electronic frontier foundation whatsapp
Sicurezza

Pericolo WhatsApp: così leggono i nostri messaggi

Scovata una backdoor a bordo del servizio di chat più diffuso: cosa rappresenta e perché è un pericolo per la privacy

Aggiornamento 13 gennaio ore 17.00

Di seguito il comunicato di WhatsApp in merito all’articolo pubblicato:
"Il Guardian ha pubblicato un articolo questa mattina affermando che la scelta di WhatsApp di impedire alle persone di perdere milioni di messaggi è una backdoor con cui i governi possono forzarci per decifrare le conversazioni. Questa affermazione è falsa. WhatsApp non fornisce ai governi una "backdoor" nei suoi sistemi e avrebbe combattuto ogni richiesta in merito. La scelta progettuale a cui fa riferimento l’articolo impedisce a milioni di messaggi di essere persi e WhatsApp offre notifiche di sicurezza che avvertono di potenziali rischi. Siamo sempre trasparenti in merito alle richieste ricevute, pubblicando i dati relativi all’interno del Facebook Government Requests Report”.

___________________

Una falla informatica su WhatsApp mette in pericolo le conversazioni di oltre 1 miliardo di utenti. Come è possibile? Grazie a un bug nel sistema di crittografia end-to-end (qui il significato) che, almeno in teoria, dovrebbe mantenere segreti i messaggi scambiati tra le persone, rendendoli illeggibili nel caso venissero intercettati da soggetti estranei. “L’idea è semplice, quando mandi un messaggio, l’unica persona che può leggerlo è quella (singola o di gruppo) a cui lo hai indirizzato. Nessun altro può intercettarlo, né cybercriminali né hacker o regimi autoritari, nemmeno noi. La crittografia end-to-end ci aiuta a rendere le comunicazioni su WhatsApp private, come se si svolgessero faccia a faccia” – scriveva la compagnia lo scorso aprile, al lancio della novità.

Dove casca l’utente

E invece no, qualche ora fa un paio di esperti di sicurezza (principalmente dell’Università della California) hanno lanciato l’allarme: la crittografia end-to-end svolge il suo compito solo in parte, proteggendo i contenuti a comunicazione avvenuta, cioè quando il telefono del destinatario ha effettivamente ricevuto il messaggio. Può succedere infatti che il mittente invii qualcosa all’amico che in quel momento non è connesso a internet oppure non ha abbastanza campo mobile per usare il servizio; in tal caso i tecnici di WhatsApp possono generare automaticamente una chiave temporanea, intesa come valida, con cui tradurre i messaggi sottratti al primo soggetto, lasciando poi che testi, foto e video arrivino realmente a destinazione, attraverso un’altra chiave crittografica.

È chiaro che in questo modo nessuno si accorge di nulla, visto che la backdoor messa in piedi dalla piattaforma non preclude la ricezione delle chat, anzi non spunta nemmeno in blu il messaggio letto quando lo intercetta prima dell’utente vero e proprio.

Doppione pericoloso

Per semplificarla, è come se qualcuno avesse una copia delle nostre chiavi di casa e ne faccia uso quando non ci siamo per entrare, sbirciare nella nostra intimità ma senza rubare nulla o lasciare traccia del proprio passaggio. Se vi vengono i brividi solo a pensarci, lo stesso dovrebbe accadere al pensiero di un occhio vigile sulle conversazioni che intrattenete con amici, famigliari e colleghi.

 

WhatsApp potrebbe evitare una situazione del genere? Si, rendendo la crittografia utile anche prima della ricezione del messaggio. Tobias Boelter, il ricercatore statunitense che ha scoperto la falla, dice di aver contattato la compagnia lo scorso aprile, proprio nel momento del lancio della crittografia end-to-end. La risposta? Il team era al corrente della situazione e la considerava normale, per nulla preoccupante.

Eppure lo è, soprattutto se consideriamo quello che sta succedendo nel mondo della sicurezza informatica. Se a intrufolarsi tra le conversazioni non ricevute può essere la stessa WhatsApp (o qualche hacker con i virus via catena), immaginiamo che un’operazione del genere possa essere compiuta da hacker coordinati da stati particolarmente attivi nel campo dello spionaggio. Anzi, se pressata, proprio l’azienda del gruppo Facebook non avrebbe difficoltà ad agire per recuperare il contenuto delle chat, senza che nessuno se ne accorga.

Come proteggersi

Ci sono pratiche da seguire per rendere il proprio profilo più sicuro? Si, prima di tutto entrando nelle impostazioni del servizio e cliccando su Account e poi Sicurezza. Qui bisogna attivare “Mostra notifiche di sicurezza” per essere certi di ricevere un avviso quando il codice crittografico di un contatto cambia. In questo modo, se qualcuno tenta di alterare la chiave di un amico, intromettendosi nella comunicazione, si dovrebbe visualizzare un avviso ma, visti i tempi e la scoperta, non è detto sia davvero così.

Un’alternativa? Qui ce ne sono almeno 5: passare a qualcosa di più sicuro, tipo ChatSecure, che oltre alla crittografia end-to-end sfrutta quella OTR, tra AES e chiavi a 128 bit. C’è da fidarsi, almeno per il momento.


© Riproduzione Riservata

Commenti