메시징 애플리케이션은 우리가 매일 사용 하는 가장 중요한 앱 중 하나입니다. (the )전 세계의 가족 및 친구(family and friends) 와 연락을 유지 하거나, 동료에게 연락하거나, 비즈니스 운영을
하기 위해 WhatsApp , iMessage, Skype 및 Facebook Messenger와(Skype and Facebook Messenger) 같은 메시징 앱은 일상 커뮤니케이션에서 중요한 역할을 합니다.
우리는 종종 개인 사진, 비즈니스 비밀 및 메시징 앱의 법적 문서, 잘못된 사람들에게 제공하고 싶지 않은 정보 등을 공유합니다. 그러나 모든 기밀 메시지와 민감한 정보를 보호하기 위해 메시징 앱을 어디까지 신뢰할 수 있습니까?
다음은 즐겨 사용하는 메시징 앱(messaging app) 이 제공할 보안 수준을 평가하는 데 도움이 되는 몇 가지 지침입니다.
암호화에 대한 몇 마디
물론 모든 메시징 플랫폼은 데이터를 암호화한다고 공언합니다. 암호화는 수학 방정식을 사용하여 전환 중인 데이터를 스크램블하여 도청자가 메시지를 읽을 수 없도록 합니다.
적절한 암호화는 메시지를 보낸 사람과 받는 사람만 메시지 내용을 인식하도록 합니다. 그러나 모든 유형의 암호화가 동일하지는 않습니다.
가장 안전한 메시징 앱(messaging apps) 은 종단 간 암호화( E2EE )를 제공하는 앱입니다. E2EE
앱 은 사용자 장치에만 암호 해독 키를 저장 합니다. (store decryption)E2EE 는 도청자로부터 통신을 보호할 뿐만 아니라 애플리케이션을 호스팅하는 회사가 메시지를 읽을 수 없도록 합니다. 이것은 또한 귀하의 메시지가 3자 기관에 의한 데이터 침해 및 침해 영장으로부터 보호된다는 것을 의미합니다.
점점 더 많은 메시징 응용 프로그램이 종단 간 암호화를 제공하고 있습니다. Signal 은 (Signal)E2EE 를 지원하는 최초의 플랫폼 중 하나였습니다 . 최근 몇 년 동안 다른 애플리케이션에서 Signal 의 암호화 프로토콜(encryption protocol) 을 채택
하거나 자체 E2EE 기술(E2EE technology) 을 개발했습니다 . 예로(Examples) 는 WhatsApp , Wickr 및 iMessage가 있습니다.
Facebook Messenger와 Telegram 은 (Facebook Messenger and Telegram)E2EE 메시징(E2EE messaging) 도 지원 하지만 기본적으로 활성화되어 있지 않기 때문에 덜 안전합니다. Skype 는 또한 최근에 선택한 하나의 대화에 대해 종단 간 암호화를 제공하는 "비공개 대화" 옵션을 추가했습니다.
Google의 행아웃(Hangouts) 은 종단 간 암호화를 지원하지 않지만 종단 간 암호화된 Allo 및 Duo(Allo and Duo) , 문자 메시지 및 화상(text messaging and video) 회의 앱을 제공합니다.
메시지 삭제
메시지를 암호화하는 것 이상의 보안이 있습니다. 당신의 기기나 채팅 중인 상대방의 기기가 해킹을 당하거나 엉뚱한 손에 넘어가면 어떻게 될까요? 이 경우 악의적인 행위자가 암호화되지 않은 형식의 메시지를 볼 수 있기 때문에 암호화는 거의 사용되지 않습니다.
메시지를 보호하는 가장 좋은 방법은 더 이상 필요하지 않을 때 제거하는 것입니다. 이렇게 하면 장치가 손상되더라도 악의적인 행위자가 기밀 및 민감한 메시지에 액세스할 수 없습니다.
모든 메시징 앱은 일종의 메시지 삭제(message deletion) 기능을 제공 하지만 모든 메시지 제거(message removal) 기능이 동등하게 안전한 것은 아닙니다.
예를 들어 행아웃과 iMessage를 사용(Hangouts and iMessage enable) 하면 채팅 기록을 지울 수 있습니다. 그러나 메시지가 기기에서 제거되는 동안 채팅했던 사람들의 기기에는 남아 있습니다.
따라서 기기가 손상되더라도 민감한 데이터를 계속 잃어버릴 수 있습니다. 당연히 행아웃(Hangouts) 에는 채팅 기록을 비활성화할 수 있는 옵션이 있습니다. 이 옵션은 각 세션 후에 모든 기기에서 자동으로 메시지를 제거합니다.
Telegram , Signal , Wickr 및 Skype(Wickr and Skype) 에서 대화의 모든 당사자에 대한 메시지를 삭제할 수 있습니다. 이렇게 하면 민감한 통신이 대화와 관련된 장치에 남아 있지 않도록 할 수 있습니다.
WhatsApp 은 2017년에 "모두를 위한 삭제" 옵션도 추가했지만 이 옵션을 사용하여 지난 13시간 이내에 보낸 메시지만 삭제할 수 있습니다. Facebook Messenger 는 최근에 "보내기 취소" 기능을 추가했지만 메시지를 보낸 후 10분 동안만 작동합니다.
Signal , Telegram 및 Wickr(Telegram and Wickr) 는 자체 파괴
메시지 기능(message feature) 도 제공합니다. 이 기능 은 구성된 시간이 지나면 모든 장치에서 메시지를 즉시 제거합니다. 이 기능은 민감한 대화에 특히 유용하며 수동으로 메시지를 지우는 수고를 덜어줍니다.
메타데이터
모든 메시지에는 발신자 및 수신자 ID(sender and receiver IDs) , 메시지가 전송되고 수신되고 읽은 시간, IP 주소, 전화번호, 장치 ID(IDs) 등과 같은 메타데이터라고도 하는 많은 보조 정보가 함께 제공됩니다 .
메시징 서버는 이러한 종류의 정보를 저장 및 처리하여 메시지가 적시에 올바른 수신자에게 전달되도록 하고 사용자가 채팅 로그를 검색하고 구성할 수 있도록 합니다.
메타데이터 에는 메시지 텍스트가 포함되어 있지(t contain message text) 않지만 잘못된 손에는 매우 해로울 수 있으며 지리적 위치, 앱 사용 시간, 대화 상대 등과 같은 사용자의 커뮤니케이션 패턴에 대해 많은 정보를 노출할 수 있습니다.
메시징 서비스 가 (messaging service)데이터 유출(data breach) 의 희생양이 되는 경우 이러한 종류의 정보는 피싱 및 기타 사회 공학 계획과 같은 사이버 공격의 길을 열 수 있습니다.
대부분의 메시징 서비스는 풍부한 메타데이터를 수집하며 불행히도 어떤 유형의 정보 메시징(information messaging)
서비스가 저장 되는지 알 수 있는 확실한 방법이 없습니다 . 그러나 우리가 알고 있는 바에 따르면 Signal 은 최고의 실적(track record) 을 보유하고 있습니다 . 회사에 따르면 서버는 계정을 만들 때 사용한 전화번호(phone number) 와 마지막으로 계정에 로그인한 날짜만 등록합니다.
투명도
모든 개발자는 자신의 메시징 앱이 안전하다고 말하지만 어떻게 확신할 수 있습니까? 앱이 정부가 삽입한 백도어를 숨기지 않는다는 것을 어떻게 알 수 있습니까? 개발자가 응용 프로그램 테스트를 잘했는지 어떻게 알 수 있습니까?
응용 프로그램은 "오픈 소스"라고도 하는 응용 프로그램의 소스 코드(source code) 를 공개적으로 사용할 수 있도록 합니다. 독립 보안 전문가가 보안 여부를 검사하고 확인할 수 있기 때문입니다.
Signal , Wickr 및 Telegram(Wickr and Telegram) 은 오픈 소스 메시징 앱(messaging apps) 이므로 독립적인 전문가의 동료 검토를 거쳤습니다. 특히 Signal(Signal) 은 Bruce Schneier 및 Edward Snowden과 같은 보안 전문가의 지원을 받고 있습니다.
WhatsApp 및 Facebook Messenger(WhatsApp and Facebook Messenger) 는 비공개 소스이지만 오픈 소스 Signal Protocol 을 사용하여 메시지를 암호화합니다. 이는 두 앱을 모두 소유하고 있는 Facebook 이 메시지 내용을 조사하지 않는다는 점에 대해 최소한 안심할 수 있음을 의미 합니다.
Apple의 iMessage와 같은 완전히 폐쇄된 소스 응용 프로그램의 경우 심각한 보안 실수를 방지하기 위해 개발자를 완전히 신뢰해야 합니다.
분명히 말해서, 오픈 소스가 절대적인 보안을 의미하는 것은 아닙니다. 그러나 최소한 앱(app isn) 이 내부 에 불쾌한 것을 숨기지 않도록 할 수 있습니다.
Is Your Messaging App Really Secure?
Messаging applications are one of the most—if not the most—important apps that we use
every day. Whether it’s to stay in touch with family and friends across the
world, contact coworkers, or run business operations, messaging apps like
WhatsApp, iMessage, Skype and Facebook Messenger play an important part in our
daily communications.
We often share things such as personal pictures, business
secrets and legal documents on messaging apps, information that we don’t want
to make available to the wrong people. But how far can we trust your messaging
apps to protect all our confidential messages and sensitive information?
Following are some guidelines that will help you assess the
level of security that your favorite messaging app will provide.
A Few Words on Encryption
Of course, all messaging platforms profess to encrypt your data. Encryption uses mathematical equations to scramble your data in transition to prevent eavesdroppers from being able to read your messages.
Proper encryption makes sure that only the sender and the
recipient of a message will be aware of its content. However not all types of
encryption are made equal.
The most secure messaging apps are those that offer end-to-end encryption (E2EE). E2EE
apps store decryption keys on users’ devices only. E2EE not only protects your
communications against eavesdroppers, but also makes sure that the company that
hosts the application won’t be able to read your messages. This also means that
your messages will be protected against data breaches and intrusive warrants by
three-letter agencies.
More and more messaging applications are providing
end-to-end encryption. Signal was one of the first platforms to support E2EE.
In recent years, other applications have adopted Signal’s encryption protocol
or have developed their own E2EE technology. Examples include WhatsApp, Wickr
and iMessage.
Facebook Messenger and Telegram also support E2EE messaging,
though it’s not enabled by default, which makes them less secure. Skype also
added a “Private Conversation” option recently which gives you end-to-end
encryption on one conversation of your choice.
Google’s Hangouts does not support end-to-end encryption,
but the company provides Allo and Duo, text messaging and video conferencing
apps that are end-to-end encrypted.
Message Deletion
There’s more to security than just encrypting messages. What
if your device or the device of the person you’re chatting with gets hacked or
falls into the wrong hands? In that case, encryption will be of little use,
because the malicious actor will be able to see messages in their unencrypted
format.
The best way to protect your messages is to get rid of them
when you don’t need them anymore. This makes sure that even if your device
becomes compromised, malicious actors won’t get access to your confidential and
sensitive messages.
All messaging apps provide some form of message deletion,
but again, not all message removal features are equally secure.
For instance, Hangouts and iMessage enable you to clear your chat history. But while messages will be removed from your device, they will remain on the devices of the people you have been chatting with.
Therefore, if their devices become compromised, you’ll still lose hold of your sensitive data. To its credit, Hangouts has an option to disable chat history, which will automatically remove messages from all devices after each session.
In Telegram, Signal, Wickr and Skype, you can delete messages for all parties to a conversation. This can make sure that sensitive communications don’t remain in any of the devices involved in a conversation.
WhatsApp also added a “delete for everyone” option in 2017, but you can use it to delete only those messages you’ve sent within the last 13 hours. Facebook Messenger also added an “unsend” feature very recently, though it only works for 10 minutes after you send a message.
Signal, Telegram and Wickr also provide a self-destructing
message feature, which will immediately remove messages from all devices after
a configured period of time passes. This feature is especially good for
sensitive conversations, and saves you the effort of manually wiping messages.
Metadata
Every message comes with an amount of auxiliary information, also known as metadata, such as sender and receiver IDs, the time a message was sent, received and read, IP addresses, phone numbers, device IDs, etc.
Messaging servers store and process that kind of information to make sure messages are delivered to the right recipients and on time and to enable users to browse and organize their chat logs.
While metadata doesn’t contain message text, in the wrong hands, it can be very harmful and reveal a lot about users’ communication patterns such as their geographical location, the times they use their apps, the people they communicate with, etc.
In case the messaging service falls victim to a data breach, this kind of information can pave the way for cyberattacks such as phishing and other social engineering schemes.
Most messaging services collect a wealth of metadata and
unfortunately, there’s no sure way to know what type of information messaging
services store. But from what we know, Signal has the best track record.
According to the company, its servers only register the phone number with which
you created your account and the last date you logged in to your account.
Transparency
Every developer will tell you their messaging app is secure,
but how can you be sure? How do you know the app is not hiding a
government-implanted backdoor? How do you know the developer has done a good
job at testing the application?
Applications make the source code of
their application publicly available, also known as “open-source,” are more
reliable because independent security experts can examine and confirm whether
they’re secure or not.
Signal, Wickr and Telegram are open-source messaging apps,
which means they have been peer-reviewed by independent experts. Signal in
particular has the support of security experts such as Bruce Schneier and
Edward Snowden.
WhatsApp and Facebook Messenger are closed-source, but they
use the open-source Signal Protocol to encrypt their messages. This means that
you can at least rest assured that Facebook, which owns both apps, won’t be
looking into the content of your messages.
For fully closed-source applications such as Apple’s
iMessage, you must fully trust the developer to avoid making disastrous
security mistakes.
To be clear, open-source doesn’t mean absolute security. But
at least you can make sure that the app isn’t hiding anything nasty under the
hood.