
Привет, меня зовут Александр Баулин. После новости о кибершпионаже западных спецслужб я решил напомнить, как выбрать безопасный мессенджер.
Так как я не являюсь специалистом по кибербезопасности, то дам максимум ссылок на достоверные источники — благо за плечами работа над контентом в компании, занимающейся информационной безопасностью (ИБ).
Сразу проспойлерю: абсолютной защищённости не существует — даже мысли учёные учатся читать. Но можно выжать максимум конкретно для вашей ситуации.
Фактор регулятора
Специалисты по ИБ оценивают мессенджеры в первую очередь по технологическим характеристикам. Однако я начну с фактора регулятора. Для любого разработчика софта, достаточно глубоко интегрированного в экономику страны, будет важно соблюдать её законы. А практически все ведущие страны требуют обеспечить доступ к информации по требованию силовых ведомств и спецслужб. Это не всегда непосредственно переписка, но как минимум необходимость раскрытия личности, местоположения и других данных пользователя. Но я же предупреждал во вступлении — не ждите абсолютной безопасности.
Как эти данные будут переданы — другое дело. Например, гипотетически производитель может оставить бэкдоры — недокументированный доступ к данным софта, и это снижает безопасность мессенджеров. Для топовых мессенджеров я таких случаев не нашёл, хотя запросы об их установке поступают к разработчикам и заставляют их либо менять условия предоставления сервиса, либо задумываться об уходе из страны.
В целом бэкдоры снижают защищённость приложения, так как злоумышленники могут обнаружить их при анализе софта и попытаться получить доступ к их функциям.
Наиболее очевидные варианты для бэкдоров — мессенджеры, связанные с государством. Не говорю, что они там есть — даже проведённый анализ обсуждённого на каждом углу в Хабре мессенджера Макса, на мой взгляд, не доказывает их наличия. Но понятно, что разработчик будет выполнять требования российских регуляторов тем или иным образом. То же самое касается WeChat в отношении Китая, а WhatsApp (принадлежит Meta Platforms, признанной экстремистской организацией и запрещённой в РФ) и X сделают всё для американских властей. А вот на внешних рынках разработчики мессенджеров могут и поспорить. Собственно, последний кейс детища Илона Маска и Бразилии показывает и выход: для максимальной приватности стоит отдавать предпочтение мессенджерам разработчика той страны, с которой у вас минимум пересечений.
Защита на уровне устройства и ОС
Прежде чем переходить к самому мессенджеру, поговорим о среде для его установки. Возможно, банальность, но дырявое железо или операционная система (ОС) дадут хакерам доступ к вашему устройству, и дальше можно только предполагать, как вас можно будет отслеживать: скопировав файлы мессенджера (с этим хорошее ПО борется, об этом далее), поставив на ваше устройство кейлогер, снимая скриншоты экрана или другими методами.
В первую очередь это относится к Windows — хотя у операционки обновления не всегда корректно работают, зато они закрывают известные уязвимости, некоторые из которых могут быть серьёзными и давать простор для деятельности злоумышленников. Кроме ОС, стоит следить за обновлением микропрошивки устройств — читай, не забудьте обновить BIOS (UEFI). Это позволит устранить как давно известные уязвимости Spectre и Meltdown, так и свежие. Например, в конце мая 2026 года российская Positive Technologies нашла уязвимость в процессорах AMD, оперативно передала информацию производителю процессоров и тот опубликовал обновления микропрошивки.
Если вы скажете, что с Windows всё понятно, а вот Apple… Напомню, что в 2023 году была обнаружена критическая уязвимость iOS. Она позволяла хакеру захватить контроль над выбранным устройством, выслав невидимое для пользователя сообщение в iMessage. То есть не требуя никаких действий, не завися от опытности пользователя. В 2013 году Лаборатория Касперского обнаружила сеть взломанных компьютеров на операционке MacOS. Если скажете «древность» — вот вам прошлогодняя уязвимость в MacOS. В Linux с ростом популярности ОС также стали обнаруживать всё больше уязвимостей, и некоторые из них позволяют захватить контроль над устройством.
Программы пишут люди. А теперь и ИИ, который имеет ещё меньшее представление о безопасной разработке. Поэтому не стоит думать, что выбор устройства защищает. Своевременное обновление прошивки и ОС как раз поможет позаботиться об информационной безопасности. Чтобы снизить накал, отмечу, что многие из атак с захватом контроля над устройством должны быть нацеленными, и тут только вы можете оценить, насколько можете быть интересны хакерам.
Правильный мессенджер с точки зрения специалиста по ИБ
Если подходить строго с точки зрения информационной безопасности, то мессенджер должен шифровать как информацию, хранящуюся на устройстве, так и переписку во всех форматах — текст, аудио, видео и файлы. Первое поможет, если устройство общее (вы запустили мессенджер на корпоративном ПК) или злоумышленники получили кратковременный доступ к нему из-за уязвимостей в железе и ОС (подробнее в предыдущей главе). А вот шифрование текущей переписки — это не просто must have, но важно ещё и то, какое оно. Трафик может перехватываться и читаться злоумышленниками, поэтому он должен быть зашифрован, и самое надёжное решение — End-to-End, или сквозное шифрование, которое проводится на устройствах абонентов без использования дополнительных серверов и поэтому не даёт проводить кибератаки типа «человек посередине» (Man-in-the-Middle).
Но мало факта применения шифрования в мессенджере, оно бывает разным и в старых протоколах тоже находят уязвимости или обходные пути. В оптимальном варианте разработчик должен не только шифровать информацию, но и позволить провести независимый аудит своего кода. Как раз прохождение такой проверки делает Signal лидером большинства сравнений мессенджеров. Широко используемый Telegram распространяет в качестве опенсорса только клиентскую часть. Кроме того ИБ-эксперты отмечают как недостаток мессенджера Павла Дурова использование надёжного сквозного шифрования только для секретных чатов (Secret Chat). Удобнее для большинства пользовательских задач обычные личные и групповые чаты, в которых Telegram использует фирменное шифрование, стойкость которого недостаточно исследована. Ждём раскрытие кода Макса, чтобы снять (или подтвердить) претензии исследователей к нему :).
Справедливости ради, добавим, что Signal подозревают в инвестициях через правительственные структуры США, тогда он вызывает сомнения по первой главе нашей статьи. Если же вы думаете, что открытый код — гарантия отсутствия бэкдоров или крупных уязвимостей, вспомните, как в Linux годами не замечали дыру HeartBleed.
Промежуточный вывод — бесполезно искать самый защищённый мессенджер в вакууме, приходится учитывать, что он должен обладать ещё и нужными функциями. А ещё он нужен вашим коллегам по переписке, иначе — сами понимаете. Но если учитывать именно функции, относящиеся к безопасности, то ИБ-специалисты советуют обращать внимание на отсутствие метаданных в переписке, возможность двухфакторной аутентификации, регистрации без номера телефона и удалённого уничтожения данных.
Что касается метаданных, то даже при защищённой переписке мессенджер может передавать идентификаторы пользователей. Для софта лучше, чтобы их не было и мессенджер не передавал данные о местоположении и тем более номер телефона, с которого используется. Иначе, даже не зная содержания переписки, эти данные можно сопоставить для нацеленной кибератаки. В частности, для этого оптимально подходят мессенджеры, которые не требуют сим-карту для идентификации — SimpleX, Threema, Briar. Есть вариант покупки анонимного аккаунта и у Telegram, но выше я упомянул о его недостатках в защищённости.
Двухфакторная аутентификация не позволит воспользоваться мессенджером, даже если он попадёт в руки злоумышленников. А удалённое уничтожение данных даёт уверенность в случае пропажи устройства, с которого велась переписка. Вроде бы просто, но такая функция есть не у каждого мессенджера.
Возможно, вас волнует защищённость Viber, Line, IMO и других мессенджеров, получивших популярность после замедления Telegram. Но по ним либо мало исследований, либо код закрыт, либо другие факторы не позволяют их рекомендовать. Их стоит использовать только в том случае, если они облегчают переписку с нужными вам контрагентами, но не пересылать через них критически важные данные.
Какой мессенджер выбрать?
Ситуация с мессенджерами может измениться в любой момент, так как разработчики дорабатывают свой софт, выпускают обновления, усиливая защиту. И наоборот — иногда идут на соглашение с локальными регуляторами. Поэтому стоит отслеживать новостной поток в каком-нибудь популярном новостном канале по ИБ. Он подскажет, если выйдут более совершенные версии или, наоборот, появятся новости о громких утечках данных и (через некоторое время) об их причинах. В утечках информации вовсе не всегда виноваты ОС без обновлений, уязвимости в мессенджерах и другие проблемы, связанные с работой разработчиков. Чаще всего пользователи сами добавляют в переписку не тех людей и засвечивают критически важные данные.
В итоге, как я и обещал во вступлении, идеального выбора не будет. Но из предложенных вариантов вы можете выбрать баланс между защищённостью, функциональностью и геополитическими рисками.
© 2026 ООО «МТ ФИНАНС»
Комментарии (19)

muxa_ru
17.06.2026 10:16Какие удивительные опечатки в слове "никак".

AlexFree2077 Автор
17.06.2026 10:16Если бы я написал "никак", вы бы пруфы потребовали — пришлось расписать подробнее)

rPman
17.06.2026 10:16'Лучший' месседжер - у каждого свой. Без единого центра, этого главной на текущий момент точки отказа.
Еще один центр отказа - источник распространения приложения или его исходных кодов.
Вопросы доверия чужому коду могут решить правильны песочницы.
Отсюда результат - мессенджер должен создаваться каждым пользователем (хоть с помощью ИИ), запускаться в браузере, хоститься у каждого клиента (этакая форма децентрализации).
Набор технологий для этого в принципе есть, в браузере есть webrtc, сервера TURN/STUN для организации соединений, шифрование встроено в webrtc, поддержка текста, аудио и видео так же встроено. Исключение массового пользователя облегчает реализацию (пользователи буквально - только твои собеседники).
Естественно это не невозможно заблокировать. И естественно, не обязательно каждой домохозяйке этим заниматься...

AlexFree2077 Автор
17.06.2026 10:16Я конечно пытался донести мысль, что идеальный мессенджер у каждого свой и я могу только подсказать, на что смотреть. Но до такого радикального решения не дошел)

Void-Cowboy
17.06.2026 10:16вот кстати в условиях развития ИИ "каждый со своим менеджером" это вполне реалистично. Вот только нужно согласовать единый протокол обмена децентрализованый
Хотя существует XMPP (он умеет в децентрализацию, но все равно нужны сервера, хоть и свои) причем довольно давно. Матрикс не рассматриваем, те же проблемы но еще сверху и ворох новых.
Разве что брать сетевой уровень и строить вокруг него - тот же Yggdrasil вообще "локальная сеть" то есть чат внутри него построить можно хоть на вебсокетах, хоть чистыми запросами, обойдясь одним фронт-ендом (а нейронки сейчас в этом уже хороши). То есть согласовать порт и простенький протокол, что бы не перегружать сеть и покатили. Вот я даже когда-то минимальный пример накидал для другого обсуждения: абсолютно рабочий чат на Yggdrasil без каких либо танцев и в минимум кода
Учитывая что в Yggdrasil публичные адреса уникальны, на них же можно и "книгу контактов" строить
Но это все теории и нужно жестко обсуждать и ограничивать, так как меш-сети слабы под большими потоками и нужно будет в самом "стандарте связи" прописывать лимиты и границы что бы всякие "гении" не ложили всю сеть своими стиминговыми гигабитными потоками

Fromych
17.06.2026 10:16Webrtc пробивает наты и фаерволы, но жрет батарею как не в себя. Для мобильного мессенджера это фатальный недостаток архитектуры.

rPman
17.06.2026 10:16можно принудительно рвать соединения при не активных вкладках/сне и надеяться на браузерные пуши (полностью на них нельзя, забанят при большом потоке)

smel1-2
17.06.2026 10:16какой? сам напиши свой месенджер, это самый надежный. Берешь открытый берти, в го и вперед.

strelkan
17.06.2026 10:16Странно что matrix не упомянут, ставится сервак synapse с вебмордой на впс, element на телефон, вот тебе и полноценный приватный мессенжер.
Причём приватность видно сразу - даже если собеседник залогинится с другого устройства, но не сможет подтвердить его авторизованность, то не сможет прочитать историю переписки в принципе

TritonNA
17.06.2026 10:16Пока только смс рулит по защищенности от бизнес шпионвжа, если тебя ФСБ не хочет пасти за налоги. Все остальные очень легко перехватываются, телеграмм особенно. Ни кто секретные комнаты не создаёт.

r23232r
17.06.2026 10:16если речь про смартфон для начала сносим вашу %name% ос и накатываем lineageos, graphenos, а уже потом можно говорить о каких-то меседжерах и прочих прикладных приложениях, в adguarde home очень хорошо всё видно, как мой хиаоми на линиагеос практически никуда ничего не шлёт, и риалми на стоковой прошивке это атас вообще
Скрытый текст

атас looks like this

Germanjon
17.06.2026 10:16Вы забываете про важную функцию "второго дна". Если товарищ майор задумчиво крутит в руках паяльник, пользователь обязательно поможет ему пройти двухфакторную аутентификацию и даст ключи end-to-end шифрования.
Как мне помнится, у наркобаронов уже был "самый безопасный мессенджер" ANOM, в котором было много и аппаратных и организационных новинок (за нового юзера должны были поручиться как минимум двое). Но был небольшой нюанс - мессенджер писался под управлением ФБР. Так что ключевой вопрос - не какой мессенджер безопасен, а спецслужбам какой страны вы готовы разрешить читать свою переписку

Fromych
17.06.2026 10:16Безопасность мессенджера заканчивается там, где начинается терморектальный криптоанализ
Никакое сквозное шифрование не спасет от паяльника или банальной социальной инженерии
PavelBelyaev
Такое ощущение, что статью писал ИИ, что-то в кучу всё свалили, много воды. Извините, но мне именно так показалось.
Oieth
А по каким признакам вы определили, что статью писал ИИ?
AlexFree2077 Автор
Длинные тире на автомате всю жизнь ставлю, а что из этого ИИ может написать, я хотел бы посмотреть
Fromych
Статья и правда малеху поверхностная. Нет разбора алгоритмов Диффи-Хеллмана, ничего про протокол Double Ratchet, одна общая теория для домохозяек