WhatsApp
Fondata nel 2009, WhatsApp è di gran lunga l'applicazione di instant messaging più utilizzata al mondo dai possessori di smartphone e tablet. Il servizio è diventato molto popolare, generando numeri sempre più elevati, fino a raggiungere il miliardo di utenti attivi nello scorso gennaio. Più di dodici mesi fa è stata acquisita da Facebook per l'enorme somma di 19 miliardi di dollari e, da quel momento, le richieste in termini di privacy sono aumentate, sia da parte degli utenti che dalle aziende che utilizzano il servizio. Nel futuro prossimo, saranno proprio le aziende a generare gli introiti persi dall'abbonamento annuale: pensiamo al servizio clienti di una banca che utilizza comunicazioni non criptate. Ecco perchè nell'ultima beta disponibile su Android, la 2.12.411, ha fatto la sua comparsa la crittografia end-to-end, che sarà poi introdotta anche nella versione normale. Si tratta di un miglioramento sostanziale in materia di sicurezza, che rende di fatto impossibile a terzi di leggere i contenuti dei messaggi - incluso Facebook.
WhatsApp e i problemi di privacy
WhatsApp è sempre stata criticata per le sue falle di sicurezza, tanto che alcuni utenti sono passati alla concorrenza. I problemi sono cominciati nel lontano 2011, anno in cui un buco nell'applicazione ha permesso ai cracker di entrare - ovviamente senza permesso - nella sessione di messagging degli utenti, dando inizio ad un vero e proprio sniffing dei pacchetti; questo ha dato loro l'opportunità di leggere ogni singolo carattere inviato dai malcapitati. La falla è stata velocemente scoperta dall'azienda, che vi ha posto rimedio con una nuova versione dell'app, ma l'anno dopo i grattacapi si sono ripresentati: diversi criminali informatici infatti riuscirono a cambiare lo stato degli utenti registrati su WhatsApp. Questo evento ha fortunatamente portato un primo approccio alla crittografia, che a tale punto si è rivelata necessaria. Non è stata però applicata ai messaggi delle chat vere e proprie, in quanto questi continuavano ad utilizzare un metodo crittografico piuttosto blando: l'app si serviva della stessa chiave sia per il mittente che il destinatario, scelta che non ha posto freni nella agevole decrittazione dei messaggi. L'acquisizione da parte di Facebook non ha poi aiutato gli sviluppatori, poiché la mossa è stata vista dagli utenti come il colpo decisivo alla privacy dei loro dati. Per porre freno alle critiche, WhatsApp ha deciso - a fine 2015 - di cambiare rotta, al fine di evitare che i loro clienti passassero alla concorrenza. L'effetto è stato quello di stabilire una partnership con Open Whisper System, un'organizzazione no-profit che sviluppa software libero, per offrire supporto alla crittografia end-to-end. Rendere sicura un'applicazione del calibro di WhatsApp non è opera facile, e il lavoro da fare è stato duro. "Stiamo integrando TextSecure nella più grande applicazione di messaggistica al mondo, tramite cui le persone si scambiano miliardi di messaggi al giorno. Penso che mai prima d'ora abbiamo applicato la crittografia end-to-end ad una piattaforma così grande.", ha fatto sapere Moxie Marlinspike, creatore di Open Whisper Systems. Per soddisfare le forti necessità è stato messo in campo l'appena citato TextSecure, un servizio che associa una chiave crittografica ad ogni dispositivo. Il fatto rilevante è che la chiave è univoca per ogni device che possiede WhatsApp: una soluzione di questo tipo è praticamente inviolabile. Essa fa uso di un protocollo nominato forward secrecy che rinnova la chiave ad ogni messaggio, per una sicurezza ancora più elevata. Con i suoi pro e i suoi contro, nemmeno le forze dell'ordine sarebbero capaci di decriptare i messaggi codificati da TextSecure.
Perché crittografare i messaggi end-to-end è essenziale?
Crittografare un messaggio di testo significa, molto banalmente, associargli una chiave univoca che solo il sistema conosce. I dati appariranno ad entità esterne solo con la propria chiave, che dovrà essere decodificata per accedere al vero contenuto informativo. Fino a poco tempo fa, WhatsApp conservava le chiavi associate agli utenti sui propri server, e quindi aveva in teoria accesso ad ogni messaggio. Utilizzare la crittografia end-to-end, invece, impone di salvare le chiavi per la decodifica esclusivamente sul dispositivo del cliente, a cui nemmeno l'azienda può accedere. Gli utenti comuni non noteranno alcun cambiamento, in quanto è un aggiornamento che l'azienda effettuerà in background. Con questa scelta, WhatsApp si è addirittura posta davanti alla concorrenza, poiché molti si servono ancora dello storage delle chiavi sui propri server. Tale decisione non farà di certo piacere alle forze dell'ordine ed alle agenzie di sicurezza globali - incapaci di accedere alle informazioni - ma per l'utente finale è una garanzia in più. "Uno degli obiettivi di WhatsApp è quello di sapere il meno possibile sui nostri clienti. Il rispetto della privacy è stampato nel nostro DNA.", ha affermato il CEO di WhatsApp, Jan Koum.
Sfortunatamente, esistono ancora metodi per invadere la privacy dell'utente. I cracker possono per esempio guardare la data e l'ora dell'ultimo accesso - anche se l'utente attiva le impostazioni di privacy più stringenti. La buona notizia è che portare a termine tale azione non è così semplice, inoltre i messaggi rimangono comunque al sicuro. WhatsApp non ha ufficialmente risposto in merito a quest'ultimo difetto, ma speriamo lo faccia a breve.
Per quanto un’azienda si possa sforzare, nel mondo digitale odierno la sicurezza assoluta è semplicemente un’utopia. Nessuno potrà mai garantire l'assenza di violazioni, perché le falle in un software sono tante e spesso difficili da scovare. Non appena se ne tappa una se ne scopre un’altra, e tutto il gioco sta nell’ottenere una rapida reazione da parte della società interessata. Per gli utenti finali questo è un cambiamento richiesto a gran voce, in particolar modo dai più attenti alla privacy. Ma WhatsApp non ha intenzione di fermarsi qui: aggiungerà a breve una feature che permetterà di verificare l’identità degli utenti in base alla loro chiave crittografica. Essa costituirà un ulteriore schermo contro attacchi di tipo man-in-the-middle. Dopo l’abolizione del canone annuale, si tratta di un altro importante traguardo per WhatsApp, i cui aspetti cardine hanno avuto un deciso miglioramento negli ultimi tempi. Un passo storico per la più importante applicazione di instant messagging, che ha finalmente dimostrato che i propri sviluppatori tengono alla privacy ed alla sicurezza dei clienti.
