WhatsApp
Da quando il più noto sistema di messaggistica istantaneo è stato acquisito da Facebook, la sicurezza e la privacy degli utilizzatori di WhatsApp ha avuto degli alti e bassi. Gli sviluppatori hanno per esempio implementato un sistema di crittografia end-to-end, il quale rende teoricamente impossibile ad un ente esterno la lettura dei messaggi che gli utenti si scambiano, ma dall'altro lato ricordiamo quando alcuni suoi utilizzatori scoprirono una voce (che può essere disattivata) che consentiva il passaggio delle informazioni racimolate da WhatsApp verso Facebook.
Il sistema di crittografia end-to-end sembra però avere una vulnerabilità piuttosto importante, che può permettere, in linea teorica, la lettura dei messaggi da parte di WhatsApp. La casa madre ha ribadito che nessuno può avere accesso al testo scambiato fra gli utenti, nemmeno la compagnia e il suo staff, e che la privacy di miliardi di utenti non è a rischio. I ricercatori che stanno indagando sulla vicenda dicono però il contrario: qual è la verità?
La crittazione end-to-end possiede una backdoor
Alcuni esperti di sicurezza affermano che WhatsApp abbia una vulnerabilità che consentirebbe attacchi da remoto, una backdoor in pratica: da qui, in linea teorica, il team di WhatsApp potrebbe accedere ad intervalli di tempo prefissati ai messaggi di alcuni individui determinati. È quindi una falla che verrebbe utilizzata "a tempo", non applicabile per una sorveglianza di massa. Questo potrebbe farci capire che il buco verrebbe sfruttato solo quando necessario, per esempio nel corso di indagini di polizia.
La crittazione end-to-end di WhatsApp fa leva sulla generazione di tante chiavi di sicurezza, usando un protocollo sviluppato da Open Whisper Systems: le chiavi sono scambiate e verificate tra gli utenti prima di inviare qualsivoglia messaggio, in maniera tale che chiunque si metta nel mezzo del percorso che va da dispositivo a dispositivo abbia bisogno della suddetta key per decifrare il testo.
Quello che non tutti sanno è però che WhatsApp può, in qualsiasi momento, forzare la generazione di nuove chiavi di crittazione quando gli utenti sono offline; i messaggi successivi a quest'azione vengono così consegnati con la suddetta chiave. Colui che riceve il messaggio non si accorge di nulla, mentre il mittente riceve una notifica solo se ha attivato queste ultime nelle impostazioni per la crittazione. Questa pratica permetterebbe in sostanza a WhatsApp di leggere i messaggi degli utenti.
I ricercatori sembrano essere d'accordo
La "falla" è stata scoperta da Tobias Boelter, un crittografo ed esperto di sicurezza all'University of California di Berlkey. Egli ha affermato, in un'intervista a The Guardian, che "se a WhatsApp fosse richiesto, da un'agenzia del governo, di rendere ad essa noti i record dei messaggi scambiati fra due utenti, allora il team in mano a Facebook potrebbe effettivamente ottenere l'accesso tramite la generazione di nuove key". La vulnerabilità non è inerente al protocollo di Open Whisper System, in quanto un'altra applicazione simile, Signal, utilizza lo stesso protocollo ma non soffre di tale problematica.
La questione scotta perché sembra qualcosa di voluto più che una falla di sicurezza, una backdoor creata ad hoc per lo spionaggio, e tutto senza la possibilità che l'utente possa prevenirlo. Boelter ha infatti affermato che il tutto è cominciato dall'aprile del 2016, e Facebook ne è a conoscenza da un bel po' di tempo e che il buco è stato etichettato come un "comportamento previsto", utile nel caso di smarrimento della SIM o dello smartphone per recuperare i messaggi.
Steffen Tor Jense, numero uno della sezione di Information Security and Digital Counter-Surveillance dell'European-Bahraini Organisation for Human Right, studiando l'argomento ha verificato e confermato le afermazioni di Boelter: "Il team di WhatsApp può sostituire le chiavi di sicurezza quando i dispositivi sono offline, le quali verranno utilizzate all'invio del primo messaggio dopo il cambio, senza far sapere agli utenti in maniera chiara che la chiave non è più la stessa, fornendo a conti fatti una piattaforma estremamente insicura". Alla luce di tali dichiarazioni, Boelter ha aggiunto: "Qualcuno potrebbe obiettare per il fatto che la vulnerabilità può essere utilizzata solo per sniffare messaggi singoli e determinati, ma non l'intera conversazione. Questo non è vero se consideriamo che i server di WhatsApp possono inviare i messaggi, volendo, senza inviare la relativa notifica del cambio chiave, e che quindi tale tecnica può essere impiegata più volte senza dare nell'occhio. Il risultato è che una conversazione intera può essere letta in maniera piuttosto agevole".
Nella vicenda è intervenuta anche la professoressa Kirstie Ball, dell'Università di St. Andrews, che ha considerato tale falla "una miniera d'oro per le agenzie di sicurezza" e "un grosso attacco alla fiducia dei consumatori", aggiungendo anche: "Gli utenti diranno che non hanno nulla da nascondere, ma non possiamo sapere per che tipologia di informazione possano indagare e su quali connessioni stiano investigando".
Un bonus per i governi?
In Inghilterra è recentemente passata la Investigatory Powers Act, una legge che consente al governo inglese di intercettare i dati, nudi e crudi, degli utenti, raccolti dalle varie società private nel campo dell'ICT, e di farlo anche se non c'è alcun sospetto di attività criminali riguardanti una determinata persona. Si tratta di un provvedimento simile a quello adottato dagli Stati Uniti per il dopo-Snowden. Il governo ha anche il potere di forzare le aziende ad adottare delle misure di protezione che permettono, quando necessario, di penetrare nei sistemi e collezionare informazioni di vario genere; questo ha fatto sì che varie società inglesi rimuovessero degli strati di protezione dai dati proprio per facilitare l'accesso. WhatsApp ha risposto ufficialmente alla questione lasciando uno statement nel quale si diceva che "WhatsApp non dà ai governi una backdoor per penetrare i nostri sistemi, e ci impegniamo a combattere qualsiasi richiesta di tale tipologia".
Con l'introduzione della criptazione end-to-end, gli utenti avrebbero dovuto dormire sonni tranquilli, ma non sembra essere proprio così. WhatsApp ha un’impostazione ad hoc per mostrare una notifica quando il codice di sicurezza dell’utente con cui stiamo parlando cambia (sotto la voce “Impostazioni > Account > Sicurezza”), ma secondo i ricercatori di sicurezza tale settaggio sarebbe poco utile se si decidesse di accedere ai dati. La questione fa sicuramente drizzare le orecchie agli utilizzatori dell’app, che vedrebbero quindi minata la privacy. Allo stato attuale WhatsApp nega tutto, ma sono diversi gli esperti di sicurezza che affermano il contrario, per una questione che non mancherà di riservare altre sorprese in futuro.
