di ANDREA NEPORI
“I messaggi che invii in questa chat sono protetti con la crittografia end-to-end”. È il messaggio che, da qualche mese a questa parte, Whatsapp mostra all’avvio di ogni nuova conversazione. Significa, in parole povere, che nessuno al di fuori dei partecipanti alla chat può avere accesso ai messaggi inviati e ricevuti. Nemmeno Whatsapp o Facebook, che detiene il controllo del servizio, perché la cifratura avviene a livello di dispositivo.
Una falla di scoperta da alcuni esperti di sicurezza e resa pubblica dal Guardian mette in dubbio quest’affermazione e rivela che in realtà le due aziende possono potenzialmente leggere in chiaro le conversazioni degli utenti. Il problema non riguarda il protocollo di cifratura “Signal”, usato anche dall’omonima applicazione (indicata da Edward Snowden come la più sicura in assoluto), ma attiene alla procedura con cui Whatsapp lo implementa.
All’attivazione di una chat sicura, i dispositivi condividono delle chiavi di sicurezza univoche che non possono essere intercettate, nemmeno dal gestore del servizio. Whatsapp può tuttavia creare nuove chiavi indipendenti mentre uno degli utenti è offline e forzare il re-invio di messaggi precedenti cifrati con le nuove chiavi. Il ricevente non viene avvisato del cambio, mentre chi invia il messaggio riceve una segnalazione solo se ha spuntato manualmente una specifica opzione di sicurezza disattivata di default.
Il risultato è che Whatsapp o Facebook in questo modo potrebbero ricostruire e leggere intere conversazioni cifrate.
Che non lo abbiano mai fatto, poco importa: il rischio, secondo gli esperti e gli attivisti per la privacy, è che questa falla sulla carta potrebbe costringere le due aziende a fornire conversazioni e messaggi agli enti e alle agenzie governative che ne facciano richiesta. L’unico scudo contro l’eccessiva ingerenza dei controllori, soprattutto negli stati più autoritari, è l’impossibilità materiale di accedere ai messaggi degli utenti. Una barriera che, a causa di questa falla, rischia di venire meno.
Facebook e Whatsapp dal canto loro si difendono dicendo che il sistema è stato implementato in questo modo per evitare la perdita di messaggi nel caso di un cambio di SIM o di smartphone, due situazioni in cui le chiavi di sicurezza vengono rigenerate in automatico dal dispositivo. Quanto alle richieste da parte dei governi, i portavoce di Whatsapp rimandano al rapporto sulle richieste degli enti governativi per il 2016, appena pubblicato da Facebook. L’azienda sottolinea che l’affermazione del Guardian secondo cui l’app prevederebbe una backdoor che permette ai governi di forzare WhatsApp per decifrare le conversazioni “è falsa. WhatsApp non fornisce ai governi una backdoor nei suoi sistemi e avrebbe combattuto ogni richiesta del governo per la creazione di una backdoor”.
Tobias Boelter, l’esperto di crittografia e ricercatore presso l’Università della California a Berkeley che per primo ha scoperto il problema di sicurezza, aveva già informato Facebook ad aprile del 2016. In quell’occasione da Menlo Park risposero che erano a conoscenza della situazione, che si trattava di un comportamento previsto e che al riguardo non sarebbero stati presi provvedimenti.
http://www.lastampa.it/2017/01/13/tecnologia/c-una-falla-in-whatsapp-i-messaggi-privati-non-sono-al-sicuro-anche-se-criptati-r7fA5P0ckrVIBRuqlQ0QoK/pagina.html
Nessun commento:
Posta un commento