Для чыноўнікаў распрацавалі месенджар Depesha. У чым яго галоўная праблема?
Галоўнай перавагай месенджара дзяржСМІ называюць тое, што ягоныя серверы знаходзяцца ў Беларусі. Але насамрэч стваральнікі не гарантуюць ні прыватнасці, ні абароны звестак — прынамсі, праверыць гэта немагчыма. Цяпер яго па змоўчанні пастаўляюць у дзяржаўныя арганізацыі.
18.09.2024 / 10:56
Лагатып месенджара Depesha. Фота: becloud.by
Агульны агляд месенджара
Depesha — гэта звычайны месенджар, якіх тысячы ў крамах праграм для любой платформы. Ён можа рабіць тое, што іншыя — званіць, пісаць паведамленні і ствараць чаты, рабіць відэа і фота, дадаваць людзей у кантакты. Аніякіх адметных функцыяў у ім мы не адшукалі, прынамсі, на першы погляд. Сайт распрацоўшчыка не дадаў яснасці.
Стартавае акно праграмы Depesha. Фота смартфона з адкрытай праграмай
Дызайн месенджара нармальны, працуе праграма даволі хутка.
Для таго, каб звязацца з іншым чалавекам у месенджары, трэба спачатку неяк даслаць яму спасылку або даць адсканаваць QR-код, пасля пазваніць яму голасам, папярэдне даўшы праграме адпаведныя дазволы, а толькі пасля можна пачынаць тэкставы дыялог.
Што адбываецца ў гэты момант унутры месенджара і ў чым сэнс такога спосабу сувязі — незразумела.
Экран, на якім можна запрасіць чалавека ў кантакты. Сярод магчымасцяў — даслаць уласную спасылку або даць чалавеку адсканаваць QR-код
Па заявах распрацоўшчыкаў, месенджар можа працаваць і без інтэрнэту, «на базе сетак перадачы даных мабільных аператараў». Незразумела, як гэта рэалізавана, бо для таго, каб перадаваць звесткі, усё адно патрэбная нейкая сетка. Магчыма, маецца на ўвазе, што нават у выпадку адключэння знешняга шлюза інтэрнэта, як у жніўні 2020-га, аператары будуць дазваляць звязвацца карыстальнікам месенджара ўнутры Беларусі, і гэты механізм закладзены ў код праграмы.
Адметна, што, мяркуючы па інфармацыі з сайтаў аператараў сувязі, месенджар Depesha цяпер падключаюць разам з паслугамі інтэрнэта для ўсіх дзяржаўных органаў. На сайце кампаніі A1 напісана, што «абанентам юрасобаў, якія з'яўляюцца дзяржаўнымі арганізацыямі, сэрвіс «Доступ да Depesha» падключаецца па змоўчанні».
Месенджар забараняе рабіць з яго скрыншоты ў любой форме, таму мы рабілі фота экрана. Уласнаручна правяраць тое, як працуе месенджар, не спецыялістам мы не раім.
Бяспека месенджара
Перавага, якую патэнцыйна мае месенджар — гэта тое, што для рэгістрацыі ў ім не выкарыстоўваецца тэлефонны нумар. Акаўнт ствараецца і выдаляецца за лічаныя секунды.
Ды і email можа быць фэйкавым, бо няма аніякай праверкі. Усё, што прыходзіць вам у адказ — паведамленне пра паспяховую рэгістрацыю.
Тое, што прыходзіць вам на email пасля рэгістрацыі
У месенджары нельга наладзіць амаль нічога з бяспекі. Можна толькі стварыць код-пароль на ўваход ды забараніць паказ імя карыстальніка пры перасылцы паведамленняў. Іншых наладаў бяспекі там няма.
Усе налады прыватнасці, якія прапануе праграма. Фота экрана смартфона з праграмай
Праграма просіць шмат дазволаў — акрамя доступу да памяці і званкоў, гэта доступ да пошуку бліжэйшых прыладаў, да камеры, мікрафона і кантактаў. Таксама ён настойліва просіць дазволіць праграме ігнараваць налады захавання зараду акумулятара і дазвол загружацца паверх усіх вокнаў.
Гэта не было б праблемай, але цяжка давяраць праграме Depesha з улікам таго, што яна не прайшла ніякіх публічных аўдытаў бяспекі.
Адзін з дазволаў, якія просіць Depesha. Фота смартфона з адкрытай праграмай
Падчас уключэння месенджара пішуць, што і без таго адносна небагатыя функцыі месенджара ў найбліжэйшы час будуць абмежаваныя. Невядома, што гэта значыць і чаго нас пазбавяць распрацоўшчыкі.
Уся інфармацыя ад месенджара, мяркуючы па аналізатары трафіка, ідзе на серверы Depesha, размешчаныя ў сетцы МТС. Званкі таксама здзяйсняюцца праз тыя серверы.
Такім чынам, сапраўды ўсе даныя ў праграме перадаюцца на серверы ў Беларусі і немагчыма ўласнаручна праверыць, якія звесткі захоўваюцца на серверы і ў якім аб'ёме.
Там могуць быць як усе дыялогі і званкі, так і толькі службовая інфармацыя.
Стваральнікі месенджара пры гэтым заяўляюць, што ніякіх звестак на серверах не захоўваюць, а пасля выдалення акаўнта ўсе звесткі беззваротна знішчаюцца.
Прыклад таго, куды перадаюцца даныя ў месенджары Depesha
Шыфраванне ў месенджары
Стваральнікі запэўніваюць, што выкарыстоўваюць «сістэму шыфравання PAZL».
Нейкае шыфраванне ў Depesha сапраўды ёсць. Мяркуючы па тым, як перадаецца трафік праграмы, гэта нейкая імплементацыя AES.
Пры гэтым ёсць некалькі вялікіх «але». Па-першае, код праграмы закрыты і не праходзіў ніякіх публічных аўдытаў. Па-другое, у анонсе праграмы шмат разоў падкрэсліваецца, што месенджар створаны для перадачы інфармацыі, якая «не парушае заканадаўства Беларусі». Гэта значыць, што туды можа быць закладзены механізм праверкі таго, ці парушае ваша перапіска заканадаўства, і кампанія не абавязаная пра гэта папярэджваць.
Да таго ж, напрыклад, для стварэння код-пароля месенджара і адбітка пальца, мяркуючы па знешнім выглядзе, выкарыстоўваецца бібліятэка, узятая проста з інтэрнэту. Яе бяспечнасць, мяркуючы па публічных звестках, нікім не правераная.
Элемент сканавання адбіткаў пальцаў і ўстаноўкі пароля ў праграме, які, падобна, выкарыстоўвае Depesha. Скрыншот з Github
Выкарыстоўваюцца там, падобна, і іншыя пакеты з інтэрнэта (мы адшукалі падобныя на Github), бяспечнасць якіх таксама пад пытаннем.
Поўная адмова ад адказнасці
У карыстальніцкім пагадненні кампанія Fox3 цалкам адмаўляецца ад любой адказнасці. Маўляў, звесткі для рэгістрацыі можна выдумаць, таму кампанія не апрацоўвае персанальныя звесткі карыстальнікаў, акрамя тых, якія яны ўнясуць у праграму ўласнаручна. Значыць, і абараняць нічога не абавязаная.
Таксама яна не абяцае, што ў праграме няма вірусаў, а тэлефон не будзе пашкоджаны вірусамі, калі яе спампаваць. І што камунікацыя ўвогуле абароненая ў вашым канкрэтным выпадку. У выпадку вашых стратаў падчас выкарыстання месенджара яна таксама не нясе ніякай адказнасці. То-бок кампанія не абяцае зусім нічога.
У той жа момант, як піша beCloud, праграма «цалкам адпавядае патрабаванням аховы інфармацыі, якія выкладзеныя ва ўказе Лукашэнкі ад 01.02.2010 № 60». Ніякай канкрэтыкі па тэхнічных характарыстыках па абароне інфармацыі ў ім няма. Затое ў гэтым указе ёсць абмежаванні.
Напрыклад, там напісана, што «звесткі пра рэсурсы нацыянальнага сегмента сеткі Інтэрнэт даюцца на бясплатнай аснове Міністэрству інфармацыі, органам, якія займаюцца аператыўна-вышукавай дзейнасцю, органам пракуратуры і папярэдняга следства, органам КДБ, падатковай, судам, органам прымусовага выканання для выканання ўскладзеных на іх задачаў і функцыяў».
Depesha пазіцыянуецца як частка гэтага самага нацыянальнага сегмента.
«350 тысяч карыстальнікаў»
Стваральнікі месенджара пішуць, што «яго паспрабавалі ўжо 350 тысяч карыстальнікаў». Але гэта, падобна, перабольшанне.
Скрыншот старонкі месенджара ў Google Play
У гугл-плэй праграму спампавалі «больш за 10 тысяч карыстальнікаў» — то-бок да 20 тысяч чалавек. Водгукі ў AppStore выглядаюць дзіўна, быццам яны замоўленыя ці падробленыя. Напрыклад, адзін з карыстальнікаў сцвярджае, што месенджар «змяніў яго жыццё».
Адзін з водгукаў. Скрыншот з AppStore
Нават калі ўлічваць, што Depesha прымусова пастаўляецца пры падключэнні дзяржаўных органаў да інтэрнэта, то агульная лічба маларэальная.
А што ў астатку?
Depesha — гэта месенджар, бяспеку якога ніяк немагчыма праверыць, звесткі з якога захоўваюцца ў Беларусі разам з усёй інфраструктурай праграмы. Мы не раім нашым чытачам выкарыстоўваць яго для бяспечнай камунікацыі, бо не можам гарантаваць, што ён сапраўды абараняе вашы звесткі хоць нейкім чынам.
Месенджары: якія з іх сапраўды бяспечныя і чым Viber лепшы за Telegram
Element: што за месенджар, якім карыстаюцца Бундэсвер, фіны і беларуская апазіцыя