Особо опасны. Что не так с проектами Facebook и почему они настолько уязвимы

«Секрет фирмы» разбирался, какие риски есть у пользователей сервисов корпорации Марка Цукерберга и почему компания не способна окончательно справиться с уязвимостями.

Ахиллесова пята Цукерберга

Одну из самых серьёзных уязвимостей Facebook выявили в 2018 году. Она пряталась в коде функции «Посмотреть как», позволяющей взглянуть на свою страницу глазами других людей. Пользуясь недоработкой кода, хакеры похищали цифровые ключи. С их помощью можно было получить доступ к чужим аккаунтам. В итоге компания отключила небезопасную функцию и предложила пользователям пройти повторную авторизацию.

Другую уязвимость в том же 2018 году обнаружил Рон Масас из компании Imperva. Он заявил, что страницы с результатами поиска включают в себя iFrame — специальные элементы, позволяющие использовать разные виджеты. Они не были защищены от хакерских атак. Преступникам надо было только разослать пользователям ссылки, заставив их перейти на специальный сайт. И всё: хакеры получали личные фотографии, могли найти разные записи пользователя по ключевым словам, видели даже закрытый список друзей. Недоработку быстро устранили.

Более опасная уязвимость скрывалась в функции «войти через Facebook» — её обычно используют для обмена данными профиля в соцсети и сторонними сайтами. Оказалось, что преступники могут перехватить данные авторизации и захватить учётки пользователей. Эту уязвимость обнаружили только в 2020 году и сразу же устранили. Программисты потом признались: она существовала на протяжении 10 лет. Сколько аккаунтов взломали за это время — неизвестно.

Часто Facebook обвиняют и в более тяжёлых «грехах». Например, в жадности: компания якобы вкладывает недостаточно средств в резервирование каналов связи и центров обработки данных (ЦОД). Простыми словами, для того чтобы серверы работали бесперебойно, надо потратить миллионы на создание новых дата-центров. Иначе они могут просто сломаться — «упасть».

Ещё одним слабым местом Facebook, настоящей его ахиллесовой пятой, считают слишком большую централизованность. Все серверы корпорации, среди которых есть и сервисы WhatsApp и Instagram, хранятся в одном месте. В Facebook объясняют это тем, что всё это нужно для лучшего взаимодействия приложений.

Генеральный директор компании Telecom Daily Денис Кусков считает, что слишком сильная централизация и привела к эффекту домино во время «цифрового конца света». «Получилась ситуация: какой-то один элемент дал сбой — и вслед за ним рухнуло вообще всё. Facebook сегодня стал глобальной компанией, но, как видим, неповоротливой», — сказал эксперт в комментарии «Секрету фирмы».

Бывший советник президента РФ по развитию интернета, председатель совета Фонда развития цифровой экономики Герман Клименко добавил, все крупные компании сегодня стараются выстроить централизованную структуру своих серверов.

Эксперт считает, что в будущем и в России, и на Западе появится закон, регулирующий работу цифровых экосистем. В нём будет оговорено, что некоторые элементы экосистемы должны быть самостоятельными — например, DNS-сервера. Компании обязаны будут пользоваться внешними серверами. Тогда в случае ЧП работать перестанет только один сервер, а не все сразу.

Оба эксперта заключают, что централизация в интернете может быть опасна, она противоречит самой его сути. Однако крупные корпорации в погоне за снижением объёма издержек и полном контроле над бизнесом игнорируют эти риски.

Метаданные для Большого Брата

Не лучше с защитой обстоят дела и у WhatsApp. У мессенджера есть ряд проблем с кодированием информации. Во время отправки сообщений приложение использует сквозной способ шифрования. Это значит, что доступ к сообщениям имеют только отправитель и получатель. Перехватить «месседж» нельзя. Но есть одно большое но. Долгое время сообщения в резервных копиях, которые предлагает делать WA, не были зашифрованы. При желании любой злоумышленник мог прочитать все «зашифрованные» переписки. 14 октября разработчики приложения [заявили] (https://about.fb.com/news/2021/10/end-to-end-encrypted-backups-on-whatsapp/), что решили устранить этот недостаток.

Но на этом не всё. Ряд аналитиков обвиняют Цукерберга и вовсе в том, что сквозное шифрование не работает. 7 сентября издание ProPublica опубликовало резонансное исследование. Его авторы пришли к выводу, что данные в WhatsАpp на самом деле не зашифрованы и у Facebook есть к ним доступ. Журналисты обнаружили более 1000 сотрудников корпорации, отслеживающих сообщения в мессенджере, на которые жаловались пользователи. Фактически речь шла о модерировании личных переписок.

Также ProPublica обвинили корпорацию в сборе метаданных пользователей WhatsАpp — картинок, номеров телефонов, часовых поясов и даже IP-адресов. Куда они потом передавались? Журналисты ProPublica утверждают, что прямиком к американским силовикам.

Президент компании «Ашманов и партнёры» Игорь Ашманов пояснил, что метаданные собирает не только WA, но и все компании. Потом их или продают, или анализируют и используют, например, для повышения эффективности маркетинга. Могут эти данные передаваться и спецслужбам.

«Большой проблемой стала нелегальная торговля метаданными. В даркнете появились так называемые "биржи инсайдеров", где вербуют людей. Потом эти "агенты" сливают данные компании, полученные изнутри», — рассказал Ашманов.

По словам эксперта по кибербезопасности в «Лаборатории Касперского» Виктора Чебышева, часто метаданные используются и для «добрых дел». Например, для улучшения качества работы сервиса. Как правило, эта информация носит обезличенный характер. Хотя в некоторых случаях, например, если один пользователь WhatsApp пожаловался на другого, службам безопасности мессенджера передаётся фрагмент переписки — для изучения инцидента.

Программисты выявляли у WA и другие серьёзные недоработки. Так, в 2019 году всплыла критическая ошибка, позволявшая хакерам похищать защищённые сообщения из чатов мессенджера и разные файлы. Жертвам рассылали файлы МР4. Если пользователь их открывал, на телефон грузилась шпионская программа, ворующая данные.

В 2020 году программист из Индии объявил, что телефоны пользователей WhatsApp находятся в открытом доступе, их можно найти в Google. Недоработки были в функции Click to Chat, позволявшей общаться со знакомыми в мессенджере, просканировав QR-код. В результате этих действий каждому аккаунту присваивался уникальный код. В нём и содержался телефонный номер пользователя.

Картинки с сюрпризом

Instagram также сталкивался с серьёзной критикой в свой адрес. Правда, таких же громких скандалов, как вокруг Facebook и WhatsАpp, с ним пока не было. Однако несколько лет программистам пришлось прикрывать одну неприятную недоработку. Выяснилось, что посторонние могут легко просматривать фотографии в этой социальной сети даже в закрытых аккаунтах. Для этого достаточно было посмотреть код страницы и выбрать вкладку Network на самом сервисе.

Другую более серьёзную уязвимость в прошлом году обнаружили эксперты Check Point. Она позволяла захватывать учётную запись пользователя и превращать смартфон в шпионское устройство. Жертвам отправляли вирусные картинки. Пользователи, просмотрев это изображение, невольно скачивали его (и вредоносный код) к себе на телефон. После того, как они открывали Instagram, программа начинала работать. Хакер получал доступ ко всем фотографиям и сообщениям жертвы. Он мог даже скопировать контакты из телефона и увидеть геолокацию владельца телефона. Программисты решили эту проблему ещё в 2020 году. Как оказалось, причина крылась в том, что Instagram работает со сторонними библиотеками при обработке изображений.

Схожую проблему вскрыл специалист по кибербезопасности Лаксман Мутийя. Уязвимость была в процессе восстановления пароля от аккаунта. Пользователю на почту приходит письмо с просьбой подтвердить смену пароля, в нём содержится специальный код. По словам Мутийя, этот код можно подобрать: для этого надо 5000 IP-адресов, с каждого из которых надо отправить по 200 000 запросов. Сделать это несложно, преступнику потребуется всего $150.

Также в 2020 году стало известно о проблеме в защите социальной сети, которая позволяла вести слежку за пользователями через камеру телефона. С ней столкнулись только пользователи айфонов. Они заметили, что, когда смотрели фотографии в телефоне, у них срабатывал индикатор работающей камеры. В Instagram тогда заявили, что это была ошибка, которую удалось устранить.

Некоторые уязвимости у Instagram удавалось находить даже детям. Так, 10-летний мальчик из Финляндии Яни получил суперспособность: он научился удалять чужие комментарии в социальной сети. Проблема крылась в некорректной работе интерфейса API.

Цена ошибки

От ошибок и всевозможных уязвимостей страдает не только Facebook, но и менее крупные компании — многочисленные клоны самой популярной социальной сети и её проектов. Так, у аналога WhatsАpp, Viber, в 2017 году была обнаружена серьёзная уязвимость. Если разговор двух пользователей мессенджера прерывал звонок по телефону и один из абонентов переключался на него, то второй человек мог его подслушать. Для этого не надо было использовать никаких шпионских программ, достаточно было только два раза нажать на кнопку «Удержание».

Чебышев обратил внимание, что любой код пишут люди, не застрахованные от ошибок. При этом неважно, какой язык программирования использовался при написании кода. Хакеры, если они готовы тратить на поиск уязвимостей, всегда их обнаружат, им всё равно, какую из социальных сетей ломать, заключил эксперт.

Во время «цифрового коллапса» ряд аналитиков озвучили мнение, что китайские мессенджеры и социальные сети — Kuaishou, QZone, Sino Weibo, — работавшие без сбоев, могут быть лучше защищены. Однако, как пояснил Герман Клименко, это не так.

«Почему "падали" вслед за Facebook и Whatsapp альтернативные мессенджеры и социальные сети (пользователи жаловались также на сбои в работе Telegram, Twitter, Gmail, TikTok, YouTube, Tinder, Viber, Snapchat, Netflix и Zoom. — Прим. ред.)? Всё просто. Люди переходили из Facebook и WhatsАpp на другие каналы. А серверы не были готовы к тому, что трафик внезапно вырастет в разы. Поэтому они переставали работать. В Китае же и Facebook, и WhatsАpp запрещены. На деле никакого перераспределения трафика там не было. Люди как сидели в доступных в КНР мессенджерах и соцсетях, так и остались там же», — заключил Клименко.

Игорь Ашманов добавил, что «сверхзащищённых» мессенджеров не бывает. Он напомнил про мессенджер Anom, считавшийся раньше самым надёжным. Продуктом начали пользоваться преступники — грабители, наркоторговцы. Всех их, более 800 человек, через три года задержали полицейские. Оказалось, что мессенджер был создан ФБР.

«Поэтому я бы призадумался, когда какой-то продукт рекламируют как суперзащищённый. Никакой мессенджер сегодня не может быть таким. В сети есть множество троянских приложений, способных считывать данные с акселерометров телефона. Все эти данные преступники перехватывают ещё до того, как сообщение отправляют через мессенджер», — отметил Ашманов.

Эксперты также пояснили, что безопасность сервера обычно никак не связана с числом выявленных у него уязвимостей. По словам Германа Клименко, в интернете нет безошибочных программ. Поэтому важнее другой показатель: скорость, с которой разработчик выявляет и устраняет уязвимости, считает директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов.

Крупные компании могут устранять ошибки на своих серверах в течение нескольких часов. В то время как небольшим компаниям подчас требуется гораздо больше времени. Часто последние не рассказывают о всех выявленных уязвимостях. Однако от этого их продукт не становятся безопаснее.

Поэтому, несмотря на все недоработки, называть Facebook самой незащищённой компанией нельзя. Но до полного устранения всех багов, когда пользователи смогут почувствовать себя в безопасности, ему пока далеко. Так что в ближайшее время человечество вполне может ждать повторение «компьютерного апокалипсиса».

Коллаж: «Секрет фирмы», depositphotos.com, www.pngwing.com, Unsplash, [Unsplash License] (https://unsplash.com/license), Pexels, Pexels License