Whatsapp-Web

Una vulnerabilità in WhatsApp permette di intercettare i messaggi (Aggiornato: risposta di WhatsApp)

Giuseppe Tripodi - Secondo gli esperti, questa backdoor è una gravissima pecca per un'app che vorrebbe fare della sicurezza delle chat uno dei suoi punti di forza.

Un ricercatore di sicurezza e crittografo dell’Università della California, Tobias Boelter, ha denunciato una vulnerabilità in WhatsApp che, potenzialmente, permette alla società (e ai governi che ne fanno esplicita richiesta) di intercettare i messaggi scambiati tra due contatti, nonostante la crittografia end-to-end, configurandosi a tutti gli effetti come una backdoor.

WhatsApp, già dal lontano 2014, ha adottato la crittografia end-to-end dei messaggi di default, implementando il protocollo Signal, sviluppato da Open Whisper Systems, e utilizzato dall’omonima app di messaggistica istantanea, raccomandata anche dal whistleblower Edward Snowden che nel 2013 svelò i programmi di sorveglianza di massa dell’NSA.

Di per sé questo protocollo non presenta falle note e garantisce che nessuno possa accedere il contenuto dei messaggi, eccetto chi l’ha inviato e chi l’ha ricevuto. Questa sicurezza viene garantita dagli standard della crittografia end-to-end, che prevede che i due partecipanti alla chat si scambino una chiave di sicurezza: ogni messaggio inviato nelle conversazioni viene cifrato con entrambe le chiavi e, per questo, non può essere letto da terzi.

Tuttavia, come spiegato dal Guardian, nell’implementare il protocollo Signal, WhatsApp avrebbe lasciato una backdoor: quando uno un utente è offline, WhatsApp può forzare la generazione di una nuova coppia di chiavi, all’insaputa dei due partecipanti alla chat. I messaggi che non sono stati consegnati al destinatario vengono quindi criptati con queste nuove chiavi e inviati nuovamente: tuttavia, questo processo permette a WhatsApp di intercettare e leggere il contenuto di questi messaggi .

Qualcuno potrebbe obiettare che WhatsApp può quindi leggere solo questi messaggi, ma non è così: Boelter ha infatti spiegato che sfruttando questo sistema di ritrasmissione, WhatsApp può potenzialmente accedere alla trascrizione dell’intera conversazione, e non soltanto di alcuni messaggi.

Vale la pena precisare che l’unico modo per accorgersi della generazione di nuove chiavi di sicurezza è aprire le Impostazioni di WhatsApp, selezionare Account > Sicurezza e abilitare la spunta Mostra notifiche di sicurezza (disabilitata di default). In questo modo, WhatsApp segnalerà il cambiamento delle chiavi di sicurezza a chi ha inviato il messaggio, ma solo dopo che questo è stato ritrasmesso.

LEGGI ANCHE: Telegram è l’app di chat preferita dai nostri lettori

Boelter aveva segnalato la vulnerabilità a Facebook nell’aprile 2016, ma l’azienda aveva risposto di essere al corrente della situazione e che questo era il funzionamento previsto, per evitare che i messaggi andassero persi nel caso uno dei due utenti fosse offline. Ribadiamo che su Signal non avviene nulla di simile e, nel caso il ricevente cambi chiave quando è offline, l’app semplicemente annulla l’invio e segnala a chi aveva mandato il messaggio il cambiamento delle chiavi di sicurezza.

Nonostante possa sembrare un aspetto da poco, questa vulnerabilità non è da prendere sottogamba, specialmente considerando che c’è chi usa WhatsApp proprio perché confida nella sicurezza dei propri messaggi, pensando che questi non possano essere intercettati da nessuno.

A proposito di questa questione, la professoressa Kirstie Ball, fondatrice e co-direttrice del Centre for Research into Information, Surveillance and Privacy dell’Università di Stirling, ha definito la backdoor di WhatsApp una miniera d’oro per le agenzie di sicurezza e un enorme tradimento alla fiducia degli utenti. In un secondo articolo riguardante le domande comuni e le implicazioni di questa backdoor, il Guardian ha scritto:

Dovrei smettere di usare WhatsApp?

Se utilizzi WhatsApp come uno strumento per evitare la sorveglianza governativa grazie ai suoi servizi di criptazione, devi smettere immediatamente.

Facebook e WhatsApp potrebbero essere obbligati a fornire l’accesso al contenuto dei tuoi messaggi alle agenzie governative, come il GCHQ britannico e la statunitense NSA.

Aggiornamento: Un portavoce di WhatsApp contattato dal team di TechCrunch ha affermato quanto segue:

Il Guardian ha pubblicato un articolo stamattina dove sostiene che una intenzionale scelta di progettazione di WhatsApp, che impedisce che le persone perdano milioni di messaggi, sia una backdoor che permette ai governi di costringere WhatsApp a decriptare i messaggi. E questo è falso.

WhatsApp non fornisce ai governi alcuna “backdoor” e si opporrebbe a qualsiasi richiesta governativa di crearne una. La  scelta di progettazione citata nell’articolo del Guardian imperdisce che milioni di messaggi vengano persi; inoltre, WhatsApp permette agli utenti di ricevere notifiche di sicurezza che li avvertano dei possibili rischi di sicurezza.

WhatsApp ha pubblicato dei documenti tecnici sul funzionamento del sistema di criptazione ed è stata sempre trasparente a proposito delle richieste governative che riceve, pubblicando i dati in questione nel Facebook Government Requests Report.

Fonte: The Guardian
  • Keeanow

    Caspita, mezz’ora e nessuno che scriva meglio telegram? 😕

    • lordronk

      Meglio CiaoIM ahahah

      • Andrea__93

        corro a scaricarloooooo AHAHAHAHA

    • Psyco98

      Sul fronte della sicurezza è così tanto scontato che non c’è nemmeno bisogno di dirlo

      • Dario · 753 a.C. .

        È una bella lotta anche col fronte funzionalità

        • Psyco98

          Obv, peccato solo per la scrittura corsivo, grassetto e sottolineato (molto più utile del barrato) che non c’è e per l’inoltro a una persona/gruppo per volta (che poi già per i canali si può, quindi non vedo perché non estenderlo)

          • Dario · 753 a.C. .

            si che c’è la formattazione del testo

          • Psyco98

            Davvero??? Come si fa? Ho telegram da un bel pezzo, ma questa non la sapevo!

          • Dario · 753 a.C. .

            chiedi al supporto

    • Ema

      Telegram nella chat normale non ha protezioni particolari, visto che i messaggi rimangono in cloud. Nella chat privata invece è impeccabile

      • Dario · 753 a.C. .

        Rimangono comunque tutti crittografati

        • Filo

          Anche se sono crittografati, telegram li può comunque vedere come e quando vuole tutti i messaggi scambiati (non considerando quelli segreti)

          • carlo

            se i messaggi sono cifrati end to end anche se rimangono sui server di telegram che differenza fa? sono dati cifrati.

          • se sono cifrati end to end allora non passano per il cloud xD
            per il cloud utilizza un’altro sistema di crittogradia, MTProto, realizzato dal team di telegram (e per questo tanto criticato), che consiste nel cifrare messaggi, foto, ecc.. inviarli al destinatario, ma salvandoli prima nel cloud (sempre cifrati).
            la crittografia ce l’hai sia per le chat normali che quelle segrete, ma la crittografia end to end è solo per le chat segrete

          • carlo

            hai ragione ho scritto di fretta e molto male quello che volevo dire. riaggiustando il messaggio… se i messaggi sono cifrati end to end o rimangono cifrati sui server di telegram che differenza fa? sono dati cifrati.

          • l’unica cosa di cui ci si potrebbe lamentare è che quelli di telegram hanno le chiavi e quindi potrebbero decifrare i messaggi (non sono sicuro che le abbiano le chiavi, è una supposizione)

          • carlo

            apple con icloud ha detto che per come è implementato icloud e quindi imessage non possono decifrare messaggi e file archiviati dai clienti anche volendo. dovrebbero cambiare il codice di icloud per farlo. immagino quelli di telegram abbiano fatto qualcosa di simile. nel caso cmq nulla vieterebbe loro di cambiare il codice che cestisce i servizi per accedere ai dati, sta tutto nella serietà dei fornitori di servizi probabilmente.

          • Filo

            cifrati? e con che chiave? quella che hanno generato loro…

          • Luca Serri

            La chiave che cifra i messaggi di Whatsapp chi la genera, Topolino?

          • Filo

            La chiave la genera sempre Whatsapp, ma se per whatsapp non siamo certi se i nostri messaggi vengano intercettati oppure no, per telegram siamo più che certi che ci possono spiare tutte le normali conversazioni…

          • Luca Serri

            Ma non è vero, te l’ha già spiegato un altro utente che nulla vieta di cifrare anche i dati sul cloud. Anzi, a dirla tutta forse con Telegram puoi avere la certezza opposta, ossia che non possono spiare nulla (visto che è open source e quindi hai accesso al codice sorgente).

          • Filo

            Il codice sorgente dell’applicazione server è sempre stato closed source. L’altro utente si riferiva alle chat segrete, ma alle chat normali non è possibile crittografarle in alcun modo, o per lo meno, sono crittografate fino ai server di Telegram, e quindi leggibili da loro

          • Luca Serri

            Ma dove l’hai letto che i messaggi arrivano sui server in chiaro e solo lì vengono criptati? Se i messaggi arrivassero sui server già crittografati saresti già tranquillo, perchè chiunque li recuperasse non avrebbe la possibilità di decrittografarli.

          • Filo

            Basta pensare usando l’applicazione desktop per capire che, anche se dovessero essere crittografati sui server loro hanno l’accesso. Per accedere ai tuoi messaggi dal PC basta soltanto numero di telefono (che loro sanno) e il codice che arriva via SMS (che lo inviano loro). Questo procedimento lo potrebbero fare anche loro e quindi possono accedere tranquillamente a tutte le conversazioni

          • a789

            E la mia password two step

          • Filo

            ma anche quella è sempre gestita da loro, non mi convince la cosa

          • Luca Serri

            Allora anche Whatsapp usando la stessa procedura può scaricarsi il backup fatto su cloud, quindi siamo da capo.

          • Filo

            Si, così si, non ci avevo pensato

          • carlo

            Non conosco il funzionamento di MTProto immagino sia simile o abbia lo stesso risultato di sicurezza e cifratura che usa Apple per iMessage/iCloud.
            se hai informazioni condividile…

          • a789

            End to end no, solo con le chat segrete

          • carlo

            ho scritto sotto che avevo scritto di fretta e molto male il concetto che volevo esprimere… 😉

        • Ema

          Si infatti non ho detto che non lo sono👍🏻

      • non ha particolari protezioni?? che stai dicendo??
        tutti i messaggi ANCHE quelli nelle chat normali i nei gruppi SONO CIFRATI tramite il protocollo MTProto, e sui server vengono memorizzate cifrate, quindi anche se ci fosse un furto di dati nei server di telegram un malintenzionato non può comunque leggere le tue conversazioni.

        • Pantheon

          Mtproto non è che sia un granché sicuro ….Non è open source ed é usato solo da loro …
          E lo dico da assiduo utilizzatore di telegram ,più di WhatsApp lo uso

        • Ema

          Io non ho detto che non sono protetti, ho detto che non hanno una particolare protezione. In linea teorica il protocollo della crittografia end to end è, almeno per ora, il più sicuro. Però su Telegram questo non è possibile applicarlo vista la memorizzazione in cloud. Questo non implica che non siano crittografati, cosa che non ho infatti detto.

          • be ma è pur sempre una sicurezza, quindi dire che non ha una protezione particolare, non è che abbia molto senso

          • Ema

            Hai ragione, probabilmente mi sono espresso male

  • Tiwi

    insomma..usano la crittografia “migliore” e poi la truccano x avere accesso ai dati degli utenti..insomma, classico del gruppo FB

  • Conan

    Signal è l’unico decente…

    • per fare lunghi e interessanti monologhi xD
      a parte gli scherzi… di certo signal meriterebbe molto più successo, ma purtroppo si sa che non viene mai premiato il migliore, e fino a che la gente continua ad usare whatsapp a prescindere, è inutile che io te e pochi altri usiamo signal, perchè va a finire che lo teniamo installato ma poi possiamo mandare messaggi solo a noi stessi

      • Pantheon

        Signal è terribile ,non lo ha nemmeno 1 contatto della mia rubrica e nemmeno vogliono scaricarlo 🙄 già è stato difficile fare passare le persone a telegram ,non ho voglia di spingere signal adesso 😂

  • Ingorante

    Vabbe’… non mi capita così spesso di voler eludere la sorveglianza governativa, ma nel caso eviterò di utilizzarlo…

    • ora ti terranno d’occhio…
      hai detto che non ti capita così spesso, ma quindi ti capita, loro hanno gia letto questo messaggio e ti stanno intercettando, guarda alla finestra probabilmente c’è un furgone nero con vetri oscurati e strane antenne sul tettino xD

      • Ingorante

        Hai perfettamente ragione… vedo delle teste di cuoio sotto casa mia.

        Ma, suvvia, non facciamo i Santi: a chi di noi non è capitato almeno qualche volta, di complottare per spodestare un capo di stato; far cadere un governo; trafficare armi o di organizzare uno sterminio di massa?
        Alzi la mano chi non l’ha mai fatto!

        Così non fosse, perché mai dovremmo preoccuparci del fatto che potenzialmente una forza governativa possa intercettare i nostri messaggi?

        Se dei servizi governativi internazionali dovessero scoprire a che ora “butta” la pasta mia moglie (cosa che immagino sia di grande interesse per loro), poco male.

  • Andrea__93

    Non penso sia proprio un male onestamente.
    Partendo dal presupposto che chiunque voglia scambiare dati confidenziali (segreti di stato, aziendali, etc) non utilizzerebbe WA anche perchè sarebbe scomodo, penso che nessun governo si sognerebbe di andare a chiedere un’autorizzazione a Facebook per andare a ficcare il naso nelle mie conversazioni per sapere in quale locale, a che ora, e con chi andrò a mangiare la pizza stasera. Piuttosto lo farebbe per indagini su reati e attentati!
    E poi il fatto che sia possibile accedere ai messaggi scambiati tra gli utenti non implica che ogni richiesta da parte dei governi venga accettata, specie se priva di valida motivazione. Non per niente l’anno scorso WA è stato bloccato in Brasile

    • Dario · 753 a.C. .

      e il pro in tutto ciò quale sarebbe?

      • Andrea__93

        sai leggere?

    • Ingorante

      Ma sai, qui è pieno di spie internazionali e massoni, non sono dei poveracci come noi due che utilizziamo whatsapp per organizzare la partita di calcetto con gli amici o per inviarci cazzate.
      C’è gente fissata con la segretezza assoluta (che va a discapito della sicurezza internazionale) perché trafficano in armi ed organizzano attentati. O, peggio, perché sono convinti che la CIA sia interessata ai loro messaggini del menga.

      Anzi, sarebbe buono e giusto se chi di dovere potesse accedere a tutti i database: come scrivi tu, sarebbero agevolati nell’indagare su reali reati.

  • Principe Azzurro

    Quando farà esplodere i telefoni tipo Note 7, allora forse la gente non lo userà più…

  • Tiwi

    bella la risposta di wa..ma come mai parlano di enti governativi e NON della possibilità di sfruttare loro stessi questa backdoor (creata proprio da loro) ?? che poi è quello il male principale

    • Dario · 753 a.C. .

      praticamente hanno rigirato la frittata, ma hanno anche affermato che la backdoor c’è.

      in caso la chiave cambia non dovrebbero inviare i messaggi pendenti, ma resistuire un errore sul client del mittente. invece li inviano comunque e seppur metti l’avviso, ti avvisano che sei stato incuIato

      • Tiwi

        l’ultima parola della tua frase ci sta sempre quando si parla di facebook e le altre sue app ;D

  • Manu Ventura

    Rimango sempre dell’idea che “male non fare, paura non avere”
    La maggior parte delle persone, non vorrebbe nemmeno le telecamere di sorveglianza, eppure quanti casi vengono risolti grazie alle telecamere,
    Se uno ha l’amante o vuole fare qualche bravata, si deve prendere le proprie responsabilità,
    È di questi giorni comunque la notizia di una baby gang che faceva rapine, che aveva fatto un gruppo su WhatsApp chiamato “la rapina” in barese….
    Oppure il gruppo in valcamonica che si segnalava i controlli di velocità mobili… Tutti beccati.

    • Dario · 753 a.C. .

      che c’è di male a segnalarsi i controlli? mica sono informazioni private, altrimenti si nasconderebbero dietro i cespugli vestiti da militari.

      per il punto primo: faresti tutte le porte di casa tua trasparenti e tutto vetro con l’esterno?

      • Manu Ventura

        Ti do ragione, nel caso del scambiarsi i punti di controllo lo ritengo legittima difesa, invece hanno tirato fuori un “interruzione di pubblico servizio”,
        Negli altri casi sarei d’accordo a dare info solo su richiesta di giudici e magistrati per cose gravi.

  • FranckU

    Ma in caso si riceve l’avviso che la chiave è stata cambiata, cosa bisogna fare esattamente per proteggersi? Poi sto fatto che la condivisione dati whatsapp-facebook era abilitata di default e l’impostazione di notifica di sicurezza invece no non so cosa può far pensare…

    • Luca Serri

      La condivisione consiste solo nel nickname usato su Whatsapp e forse poco altro, ma non nel numero di telefono o nelle conversazioni. Almeno, questo è quanto dichiara Whatsapp.

    • Dario · 753 a.C. .

      non puoi fare nulla per proteggerti nel senso che se la chiave viene cambiata, al massimo puoi ricevere notifica, ma i messaggi pendenti saranno comunque inviati con la nuova chiave, quindi ormai è troppo tardi. Invece i messaggi pendenti se la chiave cambia non avrebbero dovuto inviarli proprio dicendo sul client del mittente che non era stato possibile l’invio

    • Giovanni Aversa

      La privacy non esiste, se vuoi privacy non devi navigare e ad esempio consultare il metro su canale 5 e leggere le notizie al TG , e non usare nemmeno il telefono , ecco come Provenzano ha protetto la sua latitanza per oltre 40 anni

  • the

    Era abbastanza ovvio che ci fosse qualcosa del genere. Il fatto che sia stato reso pubblico secondo me significa che c’è un’altra backdoor che funziona meglio.

    • Che vuol dire? mica l’hanno resa pubblica di loro iniziativa. l’hanno trovata altri.

      • the

        Non c’è niente di assolutamente sicuro, non importa quanto pubblicizzino la sicurezza della loro app o del loro dispositivo, una strada aperta c’è sempre. Come quando l’FBI è stata due anni a contrattare che gli lasciassero una porta aperta per controllare lo smartphone del terrorista dicendo che non c’era assolutamente altro modo per leggere i dati, ma a due giorni di distanza dal no definitivo lo avevano già bello che sbloccato per conto loro…

  • Stelio Kontos

    E’ ovvio che esistano questo tipo di backdoor come è ovvio che nessuno ci obbliga ad usare queste app del demonio oppure a scriverci informazioni sensibili.