Для чиновников разработали мессенджер Depesha. В чем его главная проблема?
Главным преимуществом мессенджера госСМИ называют то, что его серверы находятся в Беларуси. Но на самом деле создатели не гарантируют ни конфиденциальности, ни защиты данных — по крайней мере, проверить это невозможно. Сейчас его по умолчанию поставляют в государственные организации.
Общий обзор мессенджера
Depesha — это обычный мессенджер, каких тысячи в магазинах приложений для любой платформы. Он может делать то, что другие — звонить, писать сообщения и создавать чаты, делать видео и фото, добавлять людей в контакты. Никаких отличительных функций в нем мы не нашли, по крайней мере, на первый взгляд. Сайт разработчика не добавил ясности.
Дизайн мессенджера нормальный, работает программа довольно быстро.
Для того чтобы связаться с другим человеком в мессенджере, нужно прислать ему ссылку или дать отсканировать QR-код, после позвонить ему голосом, предварительно дав программе соответствующие разрешения, и только после можно начинать текстовый диалог.
Что происходит в этот момент внутри мессенджера и в чем смысл такого способа связи — непонятно.
По заявлениям разработчиков, он может работать и без интернета, «на базе сетей передачи данных мобильных операторов». Непонятно, как это реализовано, ведь для того, чтобы передавать данные, все равно нужна какая-то сеть. Возможно, имеется в виду, что даже в случае отключения внешнего шлюза интернета, как в августе 2020-го, операторы будут разрешать связываться пользователям мессенджера внутри Беларуси, и этот механизм заложен в код программы.
Примечательно, что, судя по информации с сайтов операторов связи, мессенджер Depesha сейчас подключают вместе с услугами интернета для всех государственных органов. На сайте компании A1 написано, что «абонентам юрлиц, которые являются государственными организациями, сервис «Доступ к Depesha» подключается по умолчанию».
Мессенджер запрещает делать с него скриншоты в любой форме, поэтому мы делали фото экрана. Собственноручно проверять то, как работает мессенджер, не специалистам мы не советуем.
Безопасность мессенджера
Преимущество, которое потенциально есть у мессенджера, — это то, что для регистрации в нем не используется телефонный номер. Аккаунт создается и удаляется за считанные секунды.
Да и email может быть фейковым, так как нет никакой проверки, все, что приходит вам в ответ, — сообщение об успешной регистрации.
В мессенджере нельзя настроить почти ничего из безопасности. Можно только создать код-пароль на вход и запретить показ имени пользователя при пересылке сообщений. Других настроек безопасности там нет.
Программа запрашивает много разрешений — помимо доступа к памяти и вызовам, это доступ к поиску ближайших устройств, к камере, микрофону и контактам. Также мессенджер настоятельно просит разрешить программе игнорировать настройки сохранения заряда аккумулятора и разрешение загружаться поверх всех окон.
Это не было бы проблемой, но трудно доверять программе Depesha с учетом того, что она не прошла никаких публичных аудитов безопасности.
Во время включения мессенджера пишут, что и без того относительно небогатые функции мессенджера в ближайшее время будут ограничены. Неизвестно, что это значит и чего нас лишат разработчики.
Вся информация от мессенджера, судя по анализатору трафика, идет на серверы Depesha, расположенные в сети МТС. Вызовы также совершаются через те серверы.
Таким образом, действительно все данные в программе передаются на серверы в Беларуси и невозможно собственноручно проверить, какие данные хранятся на сервере и в каком объеме.
Там могут быть как все диалоги и звонки, так и только служебная информация.
Создатели мессенджера при этом заявляют, что никаких данных на серверах не хранят, а после удаления аккаунта все данные безвозвратно уничтожаются.
Шифрование в мессенджере
Создатели уверяют, что используют «систему шифрования PAZL».
Какое-то шифрование у Depesha действительно есть. Судя по тому, как передается трафик программы, это некая имплементация AES.
При этом есть несколько больших «но». Во-первых, код программы закрыт и не проходил никаких публичных аудитов. Во-вторых, в анонсе программы много раз подчеркивается, что мессенджер создан для передачи информации, которая «не нарушает законодательство Беларуси». Это значит, что туда может быть заложен механизм проверки того, нарушает ли ваша переписка законодательство, и компания не обязана об этом предупреждать.
К тому же, например, для создания код-пароля мессенджера и отпечатка пальца, судя по внешнему виду, используется библиотека, взятая прямо из интернета. Ее безопасность, судя по публичным сведениям, никем не проверена.
Используются там, похоже, и другие пакеты из интернета (мы нашли похожие на Github), безопасность которых тоже под вопросом.
Полный отказ от ответственности
В пользовательском соглашении компания Fox3 полностью отказывается от любой ответственности. Мол, данные для регистрации можно выдумать, поэтому компания не обрабатывает персональные данные пользователей, кроме тех, которые они внесут в программу собственноручно. Значит, и защищать ничего не обязана.
Также она не обещает, что в программе нет вирусов, а телефон не будет поврежден вирусами, если ее скачать. И что коммуникация вообще защищена в вашем конкретном случае. В случае ваших потерь во время использования мессенджера она также не несет никакой ответственности. То есть компания не обещает совсем ничего.
В тот же момент, как пишет beCloud, программа «полностью соответствует требованиям охраны информации, которые изложены в указе Лукашенко от 01.02.2010 № 60». Никакой конкретики по техническим характеристикам по охране информации в нем нет. Зато в этом указе есть ограничения.
Например, там написано, что «сведения о ресурсах национального сегмента сети Интернет предоставляются на бесплатной основе Министерству информации, органам, занимающимся оперативно-розыскной деятельностью, органам прокуратуры и предварительного следствия, органам КГБ, налоговой, судам, органам принудительного исполнения для выполнения возложенных на них задач и функций».
Depesha позиционируется как часть этого самого национального сегмента.
«350 тысяч пользователей»
Создатели мессенджера пишут, что «его попробовали уже 350 тысяч пользователей». Но это, похоже, преувеличение.
В гугл-плей программу скачали «более 10 тысяч пользователей» — то есть до 20 тысяч человек. Отзывы в AppStore выглядят странно, как будто они заказаны или подделаны. Например, один из пользователей утверждает, что мессенджер «изменил его жизнь».
Даже если учитывать, что Depesha принудительно поставляется при подключении государственных органов к интернету, то общая цифра малореальна.
А что в остатке?
Depesha — это мессенджер, безопасность которого никак невозможно проверить, данные из которого хранятся в Беларуси вместе со всей инфраструктурой программы. Мы не советуем нашим читателям использовать его для безопасной коммуникации, потому что не можем гарантировать, что он действительно защищает ваши сведения хоть каким-то образом.
«Наша Нiва» — бастион беларущины
ПОДДЕРЖАТЬМессенджеры: какие из них действительно безопасны и чем Viber лучше Telegram
Скандал в мире безопасности: мессенджер, обещавший «сверхбезопасность», хранил данные пользователей доступными для всех и позволяет расшифровать сообщения
Element: что за мессенджер, которым пользуются Бундесвер, финны и белорусская оппозиция
Комментарии