marahil ito ay mapagkakatiwalaan. Gayunpaman, maaari ring maging kapaki-pakinabang na subukan at makahanap ng isang pagsusuri na isinagawa ng isang mapagkakatiwalaang mananaliksik ng seguridad.
Aling naka-encrypt na app ng pagmemensahe ang dapat kong gamitin?
Ang pinakamahusay na diskarte ay ang paggamit ng pinaka-secure na app na praktikal para sa iyong mga pangangailangan sa komunikasyon. Kung ang taong nais mong makipag-usap ay may isang app tulad ng Signal, o nais nilang i-download ito, kung gayon bakit hindi mo ito gagamitin sa halip na isang alternatibo na mag-aangkop sa iyong impormasyon?
Bilang isang magaspang at lubos na debat na gabay (depende sa iyong mga indibidwal na alalahanin), marahil mas mahusay na ibababa ang listahang ito ng mga app sa sumusunod na pagkakasunud-sunod, at gamitin ang una na nababagay sa sitwasyon:
- Signal, Wire, Wickr o isang katumbas na may mataas na seguridad.
- WhatsApp o iMessage.
- Telegram.
- Facebook Messenger.
Dapat mo ring gamitin ang oras upang pag-aralan ang iyong indibidwal na antas ng pagbabanta, pati na rin ang mga panganib ng isang naibigay na pag-uusap o paksa. Makakatulong ito sa iyo na magpasya kung aling app ang pinaka-angkop sa isang naibigay na sitwasyon.
Kung ikaw ay isang target na may mataas na halaga tulad ng Edward Snowden, mas mahusay na palaging manatili sa mas ligtas na pagtatapos ng spectrum. Sa kabilang dako, kung ikaw ay isang lola na nagnanais ng maligayang kaarawan ng iyong mga apo, marahil ay hindi magiging mahusay ang iyong seguridad.
Bakit mo dapat gamitin ang pinaka-secure na app posible?
Ang paggamit ng pinaka-secure na app ay may ilang mga natatanging bentahe:
Pinoprotektahan nito ang iyong data mula sa mga kumpanya, hacker at pagpapatupad ng batas
Ang isang app tulad ng Signal ay napatunayan na hindi mag-imbak ng anumang makabuluhang data ng gumagamit. Nangangahulugan ito na sila hindi kinokolekta ang lahat ng iyong impormasyon at ginagamit ito para sa mga layunin ng advertising o ibenta sa iba. Ang isa pang pangunahing pakinabang ay kung sinubukan ng mga hacker na ma-access ang kanilang mga server, hindi sila lalabas ng anumang kapaki-pakinabang.
Ang karagdagang bentahe ay walang maraming data na maaaring ibigay ng Signal sa pagpapatupad ng batas kapag pinipilit. Mahalaga ito para sa mga aktibista o sa mga nakatira sa mga rehimeng awtoridad ng awtoridad na maaaring hindi patas na target ng mga awtoridad.
Kapag inihambing mo ang isang nakatuon sa seguridad na app sa isang application na bumagsak sa kabilang dulo ng spectrum, tulad ng Facebook Messenger, ang mga pagkakaiba ay nakakagulat. Marahil ang alam ng Facebook tungkol sa iyo kaysa sa iyong Ina, at ginagamit ang impormasyong iyon sa maraming mga nakakagambalang paraan. Marami itong mga paglabag sa data at tila walang pag-aalala tungkol sa paghahatid ng data sa mga awtoridad.
Hindi mo kailangang lumipat ng mga app, & pinoprotektahan ito laban sa hindi sinasadyang pagsisiwalat
Ang isang karaniwang argumento ay ang karamihan sa komunikasyon ay hindi naglalaman ng anumang sensitibo o mahalagang data, kaya bakit abala ang pagprotekta nito? Upang magsimula, ang mga pag-uusap ay may pagkahilig na umalis sa mga tangents at madaling magresulta sa amin na pag-uusap tungkol sa mga paksa na nangangailangan ng seguridad at privacy, lahat bago natin ito napagtanto.
Kung nangyari ito sa isang app tulad ng Facebook Messenger, ang data ay nahuhulog nang diretso sa mga kamay ng kumpanya at maaari ring tapusin ang paggawa ng paraan sa mga hacker o sa mga awtoridad. Kung gumagamit ka na ng isang app na nagpoprotekta sa iyong data, ang mga ganitong uri ng hindi sinasadyang mga slip-up ay hindi gaanong nababahala.
Kapag gumagamit ka ng isang ligtas na app sa pamamagitan ng default, nangangahulugan din ito na ikaw hindi na kailangang magpatuloy sa paglipat ng mga app tuwing darating ang mga sensitibong paksa. Ginagawang madali ang mga bagay at pinoprotektahan ka mula sa pagtalakay sa mga paksang ito sa isang hindi secure na app sa labas ng katamaran.
Kung na-target ka ng mga awtoridad, maaari rin itong magbigay ng karagdagang mga pananggalang. Sabihin natin na isinasagawa mo ang karamihan sa iyong mga pag-uusap sa Facebook Messenger, at kapag may isang bagay na mahalaga, sasabihin mo na “Hayaan ang lumipat sa Signal” sa iyong tatanggap.
Kung kukuha ng mga awtoridad ang iyong mga tala sa Facebook, makikita nila ang iyong madalas na mga sanggunian sa Signal, at pagkatapos ay magtatapos ang pag-uusap. Hindi nila masasabi kung ano ang pinag-uusapan mo sa Signal, ngunit ang impormasyon na ibinigay nila ay nagbibigay sa kanila ng isang magandang magandang hulaan na maaaring sulit na tingnan.
Sinasabi rin nito sa kanila kung sino ang iyong pinag-uusapan tungkol dito at kailan. Minsan, ito ay maaaring maging ang lahat na kailangan ng mga awtoridad upang makakuha ng isang wastong footing para sa kanilang pagsisiyasat.
Maging pragmatiko
Kailanman maaari, subukang kumbinsihin ang iyong mga kaibigan, pamilya at kasamahan na gumamit ng mas ligtas na mga platform ng pagmemensahe. Kung nagsasalita ka tungkol sa isang bagay na sensitibo o mahalaga, dapat mong igiit ang paggamit ng isang naaangkop na secure na aplikasyon.
Kahit na hindi napakahalaga ng mga pag-uusap, mas mahusay na dahan-dahang pilitin ang iyong mga tatanggap sa paggamit ng isang mas ligtas na aplikasyon. Ngunit siguraduhing hindi ka masyadong mahuli sa seguridad at hindi ka makitang ibang bagay na mahalaga.
Kung nais ng isang tao na mag-ayos ng isang hindi nakakapinsalang petsa ng kape sa pamamagitan ng Facebook Messenger, o nais ng iyong pinsan na ipakita sa iyo ang mga larawan ng kanilang aso sa pamamagitan ng platform, marahil ay hayaan mo lamang sila. Ang ilang mga tao ay walang oras o maaaring hindi maunawaan ang pangangailangan para sa seguridad, at sa maraming mga sitwasyon, hindi lamang nagkakahalaga na isakripisyo ang personal na relasyon.
Hangga’t hindi ka si Julian Assange, ang halaga ng pakikipag-ugnayan at pagkakaibigan ay marahil na mas malaki kaysa sa anumang mga pagkalugi na nagmula sa Facebook na hindi mo inaakala na dapat mayroong umiiral na mga frappuccinos, o ang aso ng iyong pinsan ay uri ng lopsided.
Ang mga limitasyon ng mga secure na apps ng pagmemensahe
Kung gagawin mo ang switch sa isang ligtas na serbisyo sa pagmemensahe, madaling mahulog sa ilalim ng ilusyon na ang iyong mga komunikasyon ay hindi tinutukoy ng bala. Hindi sila, at mayroon pa ilang mga paraan na maaaring makompromiso ang iyong data.
Kahit na gumagamit ka ng isa sa mga pinakamahusay na apps doon, ang lahat ng maibibigay nito ay ang pag-encrypt mula sa end-to-end. Nangangahulugan ito na ipasok mo ang data sa application, mai-encrypt, maglakbay sa mga server ng samahan, maihatid sa app ng iyong tatanggap at decrypted, pagkatapos magagamit ang mensahe para ma-access ng iyong tatanggap..
Habang ang iyong data ay magiging ligtas kapag naglalakbay ito sa pagitan ng mga aplikasyon, mahina pa ito bago ito mai-encrypt at sa sandaling nai-decryption ito. Nangangahulugan ito na kung ang iyong aparato o ang iyong tatanggap ay nakompromiso, maaaring ma-access ng isang umaatake ang mga komunikasyon. Ito ang dahilan kung bakit mahalagang mapanatili ang mahusay na kalinisan sa seguridad, upang subukang maiwasan ang pagtatapos ng spyware sa iyong aparato.
Hindi lamang malware na kailangan mong bantayan. Kung gumagamit ka ng isang app na sumusuporta sa iyong mga pag-uusap, marahil hindi ito ginagawa sa isang mataas na antas ng seguridad. Habang ang mga umaatake ay hindi maaaring ma-access ang iyong komunikasyon habang naglalakbay ito mula sa app sa app, maaari silang makakuha ng mga ito sa sandaling ito ay nai-back up.
Ang mga mahina na password ay maaari ring humantong sa iyong data na nakalantad. Kung may makakaalam, hulaan o matapang ang puwersa sa iyo o password ng iyong tatanggap, maaaring ma-access nila ang iyong account at makita ang iyong mga mensahe. Malakas na password at dalawang-factor na pagpapatunay mapapanatili kang ligtas, kahit na dapat kang mag-ingat para sa pag-verify ng SMS dahil hindi sigurado ito.
Ang isa pang pangunahing problema ay ang ikaw o ang iyong tatanggap ay maaaring magtapos sa mga sitwasyon kung saan napipilit mong ibigay ang iyong mga password, o mga detalye tungkol sa napag-usapan. Maaaring makompromiso ang iyong tatanggap mula sa simula, at maaaring ipagbigay-alam sa mga awtoridad o iba pang mga kalaban.
Bilang kahalili, alinman sa inyo ay maaaring magtapos ng pagbabanta ng pagpapatupad ng batas na may mabigat na parusang kulungan, o magbigay sa ilalim ng impluwensya ng pagpapahirap. Ang mga tao ay ibibigay ang maraming impormasyon kapag sila ay wala sa loob.
Habang ang paggamit ng mga app ng seguridad ay napapalayo patungo sa pagprotekta sa iyo, ang iyong data at iyong mga komunikasyon, mayroong ilang matinding mga kalagayan kung saan hindi ito makakatulong. Sa kabila ng posibilidad na ito, ang mga sitwasyong ito ay hindi kapani-paniwalang bihira, at ang karamihan sa mga tao ay dapat makaramdam ng tiwala sa mga pag-iingat na ibinibigay sa kanila ng kanilang mga app, hangga’t ginagamit nila ang mga ito nang naaangkop.