|
Programos |
Google Messages  |
Apple iMessage  |
Facebook Messenger  |
Element (Matrix)  |
Signal |
Microsoft Skype  |
Telegram |
Threema |
Viber |
Facebook |
Amazon Wickr Me  |
Wire |
Session |
SimpleX |
Twitter |
|||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| APŽVALGA | ||||||||||||||||||||||
| Ar aplikacija yra rekomenduojama žinučių ir priedų siuntimui? | Ne | Ne | Ne | Ne | Taip | Ne | Ne | Taip | Ne | Ne | Ne | Taip | Taip | Taip | Ne | |||||||
| Pagrindinės priežastys, kodėl aplikacija nėra rekomenduojama / Rekomenduojami pakeitimai |
Paminėta kaip NSA partnerė Snowdeno tekstuose Uždirba iš asmeninių vartotojų duomenų Duomenys nėra apsaugoti arba ne visi duomenys apsaugoti Nėra paskelbto nepriklausomo kodo, sistemos saugumo audito ar analizės |
Paminėta kaip NSA partnerė Snowdeno tekstuose Duomenys nėra apsaugoti arba ne visi duomenys apsaugoti Nėra paskelbto nepriklausomo kodo, sistemos saugumo audito ar analizės |
Paminėta kaip NSA partnerė Snowdeno tekstuose Šifravimas nėra įjungtas pagal nutylėjimą Uždirba iš asmeninių vartotojų duomenų Duomenys nėra apsaugoti arba ne visi duomenys apsaugoti Nėra paskelbto nepriklausomo kodo, sistemos saugumo audito ar analizės |
Nėra paskelbto nepriklausomo kodo, sistemos saugumo audito ar analizės | Padaryti, kad nebūtų privaloma naudoti tel. numerį registruojantis | Paminėta kaip NSA partnerė Snowdeno tekstuose Šifravimas nėra įjungtas pagal nutylėjimą Uždirba iš asmeninių vartotojų duomenų Duomenys nėra apsaugoti arba ne visi duomenys apsaugoti Uždaro kodo |
Kriptografija specialiai sukurta tai programai (neaišku) Šifravimas nėra įjungtas pagal nutylėjimą Duomenys nėra apsaugoti arba ne visi duomenys apsaugoti |
Padaryti API ir serverio pusės kodą atvirus Reikia išsamesnių saugumo ir privatumo analizių. |
Duomenys nėra apsaugoti arba ne visi duomenys apsaugoti Nėra paskelbto nepriklausomo kodo, sistemos saugumo audito ar analizės Uždaro kodo |
Paminėta kaip NSA partnerė Snowdeno tekstuose Facebook gali skaityti žinutes, jei jos pažymimos, kaip "įžeidžiančios" Uždirba iš asmeninių vartotojų duomenų Duomenys nėra apsaugoti arba ne visi duomenys apsaugoti Nėra paskelbto nepriklausomo kodo, sistemos saugumo audito ar analizės Uždaro kodo |
Ankstesnis NSA vadovas Keith Alexander yra Amazon direktorių taryboje Finansuojama CŽV Naujausi saugumo audito rezultatai neviešinami Yra sutarčių su JAV vyriausybe Uždaro kodo |
Apriboti metaduomenų kaupimą ir loginimą Reikia išsamesnio privataus saugumo ir privatumo vertinimo |
Įdiegti perfect forward secrecy end-to-end šifravimo lygmenyje Reikia išsamesnio privataus saugumo ir privatumo vertinimo |
Reikia išsamesnio privataus saugumo ir privatumo vertinimo | End-to-end šifravimas nėra naudojamas visiems vartotojams grupiniuose pokalbiuose Nėra diegimo paaiškinimų Nėra paskelbto nepriklausomo kodo, sistemos saugumo audito ar analizės Uždaro kodo |
|||||||
| Smulkiau | ||||||||||||||||||||||
| Kompanijos jurisdikcija | JAV | JAV | JAV | JK | JAV | JAV | JAV / JK / Belizas / UAE | Šveicarija | Liuksenburgas / Japonija | JAV | JAV | JAV / Šveicarija | Šveicarija | JK | JAV | |||||||
| Infrastruktūros jurisdikcija | Pasaulinė (tikėtina, kad regionai, kur yra Google Cloud) | JAV (Airija ir Danija planuose); iMessage veikia ant AWS ir Google Cloud | JAV, Švedija (Airija planuose) | JK (bet greičiausiai ir kitos šalys, nes sistema decentralizuota) | JAV | JAV, Olandija, Australija, Brazilija, Kinija, Airija, Hong Kongas ir Japonija | JK, Singapūras, JAV ir Suomija | Šveicarija | JAV | JAV (kitos šalys neaišku) | JAV (kitos šalys neaišku) | Žinutės: visas pasaulis (decentralizuoti serveriai) Prisegtukai: Centralizuotas serveris Kanadoje |
Visas pasaulis (decentralizuoti serveriai) | Taip | JAV, pasaulis (kitos šalys neaišku) | |||||||
| Ar įpareigota klientų duomenis perduoti saugumo agentūroms? | Taip | Taip | Taip | Ne | Ne | Taip | Ne | Ne | Ne | Taip | Ne | Ne | Ne | Ne | Taip | |||||||
| Aplikacijoje integruota sekimo sistema | Ne | Ne | Ne | Ne | Ne | Taip | Ne | Ne | Ne | Ne | Ne | Ne | Ne | Ne | Ne | |||||||
| Ar kompanija pateikia skaidrumo ataskaitą? | Taip | Taip | Taip | Ne | Taip | Taip | Ne | Taip | Ne | Ne | Taip | Taip | Taip | Taip | Taip | |||||||
| Bendra kompanijos pozicija kalabant apie vartotojų duomenų privatumą | Prasta | Prasta | Prasta | Gera | Gera | Prasta | Prasta | Gera | Prasta | Prasta | Prasta | Gera | Gera | Gera | Prasta | |||||||
| Ar kompanija kaupia kliento duomenis? | Prastai | Prastai | Prastai | Gerai | Gerai | Prastai | Prastai | Gerai | Prastai | Prastai | Prastai | Gerai | Gerai | Gerai | Prastai | |||||||
| Finansavimas | Apple | New Vector Limited | Freedom of the Press Foundation The Knight Foundation The Shuttleworth Foundation The Open Technology Fund Signal Foundation (Brian Acton) |
Microsoft | Pavel Durov | User pays / Afinum Management AG | Rakuten Friends and family of Talmon Marco (neaiški situacija) |
Amazon CŽV |
Janus Friis Iconical Zeta Holdings Luxembourg Morpheus Ventures |
LAG Foundation Ltd | Venture Capital fund Village Global | |||||||||||
| Ar programa renka vartotojo duomenis? | Taip (sunku vertinti, bet programa Googlo ekosistemos dalis, tai greičiausiai taip) |
Taip (sunku vertinti, bet programa Apple ekosistemos dalis, tai greičiausiai taip) |
Sveikatos ir fitneso duomenys / pirkiniai / finansinė info / lokacija / kontaktinė info / kontaktai / vartotojo turinys / paieškos istorija / naršymo istorija / identifikatoriai / naudojimosi duomenys / jautri informacija / diagnostika / kiti duomenys | Kontaktinė info / kontaktai / identifikatoriai / diagnostika / vartotojo turinys (Kontaktinė informacija nėra siunčiama, kai programa naudojama anonimiškai) |
Kontaktinė info | Identifikatoriai / kontaktinė informacija / vartotojo turinys / indentifikatoriai / duomenų naudojimas / diagnostika | kontaktinė informacija / kontaktai / indentifikatoriai | kontaktinė informacija / indentifikatoriai / diagnostika (kontaktinė informacija nėra siunčiama, kai programa naudojama anonimiškai) |
lokacija / indentifikatoriai / purchases / lokacija / kontaktinė informacija / kontaktai / indentifikatoriai / duomenų naudojimas / vartotojo turinys / duomenų naudojimas / diagnostika | Purchases / financial info / lokacija / kontaktinė informacija / kontaktai / vartotojo turinys / indentifikatoriai / duomenų naudojimas / diagnostika | kontaktinė informacija / indentifikatoriai / diagnostika (kontaktinė informacija nėra siunčiama, kai programa naudojama anonimiškai) |
kontaktinė informacija / indentifikatoriai / duomenų naudojimas / diagnostika | Ne | Ne | Purchases / lokacija / kontaktinė informacija / kontaktai / vartotojo turinys / paieškos istorija / naršymo istorija / indentifikatoriai / duomenų naudojimas / diagnostika | |||||||
| Vartotojo duomenys ir/arba kiti metaduomenys siunčiami į motininę kompaniją ir/arba trečiosioms šalims? | Taip | Taip | Taip | Ne (asmens duomenys siunčiami trečiosioms šalims, jei yra atliekamas mokėjimas) |
Minimaliai (privalomas telefono numeris, skirtas registravimuisi ir paskyros atstatymui yra siunčiamas trečiosioms šalims) |
Taip | Taip | Ne (neprivalomas telefono numeris siunčiamas trečiai šaliai registravimosi metu) |
Taip | Taip | Ne (neprivalomas telefono numeris siunčiamas trečiai šaliai registravimosi metu) |
Taip | Ne | Ne | Taip | |||||||
| Ar šifravimas yra įjungtas pagal nutylėjimą? | Taip | Taip | Ne | Taip | Taip | Ne | Ne | Taip | Taip (jei įrenginys tai palaiko) | Taip (jei įrenginys tai palaiko) | Taip | Taip | Taip | Taip | Ne | |||||||
| Kriptografinis raktas (primitives) | Curve25519 / AES-256 / HMAC-SHA256 | P-256 ECDH & Kyber-768/1024 / AES-256 / HMAC-SHA384 | Curve25519 / AES-256 / HMAC-SHA256 | Curve25519 / AES-256 / HMAC-SHA256 | Curve25519 & Kyber-1024 / AES-256 / HMAC-SHA256/512 | Curve25519 / AES-256 / HMAC-SHA256 | RSA 2048 / AES 256 / SHA-256 | Curve25519 256 / XSalsa20 256 / Poly1305-AES 128 | Curve25519 256 / Salsa20 128 / HMAC-SHA256 | Curve25519 / AES-256 / HMAC-SHA256 | ECDH512 / AES-256 / HMAC-SHA256 | Curve25519 / ChaCha20 / HMAC-SHA256 | X25519 / XSalsa20 256 / Poly1305 | Curve25519 & sntrup761 1158 / XSalsa20 256 / Poly1305 | ||||||||
| Ar programa ir serverio pusės dalis yra visiškai atviro kodo? | Ne | Ne | Ne | Taip (klientai Element / Riot, server/API matrix.org) | Taip | Ne | Ne (kliento pusės ir API) | Ne (tik aplikacija) | Ne | Ne | Ne | Taip | Taip | Taip | Ne | |||||||
| Ar atkuriami "build'ai" naudojami kodo sutikrinimui? | Ne | Ne | Ne | Ne | Android | Ne | iOS ir Android | Android | Ne | Ne | Ne | Ne | Ne | Ne | Ne | |||||||
| Ar galima į programą įsijungti anonimiškai? | Ne | Ne | Ne | Taip | Ne | Ne | Ne | Taip | Ne | Ne | Taip | Ne | Taip | Taip | Ne | |||||||
| CAr galiu pridėti kontaktą nesinaudojant direktorijos servisu? | N/A, Google Messages naudoja RCS, kuris nenaudoja direktorijos serviso | Ne | Ne | Ne | Ne | Ne | Ne | Taip | Taip | Ne | Ne | Ne | Taip | Taip | Ne | |||||||
| Ar vartotojas gali pats patikrinti kontakto piršto antspaudą? | Taip | Taip | Taip | Taip | Taip | Ne | Ne (tik sesiją, nesuteikia vartotojo piršto antspaudo informacijos) | Taip | Taip | Taip | Taip | Taip | Taip | Taip | Taip | |||||||
| Ar direktorijos servisas gali būti pakeistas, siekiant palaikyti MITM ataką? | N/A, Google Messages naudoja RCS, kuris nenaudoja direktorijos serviso | Ne | Ne | Ne | Ne | Ne | Ne | Ne | Ne | Ne | Ne | Ne | Ne | Ne | Ne | |||||||
| Ar vartotojas yra informuojamas, jei kontakto piršto antspaudas pasikeičia (fingerprint) | Taip | Taip | Taip | Ne | Ne (tik sesiją, nesuteikia vartotojo piršto antspaudo informacijos) | Taip | Taip | Ne (šitas nustatymas išjungtas pagal nutylėjimą) | Taip | Taip, jei kontaktas prieš tai buvo autentifikuotas | N/A | N/A | ||||||||||
| Ar asmeninė informacija (telefono numeris, kontaktų sąrašas ir t.t.) užkoduojami / hashinami? | N/A, Google Messages naudoja RCS, kuris nenaudoja direktorijos serviso | Ne | Ne | Taip | Daugmaž | Ne | Ne (tik sesiją, nesuteikia vartotojo piršto antspaudo informacijos) | Taip | Ne | Ne (funkcija išjungta pagal nutylėjimą) | Taip | Daugmaž | N/A | N/A | ||||||||
| Ar programa kuria ir laiko privatų raktą pačiame įrenginyje? | Taip | Taip | Taip | Taip | Taip | Taip | Taip | Taip | Taip | Taip | Taip | Taip | Taip | Taip | ||||||||
| Ar pranešimus gali perskaityti programos kūrėjai? | Ne | Ne | Taip | Ne | Ne | Taip | Taip | Ne | Ne | Taip | Ne | Ne | Ne | Ne | ||||||||
| Ar aplikacija naudoja perfect forward saugumą? | Taip | Taip | Taip | Taip | Taip | Taip | Ne (sesijų raktai pasikeičia panaudojus 100 kartų) | Taip | Taip | Taip | Taip | Taip | Ne | Taip | ||||||||
| Ar programa užkoduoja metaduomenis? | Ne | Ne | Ne | Taip | Ne | Ne | Taip | Ne | Taip | ne visus | Taip | Taip | ||||||||||
| Ar programa naudoja TLS/Noise siekiant užsifruoti veikimą tinkle? | Taip | Taip | Taip | Taip | Taip | Taip | Ne | Taip | Taip | Taip | Taip | Taip | Taip | Taip | Taip | |||||||
| Ar aplikacija naudoja "sertifikatų prisegimą" (certificate pinning)? | Taip (>=iOS 9.3) | Taip | Taip | Taip | Taip | Taip | ||||||||||||||||
| Ar programa užkoduoja duomenis pačiame įrenginnyje (iOS ir Android) | Ne | Taip (jei įjungta slaptažodžio funkcija) | Taip | Taip (jei įjungta slaptažodžio funkcija) | iOS: Taip (jei įjungta slaptažodžio funkcija); Android: Taip (jei master raktas yra aktyvuotas) | iOS: Taip (jei įjungta slaptažodžio funkcija); Android: Taip (neaišku) | Taip | Taip | Taip | |||||||||||||
| Ar programa leidžia lokaliai autentifikuotis ją paleidus? | Ne | Ne | Taip | Ne | Taip | Ne | Taip | Taip | Ne | Taip | Taip | Taip | Taip | |||||||||
| Ar pranešimai užšifruojami, kai debesyje yra daroma jų atsarginė kopija? | Taip (>= Android P) | Taip | Taip | Netaikoma, Signal yra atskirtas nuo iCloud/iTunes ir Android atsarginių kopijų funkcijos | Taip | iOS: Taip / Android: Taip | N/A, Wickr yra atskirtas nuo iCloud/iTunes ir Android atsarginių kopijų funkcijos | N/A, Wire yra atskirtas nuo from iCloud/iTunes ir Android atsarginių kopijų funkcijos | N/A, Session yra atskirtas nuo iCloud/iTunes ir Android atsarginių kopijų funkcijos | |||||||||||||
| Ar kompanija registruoja komunikacijos laikus ir/arba IP adresus? | Taip | Taip | Ne | Taip | Taip | Ne | Taip | Taip | Ne | kažkiek | Ne | Ne | Taip | |||||||||
| Kada buvo atliktas nepriklausomų analitikų atliktas kodo auditas? (jei buvo apskritai) | Nebuvo | Neebuvo | Nebuvo | Ne (Matrix šifravimo biblioteka yra tikrinta nepriklausomos šalies) | Taip (per pastaruosius kelis metus daug kartų) | Ne | Taip (Lapkritis, 2015) | Taip (Spalis, 2020) | Ne | Ne | Taip (Rugpjūtis, 2014) | Taip (Kovas, 2018) | Taip (Balandis, 2021) | Taip (Lapkritis, 2022) | Ne | |||||||
| Ar dizainas yra normaliai dokumentuotas? | Ne | kažkiek | kažkiek | kažkiek | kažkiek | Ne | kažkiek | kažkiek | kažkiek | kažkiek | kažkiek | kažkiek | kažkiek | kažkiek | Ne | |||||||
| Ar programoje yra automatiškai susinaikinančių žinučių funkcija? | Ne | Ne | Taip | Ne | Taip | Ne | Taip | Ne | Taip | Taip | Taip | Taip | Taip | Taip | Taip | |||||||
Kodo bazė yra paimta (ir vėliau modifikuota) iš: Mike Kuketz
|
CC BY-NC-SA 4.0
|
|
||||||||||||||||||||||