Больше не самый безопасный? Как работает мессенджер Signal и какие лазейки в нем ищет Россия

15 мая, 20:00
Signal — преимущества и недостатки мессенджера (Фото: Signal)

Signal — преимущества и недостатки мессенджера (Фото: Signal)

Российские хакеры все чаще атакуют пользователей в Signal — недавно под удар едва не попал даже киберспециалист Amnesty International. Значит ли это, что мессенджер далеко не так безопасен, как его рисуют?

Как работает Signal

Signal — это мессенджер со сквозным шифрованием для сообщений, голосовых звонков и видеосвязи. Его создатели строили сервис так, чтобы доступа к переписке не имели даже они сами.

Реклама

Как работает сквозное шифрование? Фишка сервиса — это Signal Protocol, система шифрования, которую позже позаимствовали WhatsApp и Facebook Messenger. Для каждого сообщения создается отдельный ключ, который удаляется после использования. Благодаря этому компрометация одного ключа не поможет злоумышленнику прочитать ни старые, ни будущие переписки.

Чтобы переписка началась, мессенджер создает несколько типов ключей — долгосрочный, предварительный и набор временных одноразовых. Частные части этих ключей остаются на устройстве пользователя, а на сервер отправляются только публичные данные, необходимые для старта зашифрованного разговора.

Такая система обеспечила Signal репутацию одного из самых надежных инструментов частной связи. Впрочем, имеет он и слабые места.

Что не так с Signal

Разработчики уверяли, что Android-версия мессенджера поддерживает воспроизводимые сборки — подход, при котором любой может собрать APK из открытого кода и проверить, соответствует ли он тому, который распространяется через Google Play или сайт Signal.

Но на практике выяснилось, что не все так гладко. В мае 2024 года исследовательница безопасности Фей Стегерман обнаружила, что APK, собранные по предоставленным Signal инструкциям, в некоторых файлах не совпали с официальными.

В то же время Стегерман была осторожной в выводах. «Я не нашла никаких доказательств каких-либо компромиссов. Некоторые разногласия все еще остаются невыясненными, но все, что я нашла, кажется безвредным», — отметила она. «Я разочарована, что воспроизводимые сборки не работают уже несколько месяцев, но у меня нет никаких оснований сомневаться в безопасности Signal».

Также Signal зависит от внешней инфраструктуры. Мессенджер частично работает на Amazon Web Services и других крупных облачных платформах, а для проверки телефонных номеров использует сторонних провайдеров, в частности Twilio.

В августе 2022 года такая зависимость вылезла Signal боком. Тогда Twilio подверглась фишинговой атаке. За атакой стояла хакерская группа 0ktapus: она разослала сотрудникам Twilio SMS-сообщения, якобы от ИТ-отдела компании. В них предлагалось войти в систему через фейковый портал. Как только сотрудники вводили свои данные, хакеры получали доступ к внутренним системам Twilio — а значит, и к SMS с кодами верификации, которые Twilio присылал этим пользователям.

В ответ Signal отменил регистрацию потенциально пострадавших пользователей на всех устройствах, которые они использовали на тот момент или на которые их могли зарегистрировать злоумышленники, и призвал их повторно зарегистрировать Signal со своим номером телефона. В компании подчеркнули: история сообщений, списки контактов, данные профиля и заблокированные контакты не пострадали, ведь мессенджер не хранит эту информацию на своих серверах.

А в октябре 2025 года в работе AWS произошел масштабный сбой. В результате ряд сервисов по всему миру, завязанных на AWS, не могли нормально работать несколько часов. Среди них — и Signal: в течение сбоя пользователи жаловались на перебои с доставкой сообщений и звонками.

Критики, включая Илона Маска, сразу использовали это как аргумент против мессенджера. «Я больше не доверяю Signal», — написал миллиардер в своей сети X.

В дополнение Маск репостнул сообщение Кунала Ганди, одного из руководителей ИИ-криптоагента HeyElsa. Тот написал в адрес Signal: «Почему сбой AWS на вас повлиял? Я думал, вы децентрализованы?»

Что интересно, за неделю до инцидента проблему Signal прокомментировал соучредитель Matrix (протокола с открытым кодом для децентрализованной и безопасной связи) Мэтью Ходжсон.

«Signal — это отличный мессенджер с высоким уровнем конфиденциальности и шифрования, но он построен на централизованной системе, базирующейся в США. Сервис, который существует только в одном месте, гораздо легче заблокировать или атаковать», — сказал тогда Мэтью Ходжсон изданию TechRadar. Его слова оказались пророческими.

Стоит ли отказаться от Signal

Но, несмотря на инциденты, Signal остается едва ли не самой безопасной среди массово доступных платформ для защиты переписки. В разные годы его шифрование подтвердили ведущие криптографы, например Мэтью Грин из Университета Джонса Хопкинса. А министр цифровой трансформации Украины Михаил Федоров в 2023 году называл Signal лучшим и самым защищенным мессенджером в Украине.

«[Signal] является золотым стандартом в отрасли не без причины, а именно потому, что его проверили, подтвердили и он выдержал испытание временем, — так президент Signal Foundation Мередит Виттекер ответила на сообщение Илона Маска о недоверии. По ее словам, более 3 миллиардов людей ежедневно общаются с помощью сервисов на основе протокола Signal.

Хакеры из России и других стран, собственно, и не пытаются взломать сам протокол шифрования. Зато — обходят его через человеческий фактор, то есть невнимательность самих пользователей.

Как мы уже писали, в марте нидерландские спецслужбы предупредили о глобальной кампании россиян против пользователей Signal, в том числе правительственных чиновников, военных и журналистов. Хакеры выдавали себя за службу поддержки Signal и писали жертвам о якобы «подозрительной активности», «утечке данных» или попытках получить доступ к частной информации. Далее — просили передать SMS-код верификации и PIN. Эти данные позволяли злоумышленникам перерегистрировать аккаунт или привязать к нему контролируемое устройство.

А в этом месяце целью атаки стал Доннча О’Карбейлл, руководитель Security Lab Amnesty International, который исследует шпионское ПО. Он получил сообщение от фейкового чатбота с требованием пройти «проверку» и передать код.

О’Карбейлл понял, что это попытка захвата аккаунта, и использовал ее для расследования более широкой кампании. По словам исследователя, он обнаружил более 13,5 тысячи целей, а также систему ApocalypseZ, которая позволяла массово рассылать фишинговые сообщения с минимальным ручным контролем. Интерфейс и кодовая база этой системы были на русском, переписка жертв переводилась на этот же язык.

Для безопасной переписки в Signal стоит:

  • Скрыть номер телефона. В Signal можно ограничить, кто видит ваш номер, и пользоваться именем пользователя. Это уменьшает риск атак.
  • Не передавать коды и PIN. Signal не просит пользователей отправлять SMS-коды, PIN или QR-коды. Такие сообщения почти наверняка являются фишингом.
  • Включить блокировку регистрации. Это делается в меню Настройки > Аккаунт > Блокировка регистрации (Registration Lock). Тогда для повторной регистрации аккаунта понадобится не только SMS-код, но и PIN.
  • Проверять привязанные устройства. В разделе Связанные устройства (Linked Devices) удалите все, чего не узнаете. Чужое устройство может дать злоумышленнику доступ к новым сообщениям.
  • Включить блокировку экрана. Защитите само приложение PIN-кодом, паролем или биометрией. Это поможет, если кто-то получит физический доступ к телефону.
Показать ещё новости