Retroscena
3744

Violazione della sicurezza di WhatsApp: i ricercatori trovano una backdoor, Facebook non se ne cura

Dominik Bärlocher
13.1.2017
Traduzione: tradotto automaticamente

Sebbene il servizio di messaggistica WhatsApp si vanti di essere una delle poche app diffuse con crittografia end-to-end, presenta una grave falla nella sicurezza che consente a WhatsApp e al suo operatore, Facebook, di leggere i tuoi messaggi.

WhatsApp è sicuramente il servizio di messaggistica più utilizzato in Svizzera. In tutto il mondo, più di un miliardo di persone lo utilizzano. Da aprile 2016 è stata integrata la crittografia completa end-to-end. Ciò significa che prima di lasciare il telefono, i messaggi vengono crittografati e decifrati solo dopo la ricezione.

Per spiegarlo meglio, ci vengono in aiuto Alice, Bob ed Eve. Alice e Bob vogliono chattare insieme ed Eve vuole leggere ciò che si scrivono. A proposito, il nome Eve deriva dal sostantivo inglese "eavesdropping", che significa "essere spiati".

Crittografia end-to-end: come funziona

  • Alice invia un messaggio a Bob
  • Prima che il messaggio lasci il telefono, il testo viene crittografato. La chiave pubblica è quella di Bob.
  • I pacchetti di dati crittografati passano da Alice a Bob
  • Sullo smartphone di Bob, i dati vengono decifrati, perché il suo telefono conosce la chiave.
  • Nel migliore dei casi, Eve può leggere i residui di dati illeggibili.

Bob può leggere il messaggio perché ha ricevuto in anticipo la chiave di Alice. Di solito questo avviene automaticamente. Poiché sia Alice che Bob sono attenti alla loro sicurezza, hanno controllato le loro chiavi. Ecco come si fa in WhatsApp:

  1. Nella finestra della conversazione, su Android, clicca sui tre puntini in alto a destra. Su iOS basta cliccare sul nome
  1. Clicca su Mostra contatto
  2. Clicca su Chiffrement
  3. Appare un codice QR
  4. Il tuo interlocutore scansiona il codice

Quando la chiave generata automaticamente da WhatsApp è buona, appare un piccolo segno di spunta verde. Quando la chiave è sbagliata, appare un messaggio su sfondo arancione che ti informa che la chiave della chat non corrisponde a quella del tuo corrispondente. In un esempio, potrebbe apparire qualcosa di simile a questo, anche se l'attacco è poco pratico e ovvio:

  1. Alice vuole essere sicura di chattare con Bob
  1. Tuttavia, Eve ha registrato il suo numero sul cellulare di Alice come Bob
  1. Alice scansiona il codice di Bob
  2. Appare il messaggio arancione
  3. Alice ora sa che non sta chattando con Bob

La crittografia end-to-end è uno dei beni più preziosi della comunicazione digitale, in quanto garantisce l'integrità di una conversazione con mezzi relativamente semplici.

La violazione della sicurezza

Tuttavia, Tobias Boelter, ricercatore di sicurezza informatica, ha scoperto che la crittografia end-to-end può essere aggirata con mezzi semplici.

Ecco come si presenterebbe la situazione con Alice e Bob:

  1. Alice invia a Bob un messaggio
  2. Il messaggio viene decriptato con la chiave di Bob
  1. Il messaggio viene inoltrato a Bob tramite il server di WhatsApp
  1. Quando però il server rilascia una nuova chiave a Bob subito dopo l'invio - nota: questo avviene automaticamente - il telefono di Alice invia nuovamente il messaggio, ma con la nuova chiave.

Quindi WhatsApp può anche leggere i testi. Solo dopo l'invio del secondo messaggio, Alice viene avvertita che potrebbe esserci qualcosa di sospetto. Al contrario, Bob non deve necessariamente accorgersi che Eve sta seguendo la discussione, poiché il server può semplicemente inoltrare il primo messaggio a Bob.

Perché è un problema?

In questo caso, Eve rappresenta tutti coloro che hanno accesso all'infrastruttura del server di WhatsApp. Non deve essere necessariamente la società madre Facebook, ma potrebbe anche essere un governo con il decreto necessario. L'NSA potrebbe essere un candidato molto interessato a questo tipo di violazione. Ma non dimentichiamo la polizia se ha dei sospetti e un'ordinanza del tribunale. Questo riguarda anche gli utenti svizzeri dopo una votazione nell'autunno del 2016.

Bref; le tue chat private non sono più necessariamente private.

Facebook non sta facendo nulla per questa violazione

Tobias Boelter ha scelto la strada della Responsible Disclosure. In altre parole: si è fatto conoscere come ricercatore di sicurezza e ha comunicato il bug a Facebook il 10 aprile 2016. La risposta del gruppo è arrivata il 25 maggio 2016:

Questo è un comportamento atteso

Ovviamente, Boelter ha chiarito che questo non dovrebbe essere un comportamento atteso né pianificato dell'app. Facebook ha risposto il 31 maggio 2016:

Questo dettaglio ci era già noto da tempo[...] attualmente, non stiamo cercando attivamente di affrontarlo

Alternative sicure

Nel frattempo, dovrebbe essere chiaro che WhatsApp non è sicuro e non dovrebbe in nessun caso essere utilizzato da persone che non amano essere intercettate. Anche se ti dici "non ho nulla da nascondere, quindi non mi può succedere nulla di male", dovresti cercare un'alternativa.

Io ti consiglio Signal.

Signal funziona quasi come WhatsApp, supportando l'invio di immagini e testi, Emoji e video. In questo caso, sono soprattutto i meccanismi di crittografia a essere importanti. Il programmatore di "Open Whisper Systems" non solo ha inventato la crittografia per Signal, ma l'ha anche trasferita a WhatsApp. Ma a differenza di WhatsApp, Signal non pretende di inviare di nuovo un messaggio dopo aver ricevuto una nuova chiave.

A proposito, Open Whisper Systems si impegna per la tua privacy. Questo è già evidente nel volume di dati che possono essere registrati dal server:

WhatsApp

  1. Timestamp di ogni messaggio
  2. Ricezione positiva di ogni messaggio
  3. Numero di telefono del mittente
  4. Numero di telefono del destinatario
  5. Liste di contatti del mittente e del destinatario
  6. "Altre informazioni", che non sono esplicitamente formulate dalla casa madre.

Segnale

  1. La data dell'ultima connessione dell'utente

Questo è tutto.

Inoltre, Signal dispone di un plugin Chrome, che consente di passare le chat dal cellulare al PC o al Mac.

Perché cambiare servizio di messaggistica

Ti sento già dire: "Sì, ma tutti i miei amici usano WhatsApp e quindi devo fare lo stesso". Al contrario. La sicurezza non inizia con i tuoi amici o con Facebook. Sei prima di tutto un utente adulto in grado di prendere le proprie decisioni.

Ancora meglio: puoi diventare il pioniere. Se aspetti il cambiamento, non succederà mai nulla. Puoi dire ai tuoi amici quello che ti ho detto in questo articolo o inviare loro il link - se necessario, puoi anche usare WhatsApp. Poi puoi cancellare WhatsApp, installare Signal e continuare a chattare con le stesse persone. Perché come WhatsApp, anche Signal utilizza il numero di telefono come identificativo. In generale, non noterai molte differenze tra Signal e WhatsApp, a parte il fatto che Signal è blu e WhatsApp è verde. Non devi essere "esperto di tecnologia" perché, a parte l'installazione dell'applicazione, non devi fare nulla. E sappi che la tua privacy è importante.

Quindi stai attento, rimani sveglio e divertiti.

Potresti essere interessato anche a questi articoli:

  • Retroscena

    Indagando le digitec phishing mail

    di Dominik Bärlocher

A 37 persone piace questo articolo

User Avatar
User Avatar
Dominik Bärlocher
Senior Editor
dominik.baerlocher@digitecgalaxus.ch

Giornalista. Autore. Hacker. Sono un contastorie e mi piace scovare segreti, tabù, limiti e documentare il mondo, scrivendo nero su bianco. Non perché sappia farlo, ma perché non so fare altro.

Smartphone
Segui gli argomenti e ricevi gli aggiornamenti settimanali relativi ai tuoi interessi.

44 commenti

Avatar
later