WhatsApp: una backdoor potrebbe sconfiggere la crittografia end-to-end!

La sicurezza del servizio di messaggistica WhatsApp, di proprietà di Facebook, potrebbe non essere così forte come si credeva in precedenza; una scoperta ha suggerito l'esistenza di una backdoor che, potenzialmente, consente a Facebook di vedere il contenuto dei messaggi cifrati.

WhatsApp sta utilizzando la crittografia end-to-end su tutte le comunicazioni tra i propri utenti da aprile dello scorso anno, grazie all’utilizzo di messaggi one-to-one crittografati, per impostazione predefinita, dal 2014. L’applicazione utilizza il protocollo Signal di Open Whisper Systems per gestire il processo di crittografia, lo stesso che utilizza anche Facebook Messenger.

All’attivazione di una chat sicura, i dispositivi condividono chiavi di sicurezza uniche ed univoche che non possono essere intercettate, nemmeno dal gestore del servizio. Tuttavia, Tobias Boelter, esperto di crittografia e ricercatore presso l’Università della California, ha scoperto che Whatsapp potrebbe creare nuove chiavi indipendenti mentre uno degli utenti è offline, forzando il re-invio di messaggi precedenti cifrati con le nuove chiavi. In questo caso, chi riceve il messaggio non viene avvisato del cambio.

Cosa comporta la presenza di questa backdoor per gli utenti di WhatsApp?

Il risultato di tutto questo è che WhatsApp o Facebook potrebbero ricostruire e leggere intere conversazioni cifrate. Secondo i sostenitori della privacy, la falla potrebbe costringere le aziende a fornire eventuali conversazioni e messaggi agli enti e alle agenzie governative che ne facciano richiesta; per evitare che questo succeda, è necessario che sia impossibile accedere ai messaggi scambiati dagli utenti.

WhatsApp: una backdoor potrebbe sconfiggere la crittografia end to end! WhatsApp crittografia TechNinja

Boelter aveva prontamente informato Facebook già ad aprile 2016 ma, in quell’occasione, gli risposero che erano a conoscenza della situazione e che si trattava di un comportamento previsto, verso il quale non sarebbero stati presi provvedimenti. Il rapporto ha verificato che la backdoor continua ad esistere anche nelle versioni più recenti delle applicazioni.

In una nota, un portavoce dell’azienda ha riportato quanto segue:

WhatsApp non fornisce ai governi una backdoor nei suoi sistemi. La scelta progettuale a cui fa riferimento l’articolo del Guardian impedisce a milioni di messaggi di essere persi. […] Questo perché in molte parti del mondo, le persone cambiano frequentemente i dispositivi e le schede SIM. In queste situazioni, vogliamo fare in modo che i messaggi delle persone vengano consegnati, non persi in transito.

 

Anche iMessage di Apple utilizza la crittografia end-to-end per proteggere i messaggi, impedendo la lettura del contenuto. La società di Cupertino ha tuttavia informato che, periodicamente, salva metadati nei log dei server, nel caso dovessero essere richiesti dalle forze dell’ordine. All’interno dei metadati vi sono la data e l’ora, il numero di telefono e, in alcuni casi, anche la posizione; Tuttavia, il contenuto delle conversazioni non è in alcun modo letto o intercettato.