Il Guardian, rispettato quotidiano britannico, ha pubblicato un pezzo che denuncia un grave problema nella sicurezza di Whatsapp.
A causa di una implementazione discutibile del protocollo crittografico Signal, sostenuto e promosso addirittura da Edward Snowden, i messaggi che ci scambiamo su Whatsapp sono intercettabili e leggibili.
In altre parole, nonostante i messaggi vengano sempre crittografati, le nostre comunicazioni non sono sicure sotto tutti gli aspetti.
In particolare, un hacker dotato di buone capacità tecniche può mettere a segno un attacco di man in the middle, senza destare alcun sospetto tra le parti ingaggiate in una discussione tramite la popolare app di chat.
La falla è stata scoperta da Tobias Boelter, un ricercatore di sicurezza e crittografia all'università di Berkley in California, che ha dichiarato: "Se un governo dovesse chiedere a Whatsapp di fornire una copia dei messaggi scambiati, effettivamente l'azienda potrebbe orgazziarsi per concedere quanto richiesto, cambiando le chiavi di crittazione".
Moltissimi attivisti, specialisti e paladini della privacy si sono scagliati contro l'azienda americana, tacciandola di voler spiare i propri utenti, di aprire le porte alle spie governative e così via.
Steffen Tor Jensen (un nome, un destino) che lavora come capo della sicurezza informatica e dell'antispionaggio digitale presso Human Rights, ha dichiarato che a causa di questa scoperta, Whatsapp rappresenta una piattaforma estremamente insicura per comunicare, mentre Kristie Ball, co-direttore e fondatore del Centre for Research into Information dichiara la vulnerabilità come "una miniera d'oro per le agenzie governative" e un'enorme "tradimento della nostra fiducia".
A peggiorare la situazione, arriva la notizia che il ricercatore Tobias Boelter avrebbe comunicato la sua scoperta a Whatsapp già il 26 aprile dello scorso anno. Purtroppo, l'azienda aveva risposto che quello non era un bug, ma una caratteristica (dov'è che abbiamo già sentito questa frase?).
La cosa ridicola, per quanto possa suonare strano, è che in effetti hanno ragione. Whatsapp non è un'applicazione sicura e chiunque pensasse il contrario è un illuso. Chi ne è sorpreso, semplicemente ignora quella che secondo me dovrebbe essere la prima legge della sicurezza informatica: "La rete non è un posto sicuro".
Ma andiamo con ordine e cerchiamo di capire dove sta l'inghippo. Whatsapp, effettivamente, usa il protocollo Signal per codificare messaggi, chat e dati delle chiamate vocali. Sempre. Quanto specificato nel famoso messaggio che compare all'inizio di una chat è assolutamente vero.
Putroppo, quanto invece riportato "nell'approfondimento" che si ha cliccando l'iconcina delle informazioni tanto vero non lo è.
I messaggi, infatti, sono criptati, ma questo non vuol dire che nessuno oltre al destinatario li possa leggere e il perché è contenuto nel modo in cui Whatsapp usa il protocollo.
Signal è progettato per generare due chiavi crittografiche che vengono scambiate tra chi è impegnato in una conversazione. Queste chiavi vengono usare per codificare i messaggi e nessun che non sia in possesso delle chiavi può leggerli.
Purtroppo, o per fortuna, Whatsapp introduce una sua "variante" a come è usato il protocollo: può infatti generare una nuova chiave per gli utenti che sono offline e usarla per codificare i messaggi che verranno normalmente letti e accettati dal client quando tornerà online.
Questo significa che a Whatsapp, o a chi per lui se è abbastanza in gamba (e devi essere molto in gamba), basta aspettare che il suo bersaglio vada offline e forzare la creazione della nuova chiave che verrà usata per codificare i messaggi ma che stavolta sarà anche in possesso di chi vuole spiare le conversazioni.
Sembra un meccanismo perfetto per una backdoor governativa, ma il motivo per questa implementazione è semplice: Whatsapp è un'app di comunicazione per la massa e in quanto tale è progettata per essere semplice da usare. La semplicità è sempre nemica della sicurezza.
Generare delle nuove chiavi per gli utenti offline permette ai server di consegnare i messaggi inviati anche a chi non è online al momento dell'invio, senza rischiare di perderli se il destinatario dovesse reinstallare l'app o cambiare il mezzo di ricezione.
La chiave, infatti, viene memorizzata in locale e non è recuperabile. Se quindi qualcuno deve reinstallare l'app o usare un altro dispositivo per collegarsi (sia esso tramite Web o app), perderebbe la possibilità di leggere i messaggi che gli hanno inviato mentre era offline.
Un portavoce di Whatsapp ci tiene a specificare che ogni giorno più di un miliardo di persone usa la loro app per comunicare e che hanno bisogno di mantenerla il più semplice possibile da usare.
Nonostante abbiano fornito un livello di sicurezza più elevato nel corso dell'anno passato usando la crittografia per messaggi, immagini e contenuti audio/video, devono sempre tenere presente che la semplicità è vitale e che gli utenti debbano poter sempre ricevere quanto gli viene spedito.
Per gli utenti esperti, il portavoce ricorda che "Nell'implementazione di Signal in Whatsapp abbiamo una opzione in Impostazioni/Account/Sicurezza che permette di visualizzare quando viene rigenerata la chiave di codifica".
E questo ci riporta alla prima, personalissima, legge della sicurezza citata in precedenza: "Internet non è un luogo sicuro". È vero che ci sono tante persone che usano molti strumenti popolari per comunicare in Stati dove vigono dei regimi oppressivi, ma questa non è una buona idea. Soprattutto se non sei un esperto di informatica.
Se dovessi decidere di organizzare una rivoluzione usando Whatsapp, al giorno d'oggi non avrei vita lunga, ma è anche vero che non ci sarebbe di che sorprendersi. La privacy non è una cosa che va demandata a un singolo strumento di comunicazione perché qualsiasi strumento, per caso o per volontà, può essere violato.
Ricordiamocelo.