Qualche mese fa, è uscita una notizia circa un nuovo modo degli hacker per hackerare i profili e tutte le informazioni personali su Whatsapp.
Gli articoli più letti di oggi:
- Potrai dire addio a mosche e insetti: questa pianta è micidiale per loro
- Pannelli solari in regalo: la notizia che tutti stavamo aspettando è finalmente arrivata
- Concime, perché comprarlo quando puoi farlo in casa? Avrai delle piante sane e rigogliose
La scorsa settimana è emerso che questa backdoor è stata sfruttata per estrarre le comunicazioni private e le foto di Jeff Bezos – la persona più ricca del pianeta – che purtroppo si affidava a WhatsApp. Poiché l’attacco sembrava provenire da un governo straniero, è probabile che siano stati presi di mira innumerevoli altri leader aziendali e governativi
Attacco hacker Whatsapp: informazioni personali in pericolo
Le Nazioni Unite raccomandano ora ai propri funzionari di rimuovere WhatsApp dai loro dispositivi, mentre alle persone vicine a Donald Trump è stato consigliato di cambiare telefono.
Data la gravità della situazione, ci si aspetterebbe che Facebook/WhatsApp si scusassero e si impegnassero a non inserire backdoor nelle loro app in futuro. Invece, hanno annunciato che la responsabilità sarebbe di Apple, non di WhatsApp. Il vicepresidente di Facebook ha affermato che è stato violato iOS e non WhatsApp.
I dispositivi iOS hanno avrebbero molti problemi legati alla privacy. Ma questo non era uno di quelli, per due motivi:
1) La vulnerabilità del “video corrotto” di WhatsApp era presente non solo su iOS, ma anche su dispositivi Android e persino Windows Phone. Ovvero, su tutti i dispositivi mobili con WhatsApp installato.
2) Questa falla di sicurezza non era presente in altre app di messaggistica su iOS. Se Jeff Bezos si fosse affidato a Telegram invece che a WhatsApp, non sarebbe stato ricattato da persone che hanno compromesso le sue comunicazioni [10].
Di conseguenza, il problema non è specifico di iOS, ma di WhatsApp.
Il problema di privacy di Whatsapp
Nel suo marketing, WhatsApp usa le parole “crittografia end-to-end” come un incantesimo che da solo dovrebbe rendere automaticamente sicure tutte le comunicazioni [11]. Tuttavia, questa tecnologia non è una pallottola d’argento in grado di garantire da sola la privacy assoluta.
Telegram ha introdotto la crittografia end-to-end per le comunicazioni di massa anni prima che WhatsApp ne seguisse l’esempio, e siamo stati consapevoli non solo dei punti di forza, ma anche dei limiti di questa tecnologia. Altri aspetti di un’app di messaggistica possono rendere inutile la crittografia end-to-end. Ecco tre esempi dei problemi di Whatsapp.
Il backup di Whatsapp
In primo luogo, ci sono i backup. Gli utenti non vogliono perdere le loro chat quando cambiano dispositivo, quindi eseguono il backup delle chat in servizi come iCloud, spesso senza rendersi conto che i backup non sono crittografati. Il fatto che l’FBI ha costretto Apple ad abbandonare i piani di crittografia per iCloud è indicativo. Questo è uno dei motivi per cui Telegram non si affida mai a backup cloud di terze parti e le Chat segrete non vengono mai salvate da nessuna parte.
In secondo luogo, ci sono le backdoor. Le agenzie di controllo non sono molto contente della crittografia e costringono gli sviluppatori di app a inserire segretamente delle vulnerabilità nelle loro applicazioni. Lo so perché siamo stati contattati da alcuni di loro e ci siamo rifiutati di collaborare. Di conseguenza, Telegram è vietato in alcuni Paesi in cui WhatsApp non ha problemi con le autorità, soprattutto in Russia e Iran.
Le backdoor sono solitamente camuffate come falle di sicurezza “accidentali”. Solo nell’ultimo anno hanno trovato 12 falle di questo tipo in WhatsApp; 7 delle quali erano di tipo critico, come quella che ha colpito Jeff Bezos.
Le differenze con Telegram
Qualcuno potrebbe dire che WhatsApp è ancora “molto sicuro” nonostante abbiano scoperto 7 backdoor negli ultimi 12 mesi, ma questo è statisticamente improbabile. Telegram, un’applicazione utilizzata da centinaia di milioni di persone tra cui capi di Stato e grandi aziende, non ha avuto problemi di tale gravità negli ultimi 6 anni.
In terzo luogo, ci sono difetti nell’implementazione della crittografia. Come si può essere certi che la crittografia che WhatsApp dichiara di utilizzare sia quella effettivamente implementata nelle sue applicazioni? Il loro codice sorgente è nascosto e i file binari delle app sono offuscati, il che li rende difficili da analizzare.
Al contrario, le app di Telegram sono open-source e la loro crittografia è pienamente documentata dal 2013. Telegram supporta build verificabili sia per iOS che per Android, il che significa che chiunque può assicurarsi che il codice sorgente su GitHub e l’app Telegram scaricata siano la stessa cosa. Nessun’altra app di messaggistica lo fa per entrambi i sistemi operativi mobili, e ci si potrebbe chiedere perché.
Non lasciatevi ingannare dall’equivalente tecnologico dei maghi del circo che vorrebbero concentrare la vostra attenzione su un aspetto isolato mentre eseguono i loro trucchi altrove. Vogliono farvi credere che la crittografia end-to-end sia l’unico aspetto da tenere in considerazione per la privacy. La realtà è molto più complicata.
Qualcuno potrebbe dire che, in quanto fondatore di un’applicazione concorrente, potrei essere di parte quando critico WhatsApp. Certo che lo sono. Ovviamente ritengo che le chat segrete di Telegram siano molto più sicure di qualsiasi altro mezzo di comunicazione concorrente, altrimenti perché avrei sviluppato e utilizzato Telegram?
Tuttavia, le affermazioni contenute in questo post si basano su fatti, non su preferenze personali. E, proprio come il codice delle app di Telegram, questi fatti sono verificabili e ulteriormente supportati dalle fonti di terze parti riportate di seguito. Quando si tratta di sicurezza, nessuno dovrebbe dare per scontata la parola di nessuno.