WhatsApp è sotto accusa per la sua vulnerabilità

La vulnerabilità di WhatsApp consentirebbe di “curiosare” sui messaggi crittografati.  A quanto pare sarebbe stato trovato all’interno del servizio di messaggistica, un problema di protezione che potrebbe essere utilizzato per consentire a Facebook e ad altri di intercettare e leggere i messaggi crittografati.
Facebook sostiene che nessuno può intercettare i messaggi WhatsApp, nemmeno l’azienda stessa o il suo personale, garantendo la privacy per i suoi utenti che sono più di un miliardo. Ma una ricerca dimostrerebbe che l’azienda potrebbe leggere i messaggi a causa del modo in cui WhatsApp ha implementato il proprio protocollo di crittografia end-to-end.

WhatsApp ha fatto di privacy e sicurezza il suo punto di forza principale, ed è diventato uno strumento di comunicazione di attivisti, dissidenti e diplomatici.

La crittografia end-to-end di WhatsApp si basa sulla generazione di chiavi di sicurezza uniche, che utilizzano il protocollo sviluppato da Open Whisper Systems. I messaggi vengono scambiati e verificati tra gli utenti per garantire che le comunicazioni siano sicure e affinché non possano essere intercettate da un intermediario. Tuttavia, WhatsApp ha la capacità di forzare la generazione di nuove chiavi di crittografia per gli utenti non in linea, all’insaputa del mittente e del destinatario dei messaggi, e ri-decifrare i messaggi provenienti da mittenti con nuove chiavi ed inviarli di nuovo per i messaggi non contrassegnati come consegnati. Il destinatario non è a conoscenza di questo cambiamento di crittografia, mentre il mittente è avvertito solo se ha optato per gli avvisi di crittografia nelle impostazioni, e solo dopo che i messaggi sono stati re-inviati.

Questa ri-codifica e ritrasmissione permetterebbe dunque a WhatsApp di intercettare e leggere i messaggi degli utenti.

La lacuna è stata scoperta da Tobias Boelter, un ricercatore esperto in crittografia e sicurezza presso l’Università della California, Berkeley.

La vulnerabilità non è inerente al protocollo di segnale. Ad esempio Whisper System un sistema di software utilizzati e raccomandati dall’ informatore Edward Snowden, non soffre della stessa vulnerabilità. Se un destinatario cambia la chiave di sicurezza in modalità offline, per esempio, un messaggio inviato mancherà di essere consegnato e il mittente riceverà una notifica del cambio di chiavi di sicurezza, senza inviare di nuovo automaticamente il messaggio.

L’implementazione di WhatsApp invece rinvia automaticamente un messaggio recapitato con una nuova chiave, senza avvisare l’utente in anticipo o dando la possibilità di impedirlo.


Steffen Tor Jensen, capo della sicurezza delle informazioni e della sorveglianza digitale presso l’organizzazione europea per i diritti umani del Bahrein, ha verificato i risultati di Boelter e ha così dichiarato: “WhatsApp può effettivamente continuare a lanciare le chiavi di sicurezza quando i dispositivi sono in linea e re-inviare il messaggio, senza che gli utenti sappiano del cambiamento fino a dopo che è stato fatto, il che fornisce una piattaforma estremamente non sicura.”
Boelter ha aggiunto: “Alcuni potrebbero dire che questa vulnerabilità possa essere usata solo per curiosare su parti di messaggi mirati e non intere conversazioni. Questo non è vero se si considera che il server di WhatsApp può mandare messaggi solo in avanti senza l’invio della notifica  “il messaggio è stato ricevuto dal destinatario” (o il doppio segno di spunta), che gli utenti potrebbero non notare. Utilizzando la vulnerabilità della ritrasmissione, il server WhatsApp può ottenere una trascrizione di tutta la conversazione, non solo di un singolo messaggio “.

La vulnerabilità mette in discussione la privacy dei messaggi inviati attraverso il servizio, che viene utilizzato in tutto il mondo, anche da persone che vivono in regimi oppressivi.
Il professor Kirstie Ball, co-direttore e fondatore del Centro per la Ricerca in informazione, sorveglianza e privacy, ha definito l’esistenza di una vulnerabilità all’interno della crittografia di WhatsApp “una miniera d’oro per le agenzie di sicurezza” e “un enorme tradimento della fiducia degli utenti”. Ha aggiunto: “Si tratta di una enorme minaccia per la libertà di parola, per essere in grado di guardare a ciò che si sta dicendo, se vuole. I consumatori potranno dire, non ho niente da nascondere, ma non si sa quali informazioni sono cercate e quali collegamenti sono stati fatti.”
Nel Regno Unito, è stata recentemente approvata l’Investigatory Powers Act che permette al governo di intercettare i dati di massa di utenti detenuti da società private, senza il sospetto di attività criminali, simile all’attività della National Security Agency statunitense. Il governo ha anche il potere di costringere le aziende a “mantenere la capacità tecniche” che permettono la raccolta di dati tramite hacking e l’intercettazione, e impone alle aziende di rimuovere la “protezione elettronica” dai dati. Intenzionale o no, la vulnerabilità di WhatsApp per la crittografia end-to-end potrebbe essere utilizzata in modo tale da facilitare le intercettazioni governative.
Un portavoce di WhatsApp ha detto: “Oltre 1 miliardo di persone utilizzano WhatsApp oggi, perché è semplice, veloce, affidabile e sicura. In WhatsApp, abbiamo sempre creduto che le conversazioni delle persone dovrebbe essere sicure e private. L’anno scorso, abbiamo dato tutti i nostri utenti un miglior livello di sicurezza, rendendo ogni messaggio, foto, video, file e chiamare end-to-end crittografati per impostazione predefinita.Con l’implementazione del protocollo di segnale, si ha la voce “Mostra le notifiche di protezione ” (Impostazioni> Account> Sicurezza) che avvisa l’utente quando il codice di sicurezza di un contatto è cambiato. Questo accade perché qualcuno è passato ad un altro telefono o reinstallato WhatsApp, in molte parti del mondo, le persone cambiano frequentemente i dispositivi e le schede SIM. In queste situazioni, vogliamo fare in modo i messaggi delle persone vengono consegnati, e non persi. “

WhatsApp è sotto accusa per la sua vulnerabilitàLe preoccupazioni per la privacy degli utenti WhatsApp è stata più volte messa in evidenza dal momento che Facebook ha acquisito la società per $ 22 miliardi nel 2014. Nel mese di agosto 2015, Facebook ha annunciato una modifica alla politica sulla privacy che regola WhatsApp e che ha permesso al social network di unire i dati degli utenti WhatsApp e Facebook, compresi i numeri di telefono e l’utilizzo di app, per scopi pubblicitari e di sviluppo.
Facebook ha bloccato l’uso dei dati degli utenti condivisi per scopi pubblicitari a novembre dopo pressioni da parte dell’agenzia di protezione Europea.
La Commissione europea quindi ha sporto denuncia contro Facebook per aver fornito informazioni “fuorvianti” nella fase di preparazione per l’acquisizione del social network di servizio di messaggistica WhatsApp, dopo la sua modifica la condivisione dei dati.

Fonte “The Guardian” 

Leave a Reply

Your email address will not be published. Required fields are marked *

Time limit is exhausted. Please reload CAPTCHA.