Wiele artykułów napisano i wiele podcastów przegadano na temat tego, jaki bezpieczny komunikator wybrać i dlaczego akurat Signal. Pośród licznych argumentów o kryptografii i modelowaniu zagrożeń często gubi się ważniejsza kwestia – komunikator ma służyć do komunikowania. Jeśli paczka znajomych wybrała jakiś produkt, możemy dołączyć do nich albo spróbować przekonać ich do własnych preferencji.
W niniejszym przeglądzie pokazuję, jak wygląda proces instalacji najpopularniejszych komunikatorów mobilnych, tych bezpiecznych oraz, hm, pozostałych. Obejrzymy Signala, Whatsappa, Telegrama, Messengera, Wire, Viber, Skype i… WeChat. Oprócz tego przyjrzymy się, jak w każdej z tych aplikacji wyglądają okienko czatu i powiadomienia o statusie wiadomości.
Możesz podesłać ten tekst znajomym, by przekonali się, że przesiadka na konkurencyjny komunikator może być prosta i szybka.
Instalacja
We wszystkich komunikatorach korzystałem z identyfikacji przy użyciu numeru telefonu. Proces uwierzytelnienia podczas instalacji wymaga z reguły przepisania kodu jednorazowego z wiadomości SMS. Na Androidzie niektóre komunikatory korzystają ze sztuczki, dzięki której kod autoryzacyjny może zostać automatycznie odczytany z SMS-a mimo braku uprawnień do wszystkich pozostałych wiadomości.
Jeśli użytkownik udzieli zgody, część komunikatorów skorzysta z autoryzacji poprzez automatycznie odbierane połączenie telefoniczne, jednak ta ścieżka nie jest obowiązkowa. Podobnie jest z pozostałymi uprawnieniami – brak pozwolenia na odczyt listy kontaktów czy użycie aparatu fotograficznego ograniczy użyteczność aplikacji lecz nie wykluczy jej użycia. Nadal będzie można zainicjować czat ręcznie a odrzucone uprawnienia nadać w razie potrzeby w przyszłości.
W poniższych nagraniach odpowiadałem twierdząco na wszystkie pytania o uprawnienia oprócz zgody na zmianę domyślnej aplikacji obsługującej SMS-y.
Status wiadomości
W większości komunikatorów wysyłane wiadomości opatrywane są ikonkami mówiącymi, czy przekaz dotarł do adresata i czy ten ostatni wyświetlił wiadomość na ekranie. Zazwyczaj dowiadujemy się też, kiedy nasz rozmówca pisze odpowiedź. W poniższym przeglądzie znajdziecie więc graficzną ściągawkę, przygotowaną w następujący sposób (każdy z punktów to osobny zrzut ekranu):
- na telefonie nadawcy pisałem wiadomość, ale jej nie wysyłałem
- wysyłałem wiadomość bez łączności z internetem na żadnym z telefonów
- przywracałem łączność z internetem na telefonie nadawcy
- przywracałem łączność z internetem na telefonie odbiorcy
- otwierałem komunikator na telefonie odbiorcy
- rozpoczynałem pisanie odpowiedzi na telefonie odbiorcy
- wysyłałem odpowiedź do nadawcy pierwszej wiadomości
Niektóre komunikatory mają osobne ikonki dla wszystkich wymienionych stanów, inne tylko dla niektórych. Do niechlubnych wyjątków należy WeChat, który nie sygnalizuje prawie niczego.
Signal
Instalacja szybka, prosta i bezproblemowa. Podajemy numer telefonu, SMS potwierdza się sam, wpisujemy imię, wybieramy PIN i gotowe.
Statusy wiadomości wzorcowe – każdej sytuacji odpowiada odrębny wariant ikonki.
Praktycznie nie ma o czym pisać. Zainicjowanie aplikacji trwa na poniższym filmie niespełna 50 sekund.
Statusy wiadomości – bez uwag, jest komplet.
Telegram
Podczas pierwszej instalacji, której nie udało mi się nagrać, aplikacja skorzystała z weryfikacji numeru telefonu automatycznie odbieranym połączeniem. Każda kolejna próba z tego samego numeru telefonu wchodziła jednak na ścieżkę potwierdzania SMS-em i tę widzimy na powyższym wideo. Uwaga – Telegram nie ma polskiej wersji językowej, więc nie wszyscy poradzą sobie z nim jednakowo łatwo (edycja 05.04.2020: grupa wolontariuszy Telegram Polska dostarcza nieoficjalne polskie tłumaczenie programu; edycja 16.04.2020 – Telegram doczekał się już oficjalnego tłumaczenia na język polski)
Sygnalizacja stanu wysłanych wiadomości bardzo dobra – nie dowiemy się tylko, czy przesyłka dostarczona do serwerów Telegrama znalazła drogę do telefonu odbiorcy.
Messenger
Od końca roku 2019 nie da się rozpocząć korzystania z Messengera bez pełnego konta na Facebooku. Jeśli zakładamy je podczas instalacji komunikatora to cały proces używa osadzonego okna przeglądarki i jest dość mozolny. Należy podkreślić wątpliwe praktyki dotyczące prywatności – komunikator ostrzega że podany numer telefonu i data urodzenia nie pozostaną sekretem, ich ukrycie wymaga dodatkowych działań poza komunikatorem.
Podczas instalacji na dwóch telefonach z dwiema nowymi kartami SIM trafiłem na dziwną sytuację – Messenger zaproponował mi dodanie do znajomych kilkadziesiąt obcych osób z drugiego końca Polski. Czyżby czyjś nieaktywny numer trafił z powrotem do sprzedaży a Facebook pamięta jeszcze paczkę znajomych poprzedniego właściciela? Nie udało mi się tego ustalić.
Sygnalizacja stanu wiadomości bez zarzutu – komplet ikonek na każdą okazję.
Wire
Podczas instalacji uwagę zwraca niekompletna polonizacja i małe kiksy w wyświetlanych na ekranie komunikatach. Poza tym jedyną nowością jest wybór unikalnego identyfikatora, po którym użytkownicy mogą się wyszukiwać bez znajomości swoich numerów telefonu.
Status wiadomości podobnie, jak w Telegramie – nie wiemy czy wiadomość jest już doręczona do odbiorcy, czy czeka jeszcze na serwerze usługodawcy.
Viber
Na nagraniu widzimy proces weryfikacji za pomocą połączenia telefonicznego – zgodnie z instrukcją nie należy go odbierać. Viber wysyła dodatkowo e-maila potwierdzającego poprawność adresu poczty elektronicznej.
Statusy wiadomości w komplecie. Dodatkowo nie sposób przeoczyć informacji o braku łączności z internetem.
Skype
Proces instalacji nieco dłuższy, niż w innych komunikatorach, ale nadal płynny i bez zakłóceń. Niespodzianek brak.
Statusy jak w komunikatorach Wire i Telegram – brak dokładnych informacji o losach wiadomości doręczonej serwerowi.
Na koniec ciekawostka, produkt kontrolowany przez chiński rząd i używany do masowej inwigilacji obywateli. Takie przeciwieństwo bezpiecznego komunikatora – tu mamy cenzurę, brak szyfrowania czatów między użytkownikami i powierzenie operatorowi usługi kompletnej wiedzy o całej sieci kontaktów. Dość powiedzieć, że w 2016 roku Amnesty International oceniło prywatność oferowaną przez WeChata na… zero punktów w skali od zera do stu.
Efektem niezdrowej ciekawości jest jednak poniższy zapis instalacji i aktywacji WeChata. Podczas, gdy autorzy w świecie zachodnim starają się jak najbardziej ułatwić wejście w nową aplikację, WeChat nawet nie próbuje udawać troski o płynność procesu. Po pierwsze nową instalację musi potwierdzić istniejący użytkownik z długim stażem. W moim przypadku dopiero trzeci odnaleziony znajomy mógł to zrobić, przy czym zatwierdzenie jednego mojego numeru wyczerpało mu pulę potwierdzeń na cały miesiąc. Po drugie – bez zdjęcia twarzy proces nie kończył się sukcesem (tu skorzystałem z fotek nieistniejących ludzi). Po trzecie zaś – po kilku dniach jedno z dwóch kont i tak zostało zablokowane ze względu na “nietypowy proces rejestracji”. To, że aplikacja nie jest przetłumaczona na polski, to już tylko malutka wisienka na… hm, na pewno nie torcie.
Sygnalizacja statusu wiadomości nie istnieje. Wiemy tylko, że wiadomość jest wysłana. Dowiemy się, gdy przyjdzie jakaś odpowiedź. Żaden stan pośredni nie występuje w komunikatorze WeChat.
Czy niniejszy tekst przypadł Ci do gustu? Jeśli tak, dopisz się do newslettera aby otrzymywać informacje o istotnych nowościach w serwisie Informatyk Zakładowy!
O autorze: zawodowy programista od 2003 roku, pasjonat bezpieczeństwa informatycznego. Rozwijał systemy finansowe dla NBP, tworzył i weryfikował zabezpieczenia bankowych aplikacji mobilnych, brał udział w pracach nad grą Angry Birds i wyszukiwarką internetową Microsoft Bing.
15 odpowiedzi na “Jak wygląda instalacja ośmiu popularnych komunikatorów mobilnych”
„Signal
Instalacja szybka, prosta i bezproblemowa. Podajemy numer telefonu”
no to zupełnie bezproblemowa. przypominam, że w tym kraju każdy numer telefonu musi być powiązany z numerem seryjnym obywatela
Kto chce, szuka sposobu: https://www.olx.pl/oferty/q-aktywny-sim/ albo przysługa lokalnego spożywcy taniego alkoholu.
Signal oferuje szyfrowanie end-to-end i jako jedyny nie loguje żadnych informacji, które mógłby udostępnić władzom – jeśli o to chodzi. Więc Wielki Brat po potwierdzeniu, że numer należy do Ciebie dowie się jedynie kiedy byłeś zalogowany do aplikacji.
Proszę o uzupełnienie wiadomości o Telegramie – jego możliwe spolszczenie, które tak naprawdę polega na przejściu pod odpowiedni link https://telegram.com.pl/tlumaczenie-telegrama-na-jezyk-polski/
Dzięki, informacja dodana!
Autorze,
skoro wspominasz o WeChat jako narzędziu masowej inwigilacji (Chińczyków?):
„tu mamy cenzurę, brak szyfrowania czatów między użytkownikami i powierzenie operatorowi usługi kompletnej wiedzy o całej sieci kontaktów”
to może warto wspomnieć o tym ile raportów o użytkownikach Whatsappa i Messengera przekazuje Facebook władzom poszczególnych krajów? O tym jak całą listę kontaktów przekazują do setek zewnętrznych firm. A także o tym, że pracownicy tej firmy mają dostęp do treści wiadomości i połączeń. Oraz o tym, że szyfrowanie e2ee jest lub go nie ma, bez możliwości weryfikacji, ponieważ nie jest to oprogramowanie open source. Skype podobnie, od dawna jest to usługa w pełni scentralizowana, nie oferująca bezpieczeństwa i prywatności komunikacji.
Dzień dobry.
Świetny serwis, czegoś takiego brakowało.
W signal mimo że wyświetla się status wiadomość odebrana, czeka na obejrzenie to można ją przeczytać bez zmiany statusu o ile mieści się w powiadomieniu. Drugą wadą jest brak pinu na wejściu aplikacji w taki sposób jak np. w aplikacji twisto. Poza tym to nalepszy komunikator.
Pozdrawiam.
„edycja 05.04.2020: grupa wolontariuszy Telegram Polska dostarcza nieoficjalne polskie tłumaczenie programu”
Już jest oficjalne polskie tłumaczenie.
Dodałem info, dzięki!
[…] [PL] Jak wygląda instalacja ośmiu popularnych komunikatorów mobilnych […]
Co do wechat to moim zdaniem pewne decyzje zostaly na blogu blednie zrozumiane. Mianowicie fakt ze nie widzimy czy ktos odebral wiadomosc oraz czy pisze do nas nie jest niedopatrzeniem ale celowym zapewnieniem prywatnosci o czym mozna przeczytac w opisie produktu wechat.
Fraza „wechat zapewnia prywatność” jest jak zgrzyt styropianem o szybę…
A co sadzisz o Enigme E2 – od dawana jest w PL sprzedana i jeszcze nie było afery z nią wiec musi być bezpieczna.
Słyszę tę nazwę po raz pierwszy…
Ciekawe byłoby jeszcze porównanie tego co dzieje się z wiadomościami, kiedy masz odinstalowaną aplikację