WhatsApp Web, a rischio la sicurezza degli utenti. (Quasi) fuori pericolo Telegram Web

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwupgrade.it/news/sicurez...web_67707.html

La società di sicurezza CheckPoint ha svelato una vulnerabilità sulle piattaforme web di WhatsApp e Telegram che potrebbe consentire ad utenti malintenzionati di prendere il controllo degli account dei due servizi. Telegram smentisce, parzialmente, le accuse

Click sul link per visualizzare la notizia.

[matteop3]

Quote:

Le due app utilizzano la crittografia end-to-end come misura di sicurezza, e paradossalmente è stata proprio questa caratteristica ad impedire ai tecnici delle compagnie di accorgersi della presenza della falla. Non potendo vedere i contenuti degli utenti sono stati incapaci di impedire l'invio di messaggi malevoli.

Non mi risulta che Telegram utilizzi la crittografia end-to-end (se non per le chat segrete, comunque non presenti in Telegram Web). Non so da chi arrivi, ma sinceramente questa mi sembra una spiegazione un po' campata per aria.

[Shertes]

Quote:

Originariamente inviato da matteop3

Non mi risulta che Telegram utilizzi la crittografia end-to-end (se non per le chat segrete, comunque non presenti in Telegram Web). Non so da chi arrivi, ma sinceramente questa mi sembra una spiegazione un po' campata per aria.

Allora dovresti informarti di più. WA ha introdotto la crittografia end-to-end proprio per accorciare le distanze da TG, che la utilizza da sempre. Ultimamente sta anche cercando di introdurre un ulteriore livello di sicurezza con la crittografia peer-to-peer

[matteop3]

Quote:

Originariamente inviato da Shertes

Allora dovresti informarti di più. WA ha introdotto la crittografia end-to-end proprio per accorciare le distanze da TG, che la utilizza da sempre. Ultimamente sta anche cercando di introdurre un ulteriore livello di sicurezza con la crittografia peer-to-peer

Telegram utilizza la crittografia e2e solo per le chat segrete (che comunque vengono utilizzate pochissimo rispetto a quelle normali), le chat normali sono in cloud e i loro server ne hanno libero accesso, quindi per definizione non c'è e2e. Il dubbio in questo caso non si pone nemmeno, dato che con Telegram Web non è possibile utilizzare le chat segrete.

Basta leggere le loro stesse FAQ, eh.

[inited]

Infatti la Raggi è stata beccata su Marra e tutta la faccenda del capo del personale proprio con l'intercettazione di una chat su Telegram che non era affatto cifrata.

[nastys]

Quote:

Originariamente inviato da inited

Infatti la Raggi è stata beccata su Marra e tutta la faccenda del capo del personale proprio con l'intercettazione di una chat su Telegram che non era affatto cifrata.

Le avevano sequestrato il telefono (in questo modo rendendo inutile anche un'eventuale crittografia e2e)
Infatti penso che se ne sarebbe accorta se qualcuno avesse effettuato l'accesso al suo account (dato che arriva un messaggio su ogni dispositivo ad ogni nuovo accesso) ma comunque avrebbe potuto impostare una password aggiuntiva.
Le chat normali di Telegram sono comunque fortemente criptate e nelle FAQ è specificato che le chiavi sono sparse per il globo, quindi difficilmente possono essere obbligati legalmente a fornirle.

[andrew04]

Quote:

Originariamente inviato da inited

Infatti la Raggi è stata beccata su Marra e tutta la faccenda del capo del personale proprio con l'intercettazione di una chat su Telegram che non era affatto cifrata.

A prescindere che, come detto già da matteo, le chat cloud non hanno crittografia end-to-end... quelle riguardanti Marra sono state acquisite con il sequestro dello smartphone dello stesso, nessuna intercettazione

Quote:

La chat è stata acquisita dalla Procura di Roma dopo il sequestro del cellulare di Raffaele Marra

http://www.ilfattoquotidiano.it/prem...-tuo-fratello/

[postillo]

molto meglio Signal dal punto di vista della sicurezza e della privacy

[nastys]

Quote:

Originariamente inviato da postillo

molto meglio Signal dal punto di vista della sicurezza e della privacy

In pratica è come Telegram usando solo chat segrete (quindi niente Cloud) e con meno funzionalità.

[Erotavlas_turbo]

Come fatto notare su Telegram era meno grave rispetto a Whatsapp e poteva colpire solo utenti su Chrome.
Una buona comparativa sulla sicurezza delle applicazioni...

Vi ricordo che le chat di Whatsapp possono essere lette da terze parti...

Al momento l'app più sicura è Signal, da tenere sott'occhio Wire e Riot.

[nastys]

Quote:

Originariamente inviato da Erotavlas_turbo

Come fatto notare su Telegram era meno grave rispetto a Whatsapp e poteva colpire solo utenti su Chrome.

E oltretutto bisognava fare click destro sul video e aprirlo in una nuova scheda.

[matteop3]

Quote:

Originariamente inviato da nastys

Le chat normali di Telegram sono comunque fortemente criptate e nelle FAQ è specificato che le chiavi sono sparse per il globo, quindi difficilmente possono essere obbligati legalmente a fornirle.

Sono sui loro server e anche se fisicamente in luoghi diversi sono comunque in loro possesso. La sicurezza ne risente, il cloud è un modello intrinsecamente meno sicuro dell'e2e perché permette a terzi l'accesso alle chat. L'unica garanzia diventa la buona fede di Telegram, non la crittografia.

Quote:

Originariamente inviato da nastys

In pratica è come Telegram usando solo chat segrete (quindi niente Cloud) e con meno funzionalità.

Posto che le guerre tra app mi interessano poco, ma sorrido a leggere questo. Vengono spacciate come "funzionalità in meno" la mancanza di GIF e sticker mentre è del tutto irrilevante che con Signal si può chattare e2e anche da desktop (indipendentemente dallo smartphone) con tutte le chat sincronizzate, oltre a chiamate vocali e video peer-to-peer.

Senza ovviamente considerare la differenza abissale tra la crittografia di Signal(/WhatsApp) e quella di Telegram.

Quote:

Originariamente inviato da Erotavlas_turbo

Vi ricordo che le chat di Whatsapp possono essere lette da terze parti...

Frase d'effetto, ma fuorviante. Può potenzialmente succedere solo con qualche messaggio e in condizioni non usuali, comunque non dipendenti da WhatsApp. In circostanze normali non è possibile, ma se ne era già parlato.

Tornando alla notizia, è impossibile che la "maggior sicurezza" di Telegram Web dipenda dalla crittografia end-to-end, dato che in Telegram è utilizzabile solamente da smartphone.

[Erotavlas_turbo]

Quote:

Originariamente inviato da matteop3

Sono sui loro server e anche se fisicamente in luoghi diversi sono comunque in loro possesso. La sicurezza ne risente, il cloud è un modello intrinsecamente meno sicuro dell'e2e perché permette a terzi l'accesso alle chat. L'unica garanzia diventa la buona fede di Telegram, non la crittografia.

Si condivido. Una possibilità per rendere sicuri i dati in cloud è cifrarli prima di memorizzarli sullo stesso. Un buon esempio è dato dal progetto protonmail

Quote:

Originariamente inviato da matteop3

Posto che le guerre tra app mi interessano poco, ma sorrido a leggere questo. Vengono spacciate come "funzionalità in meno" la mancanza di GIF e sticker mentre è del tutto irrilevante che con Signal si può chattare e2e anche da desktop (indipendentemente dallo smartphone) con tutte le chat sincronizzate, oltre a chiamate vocali e video peer-to-peer.

Qui devo puntualizzare. A livello di applicazione di messaggistica Telegram non ha eguali come funzionalità. Non stiamo parlando di sticker, GIF o cavolate varie. Telegram, grazie al cloud, offre la possibilità di salvare dati e trasferire allegati di ogni tipo e pesanti fino 1.5 GB, offre i bot, sincronizzazione tra i dispositivi, vero client desktop multipiattaforma che non richiede il terminale acceso e connesso alla rete, username che consente di condividere il proprio contatto senza condividere il proprio numero di telefono, gruppi di dimensione elevata e veloci usati dai programmatori (e non solo) in tutto il mondo come mezzo di comunicazione.
A mio avviso le uniche pecche di Telegram a livello di funzionalità sono la mancanza di chat segrete nell'applicazione desktop e web e la mancanza di chiamate vocali e video (le chiamate vocali sono nella ultima beta e quindi in arrivo).
Signal desktop utilizza un'estensione di chromium/chrome e pertanto richiede di utilizzare questo browser. Chrome è noto per non essere orientato alla privacy e quindi è un controsenso. Inoltre, Signal richiede di avere il terminale accesso e connesso alla rete.

Quote:

Originariamente inviato da matteop3

Senza ovviamente considerare la differenza abissale tra la crittografia di Signal(/WhatsApp) e quella di Telegram.

A livello di sicurezza Signal è il migliore anche se non ci sono prove di rotture della crittografia di Telegram.

Quote:

Originariamente inviato da matteop3

Frase d'effetto, ma fuorviante. Può potenzialmente succedere solo con qualche messaggio e in condizioni non usuali, comunque non dipendenti da WhatsApp. In circostanze normali non è possibile, ma se ne era già parlato.

Si ne avevamo parlato, ma forse te ne sei dimenticato.
Purtroppo, può succedere sempre, ti consiglio di leggere questa descrizione scritta dallo scopritore della falla.

Quote:

Originariamente inviato da matteop3

Tornando alla notizia, è impossibile che la "maggior sicurezza" di Telegram Web dipenda dalla crittografia end-to-end, dato che in Telegram è utilizzabile solamente da smartphone.

Leggi qui.

[nastys]

Quote:

Originariamente inviato da matteop3

Tornando alla notizia, è impossibile che la "maggior sicurezza" di Telegram Web dipenda dalla crittografia end-to-end, dato che in Telegram è utilizzabile solamente da smartphone.

Anche l'applicazione per macOS supporta le chat segrete, ma altrimenti Signal resta l'alternativa migliore.