Una vulnerabilità in WhatsApp permette di intercettare i messaggi (Aggiornato: risposta di WhatsApp)

Un ricercatore di sicurezza e crittografo dell'Università della California, Tobias Boelter, ha denunciato una vulnerabilità in WhatsApp che, potenzialmente, permette alla società (e ai governi che ne fanno esplicita richiesta) di intercettare i messaggi scambiati tra due contatti, nonostante la crittografia end-to-end, configurandosi a tutti gli effetti come una backdoor.

WhatsApp, già dal lontano 2014, ha adottato la crittografia end-to-end dei messaggi di default, implementando il protocollo Signal, sviluppato da Open Whisper Systems, e utilizzato dall'omonima app di messaggistica istantanea, raccomandata anche dal whistleblower Edward Snowden che nel 2013 svelò i programmi di sorveglianza di massa dell'NSA.

Di per sé questo protocollo non presenta falle note e garantisce che nessuno possa accedere il contenuto dei messaggi, eccetto chi l'ha inviato e chi l'ha ricevuto. Questa sicurezza viene garantita dagli standard della crittografia end-to-end, che prevede che i due partecipanti alla chat si scambino una chiave di sicurezza: ogni messaggio inviato nelle conversazioni viene cifrato con entrambe le chiavi e, per questo, non può essere letto da terzi.

Tuttavia, come spiegato dal Guardian, nell'implementare il protocollo Signal, WhatsApp avrebbe lasciato una backdoor: quando uno un utente è offline, WhatsApp può forzare la generazione di una nuova coppia di chiavi, all'insaputa dei due partecipanti alla chat. I messaggi che non sono stati consegnati al destinatario vengono quindi criptati con queste nuove chiavi e inviati nuovamente: tuttavia, questo processo permette a WhatsApp di intercettare e leggere il contenuto di questi messaggi .

Qualcuno potrebbe obiettare che WhatsApp può quindi leggere solo questi messaggi, ma non è così: Boelter ha infatti spiegato che sfruttando questo sistema di ritrasmissione, WhatsApp può potenzialmente accedere alla trascrizione dell'intera conversazione, e non soltanto di alcuni messaggi.

Vale la pena precisare che l'unico modo per accorgersi della generazione di nuove chiavi di sicurezza è aprire le Impostazioni di WhatsApp, selezionare Account > Sicurezza e abilitare la spunta Mostra notifiche di sicurezza (disabilitata di default).

In questo modo, WhatsApp segnalerà il cambiamento delle chiavi di sicurezza a chi ha inviato il messaggio, ma solo dopo che questo è stato ritrasmesso.

Boelter aveva segnalato la vulnerabilità a Facebook nell'aprile 2016, ma l'azienda aveva risposto di essere al corrente della situazione e che questo era il funzionamento previsto, per evitare che i messaggi andassero persi nel caso uno dei due utenti fosse offline. Ribadiamo che su Signal non avviene nulla di simile e, nel caso il ricevente cambi chiave quando è offline, l'app semplicemente annulla l'invio e segnala a chi aveva mandato il messaggio il cambiamento delle chiavi di sicurezza.

Nonostante possa sembrare un aspetto da poco, questa vulnerabilità non è da prendere sottogamba, specialmente considerando che c'è chi usa WhatsApp proprio perché confida nella sicurezza dei propri messaggi, pensando che questi non possano essere intercettati da nessuno.

A proposito di questa questione, la professoressa Kirstie Ball, fondatrice e co-direttrice del Centre for Research into Information, Surveillance and Privacy dell'Università di Stirling, ha definito la backdoor di WhatsApp una miniera d'oro per le agenzie di sicurezza e un enorme tradimento alla fiducia degli utenti.

In un secondo articolo riguardante le domande comuni e le implicazioni di questa backdoor, il Guardian ha scritto:

Dovrei smettere di usare WhatsApp?

Se utilizzi WhatsApp come uno strumento per evitare la sorveglianza governativa grazie ai suoi servizi di criptazione, devi smettere immediatamente.

Facebook e WhatsApp potrebbero essere obbligati a fornire l'accesso al contenuto dei tuoi messaggi alle agenzie governative, come il GCHQ britannico e la statunitense NSA.

Aggiornamento: Un portavoce di WhatsApp contattato dal team di TechCrunch ha affermato quanto segue:

Il Guardian ha pubblicato un articolo stamattina dove sostiene che una intenzionale scelta di progettazione di WhatsApp, che impedisce che le persone perdano milioni di messaggi, sia una backdoor che permette ai governi di costringere WhatsApp a decriptare i messaggi. E questo è falso.

WhatsApp non fornisce ai governi alcuna "backdoor" e si opporrebbe a qualsiasi richiesta governativa di crearne una. La  scelta di progettazione citata nell'articolo del Guardian imperdisce che milioni di messaggi vengano persi; inoltre, WhatsApp permette agli utenti di ricevere notifiche di sicurezza che li avvertano dei possibili rischi di sicurezza.

WhatsApp ha pubblicato dei documenti tecnici sul funzionamento del sistema di criptazione ed è stata sempre trasparente a proposito delle richieste governative che riceve, pubblicando i dati in questione nel Facebook Government Requests Report.