Data: 15/01/2017 17:00:00 - Autore: Gabriella Lax

di Gabriella Lax - "I messaggi che invii in questa chat sono protetti con la crittografia end-to-end". Così su legge a chiare lettere sullo smartphone ogni volta che iniziamo su WhatsApp una nuova conversazione, a significare che nessuno al di fuori dei partecipanti alla chat può avere accesso ai messaggi inviati e ricevuti. Peccato che ciò non sia proprio vero a causa di una falla scoperta da alcuni esperti di sicurezza e denunciata dal Guardian che rivela come in realtà, sia Facebook sia WhatsApp, possano, in linea teorica, leggere in chiaro le conversazioni degli utenti. 

Il problema non riguarda il protocollo di cifratura "Signal", usato anche dall'omonima applicazione, ma riguarda la procedura con cui Whatsapp lo implementa. Come riporta La Stampa «All'attivazione di una chat sicura, i dispositivi condividono delle chiavi di sicurezza univoche che non possono essere intercettate, nemmeno dal gestore del servizio. Whatsapp può tuttavia creare nuove chiavi indipendenti mentre uno degli utenti è offline e forzare il re-invio di messaggi precedenti cifrati con le nuove chiavi». Tuttavia il ricevente non viene avvisato del cambio, mentre chi invia il messaggio riceve una segnalazione solo se ha spuntato manualmente una specifica opzione di sicurezza disattivata di default. Dunque WhatSapp o Facebook potrebbero ricostruire e leggere intere conversazioni cifrate. E non serve sapere che non lo abbiano mai fatto. Il problema, secondo gli esperti, è che questa falla sulla carta potrebbe costringere le due aziende a fornire conversazioni e messaggi agli enti e alle agenzie governative che ne facciano richiesta. L'unica arma di difesa per la privacy contro l'eccessiva ingerenza dei controllori, soprattutto negli stati più autoritari, è l'impossibilità materiale di accedere ai messaggi degli utenti. Una barriera che, a causa di questa falla, rischia di venire meno.

Come difendersi?

Non per il "buco" scovato si può affermare che WhatsApp sia totalmente insicuro. L'Open Whisper System, che sviluppa il protocollo di crittografia Signal usato da Whatsapp e Facebook, ha difeso la scelta del servizio di messaggistica giustificando la spiegazione ufficiale, cioè che l'implementazione potenzialmente insicura della rigenerazione delle chiavi è necessaria per garantire la miglior continuità del servizio a tutti gli utenti. Per ricevere tutti gli avvisi di sicurezza da Whatsapp, anche in caso di cambio automatico delle chiavi, basta andare nelle Impostazioni, fare tap su Account, poi su Sicurezza e da qui spunta l'opzione "Mostra notifiche di Sicurezza". Signal, l'app di messaggistica cifrata sviluppata direttamente da Open Whisper System, non soffre della "limitazione" di sicurezza di Whatsapp. Al momento rimane la più sicura in assoluto.


Tutte le notizie