Surespot - это приложение для безопасного обмена сообщениями с открытым исходным кодом для Android и iOS. Отличается надежным шифрованием, которое оно использует (56-битное шифрование AES-GCM с использованием ключей, созданных с помощью 521-битного ECDH), поддержкой длинных сообщений и возможностью самостоятельного уничтожения сообщений. Одна версия Android была установлена ​​100 000 - 500 000 раз. В нашем прошлогоднем обзоре безопасных альтернатив WhatsApp мы пришли к выводу, что,


«SureSpot не поддерживает Perfect Forward Secrecy (хотя новые ключи могут быть сгенерированы в любое время более параноиком), и существует известная уязвимость к атакам MiTM, но в целом это очень безопасное и простое в использовании приложение».

surespot

Однако приложение получило некоторую нежелательную известность, когда британская Daily Mail

«Почта может раскрыть, что британские невесты-джихадисты готовятся онлайн с помощью телефонного приложения, которым управляют крайне левые активисты». После того, как им промывают мозги в Твиттере, вербовщики Исламского государства говорят молодым девушкам общаться с ними с помощью программы для обмена сообщениями под названием Surespot ».

В мае последовала новость на канале 4,

Milit Боевики и сторонники ИГИЛ стекаются в зашифрованные приложения для обмена сообщениями, бросая вызов службам безопасности, которые утверждают, что теряют способность перехватывать данные подозреваемых в терроризме. Расследование, проведенное Channel 4 News, может выявить масштабы использования одного такого зашифрованного мессенджера, который работает как WhatsApp или Facebook Messenger, но с очень высоким уровнем безопасности. По данным расследования, по крайней мере 115 человек, связанных с ИГИЛ, использовали популярное приложение Surespot за последние шесть месяцев ».

Поэтому неудивительно, что приложение могло заинтересовать разведывательные организации, но, похоже, дела пошли еще дальше…

Материнской компанией Surespot 2fours управляли Чери Бердович и Адам Патаччола (хотя Daily Mail сообщает, что Бердович ушел «прошлым летом»). В отличие от некоторых веб-сайтов, посвященных продуктам безопасности, Surespot не управляет канарейкой с ордером, так что Джордж Машке, бывший офицер разведки армии и пользователь Surespot связался с Бердовичем и Патаччолой в мае прошлого года с текущими вопросами,

‘1 - Вы когда-нибудь получали письмо национальной безопасности?

2 - Получали ли вы когда-либо распоряжение суда для информации?

3 - Вы когда-нибудь получали какой-либо другой запрос о сотрудничестве с государственным учреждением?

Он получил ответ от Бердовича, сказав,

«Ответ на все вопросы - нет».

Машке снова написал в ноябре 2014 года, задав те же три вопроса, и получил ответ от Патаччолы (который запрограммировал приложение),

«1 и 2, но по-прежнему нет, 3 мы получили электронное письмо с просьбой предоставить нам повестку в суд, которую мы еще не получили».

Очевидно, заинтригованный этим ответом, Машке снова отправил электронное письмо на следующий день, чтобы спросить «какое агентство или организация ищет подробности о том, как подать повестку в суд». Скорее, он не получил ответа. Он также не получил ответа, когда он отправил те же вопросы в апреле 2015 года, и когда он прислал следующие вопросы в мае,

  1. 2 Получил ли 2fours какой-либо запрос правительства о предоставлении информации о своих пользователях??
  2. Получил ли 2fours какое-либо правительственное требование изменить программное обеспечение клиента surespot??
  3. Получило ли 2fours какое-либо правительственное требование изменить программное обеспечение сервера surespot? Получил ли 2fours какое-либо другое правительственное требование, чтобы облегчить любое электронное прослушивание?
  4. Если ответ на любой из приведенных выше вопросов положительный, вы можете уточнить?

Дальнейшие попытки связаться с Бердовичем и Патаччолой через приложение Surespot также не дали ответа.

В июне председатель Майкл МакКол сказал Комитету по национальной безопасности, что,

«Мобильные приложения, такие как Kik и WhatsApp, а также приложения для уничтожения данных, такие как Wickr и Surespot, позволяют экстремистам общаться вне поля зрения правоохранительных органов».

Позже на слушании, когда его спросили, настаивает ли ФБР на «бэкдор» для защиты от шифрования в программном обеспечении, таком как Surespot, помощник директора ФБР по борьбе с терроризмом Майкл Стейнбах ответил «Нет», но,

Talking Я говорю о посещении компаний, которые могли бы помочь нам получить незашифрованную информацию. И часть атрибуции - важно понимать, что, в зависимости от используемой технологии, это - и это требует, прямо скажем, обсуждения технологии - существуют токены, которые не допускают атрибуции. Так что это не так просто, как просто использовать другие методы или атрибуцию. Иногда такой атрибуции нет.

Хм ... это звучит подозрительно, как если бы, как Ладар Левисон из Лавабита, Surespot был выдан ордер в соответствии с Законом о патриотах, требующий, чтобы он сотрудничал с властями, в то же время добавив кляп-приказ, чтобы помешать владельцам, под страхом тюрьмы, предупреждая своих пользователей о факте.

В то время как г-н Левисон смог закрыть свою компанию и тем самым защитить своих клиентов, этот вариант, вероятно, не был бы доступен Патаччоле (самому Левизону угрожали арестом за его действия).

Конечно, любая такая спекуляция с нашей стороны - просто спекуляция.

Теоретически, тот факт, что Surespot использует сквозное шифрование, делает невозможным слежку за сообщениями пользователей, даже если 3fours действительно было скомпрометировано. Однако неспособность приложения реализовать Perfect Forward Secrecy может обеспечить способ расшифровки сообщений пользователей, а количество метаданных, хранящихся в базе данных Surespot, может дать злоумышленнику ценные подсказки о личности пользователя..

Если бы мы беспокоились о том, что за нашими коммуникациями следят, у нас может возникнуть искушение искать в другом месте приложение для безопасного обмена сообщениями…

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me