WhatsApp è sicuro? Sembra di no

Quando un’applicazione sostiene di essere molto sicura, abbiamo due opzioni: fidarci sulla parola o indagare. Per WhatsApp il verdetto è “non sicuro“. Perché? Con i mezzi adeguati, chiunque può leggere i tuoi messaggi.

Sul suo sito ufficiale, WhatsApp afferma che la comunicazione tra il telefono e il server è criptata e che gli storici delle conversazioni non vengono salvati. Effettivamente, WhatsApp usa un sistema tecnicamente molto sicuro, in cui i messaggi sono codificati prima di essere inviati al server sul quale vengono memorizzati temporaneamente. Il problema sta nella forma in cui WhatsApp codifica i messaggi, che non è affatto sicura.

I programmi che decodificano i messaggi di WhatsApp sono già una realtà

Thijs Alkemade, uno studente olandese, ha scoperto che è possibile decifrare i messaggi di WhatsApp perché questo utilizza le stesse chiavi di crittografia in due direzioni. Si tratta di un errore che colpisce le versioni per Android e Symbian e a cui finora non è stata data alcuna soluzione. La conclusione dell’esperto olandese è devastante: “considera come insicure tutte le conversazioni che hai avuto fino ad oggi”.

Alla notizia di questo errore, il CEO di WhatsApp, Jan Koum, ha risposto :

WhatsApp prende sul serio la sicurezza ed è costantemente alla ricerca di modi per migliorare il prodotto. Sebbene apprezziamo il feedback, ci preoccupa come l’articolo descriva uno scenario che è piuttosto teorico. Dire che tutte le chat sono insicure è inesatto, sensazionalistico ed esagerato”.

Tutto normale? Insicurezza solo teorica? Non direi. Due ricercatori spagnoli, Jaime Sánchez e Pablo San Emeterio, hanno dimostrato con la loro applicazione WhatsApp Message Decoder che la vulnerabilità spiegata da Thijs Alkemade è facilmente sfruttabile.

Sánchez e San Emeterio hanno anche presentato una possibile soluzione, che consiste nel sostituire la crittografia di WhatsApp con una più sicura, evitando i server ufficiali. La loro intenzione, come spiegano in un’intervista al quotidiano spagnolo El Mundo, è quella di impedire che qualcuno abbia accesso alle nostre conversazioni.

Rappresentazione del miglioramento proposto da Sánchez e San Emeterio (fuente)

Questo lascia WhatsApp in una posizione scomoda. La sicurezza è sempre stato un tema di grande preoccupazione per la società: nel 2012, WhatsApp Sniffer, un programma in grado di intercettare i messaggi di WhatsApp, ha evidenziato la mancanza di codifica dell’applicazione. La società corresse il bug, ma il danno ormai era fatto.

Le alternative sono più sicure, ma non le usa nessuno

L’insicurezza di WhatsApp ha portato alla nascita di una nuova generazione di applicazioni di messaggistica il cui punto forte è, appunto, la sicurezza. A differenza dei programmi di invio di messaggi sicuri, più focalizzati sugli SMS, queste nuove applicazioni sono molto simili a WhatsApp.

La prima è Heml.is, del creatore del controverso sito di download PirateBay. L’applicazione non è ancora stata lanciata, ma promette di essere un’alternativa molto interessante e gratuita a WhatsApp, con un’interfaccia luminosa e accattivante ma, soprattutto, una maggiore sicurezza, che si basa su una combinazione di tecniche (dai messaggi a scadenza all’uso della crittografia).

Un’altra opzione è Telegram, un programma di messaggistica sicuro, creato dai fondatori di VK, il Facebook russo. Lanciato poco dopo lo scandalo della NSA, Telegram Messenger, disponibile per Android e iPhone, codifica i messaggi, ne consente l’autodistruzione e impedisce la memorizzazione delle chat nel cloud. I suoi server si trovano in tutto il mondo.

Dalla Spagna arriva Woowos, che non solo codifica il messaggio, ma usa delle icone divertenti per informarti se questo è stato consegnato, letto, cancellato prima o dopo essere stato visualizzato. È un tentativo di semplificare la complessità dei sistemi di comunicazione sicuri, dove non solo è necessario considerare a chi è diretto il messaggio, ma anche ciò che viene fatto con questo.

Il fatto è che nessuna di queste applicazioni ha una forte base di utenti. Perché? Un motivo potrebbe essere proprio la difficoltà d’uso. WhatsApp deve il proprio successo alla semplicità: lo sforzo richiesto al nostro cervello è minimo, perché è stato escluso tutto ciò che non è essenziale. Se l’invio di un messaggio è complicato, difficilmente un’applicazione può godere dell’appoggio degli utenti.

Threema indica la sicurezza delle conversazioni attraverso un semplice semaforo​ (fuente)

Le uniche applicazioni che possono portar via una parte della quota di mercato di WhatsApp sono quelle che contano sull’appoggio di un sistema operativo o di un produttore (Skype, BBM, ChatON) oppure quelle che offrono una moltitudine di funzioni aggiuntive, come ad esempio il video di Viber o gli sticker e i giochi di LINE. Nessuna di queste applicazioni danno valore aggiunto a quanto offerto già da WhatsApp e per questo la motivazione al cambiamento è ridotta.

Perché WhatsApp non migliora la sicurezza?

Per parafrasare una famosa frase, la sicurezza è negli occhi di chi controlla. A me non importa che un’applicazione di messaggistica sia poco sicura, perché non ho nulla da nascondere e penso che la probabilità che i miei messaggi vengono intercettati e utilizzati contro di me sia scarsa. Le mie conversazioni in chat non sono né importanti né critiche. Se avessi bisogno di tutelare la mia privacy, userei un sistema di comunicazione diverso.

Il problema è che ci sono dei messaggi sui cui non ho alcun potere: quelli che mi mandano e quelli che altri spediscono su di me. In India, per esempio, i medici usano WhatsApp per inviare le radiografie e le foto che dovrebbero essere protette dal segreto medico. Se uno dei miei contatti mi invia delle informazioni riservate senza che io glielo chieda, potrebbe espormi a grandi rischi. La morale? Proteggere la privacy è necessario.

Ci sono medici che hanno inviato radiografie e altri dati sensibili attraverso WhatsApp

Inoltre, la sicurezza delle comunicazioni non è solo una questione personale, ma anche di principio: un servizio ha l’obbligo morale e legale di tutelare la privacy dei propri utenti contro le intercettazioni e i tentativi di furto delle informazioni. Sebbene la maggior parte degli utenti non si preoccupi per la sicurezza, la società che fornisce il servizio dovrebbe farlo. La tutela della privacy è nell’interesse di tutti (tranne della NSA).

Quindi, se è così importante, perché WhatsApp non fa nulla per aumentare la sicurezza?

Perché, oltre a essere costosa da implementare e mantenere, la sicurezza potrebbe essere un disagio per gli utenti. Fortificare WhatsApp significherebbe cambiare le fondamenta di un’applicazione utilizzata da centinaia di milioni di persone. Non è banale: si va passo a passo ed è necessario assicurarsi che non ci siano problemi. In fin dei conti, non va dimenticato che l’obiettivo principale di WhatsApp è la comunicazione semplice e veloce, non la trasmissione a prova di intercettazioni.

Sembra, insomma, che la sicurezza non sia un problema per la maggioranza degli utenti e delle applicazioni di messaggistica. Non credo che questo sia il caso, ma penso che quando la sicurezza diventa un ostacolo alla velocità, la sua attrattiva cade vertiginosamente. È per questo che le alternative sicure a WhatsApp non prosperano e l’applicazione non scommette sulla sicurezza a prova di hacker.

Abbiamo contattato sia WhatsApp sia Alkemade, San Emeterio e Sánchez affinché ci forniscano un feedback sullo stato della sicurezza di WhatsApp, ma non abbiamo ancora ricevuto una risposta.

Sapevi che un gioco per Android rubava le chat di WhatsApp e le rivendeva online?

[Adattamento di un articolo originale di Fabrizio Ferri-Benedetti su Softonic ES]

Visualizzazione commenti in corso...