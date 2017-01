È stata trovata su WhatsApp una backdoor di sicurezza che può permettere allo staff di WhatsApp e Facebook di intercettare e leggere i messaggi di testo. La scoperta è firmata Tobias Boelter, un ricercatore americano di sicurezza e crittografia della University of California, che ha rivelato al Guardian che a causa dell'implementazione del protocollo di crittografia end-to-end utilizzato su WhatsApp, i tecnici della società possono ottenere in ogni momento il controllo dei messaggi scambiati sul servizio.

Nell'articolo del Guardian viene spiegato che la crittografia di WhatsApp (che usa il protocollo Signal) si basa sulla "generazione di chiavi di sicurezza uniche", che sono scambiate e verificate fra mittente e destinatario per assicurare che la comunicazione non possa essere intercettata da un utente di terze parti. Ma la compagnia ha la capacità di re-inviare messaggi che non sono stati consegnati con una nuova chiave di sicurezza, ricevendo quindi l'accesso ai messaggi cifrati senza che gli interlocutori se ne possano accorgere.

"WhatsApp ha la capacità di forzare la generazione di nuove chiavi di cifratura per gli utenti offline, all'insaputa del mittente e del destinatario dei messaggi, e di cifrare nuovamente i messaggi del mittente con una nuova chiave, che viene poi utilizzata per tutti i messaggi che non sono stati contrassegnati come inviati.

Il destinatario non è a conoscenza di questo cambiamento nella crittografia, mentre il mittente viene notificato solo se ha abilitato gli avvisi di crittografia nelle impostazioni, e solo dopo che i messaggi sono stati inviati di nuovo. Questo metodo potrebbe permettere a WhatsApp di intercettare e leggere con efficacia i messaggi degli utenti".

La questione è stata segnalata dai sostenitori della privacy come una "enorme minaccia nella libertà di espressione", e c'è la paura che la vulnerabilità possa essere sfruttata attivamente dalle agenzie governative sugli utenti che ritengono di essere al sicuro dietro la protezione della crittografia: "Se a WhatsApp venisse chiesto dalle agenzie governative di rivelare i suoi record di messaggistica, la società potrebbe garantirne l'accesso grazie alla possibilità di modificare la chiave", ha dichiarato Boelter, il quale aveva notificato Facebook della vulnerabilità nel 2016.

La protezione crittografica è stata introdotta su WhatsApp lo scorso aprile 2016, in collaborazione con Open Whisper System. Le due società avevano integrato la tecnologia con finalità di sicurezza sulle chat individuali, di gruppo, sugli allegati, le note vocali e le chiamate su una pletora di dispositivi, a partire da iPhone e smartphone Android, fino ad arrivare ai terminali Nokia S40 ed S60. La società ha anche promesso l'introduzione di una funzionalità per verificare se i singoli messaggi di una conversazione di gruppo siano protetti da crittografia o meno.

Tutto un bluff, quindi? Un portavoce di WhatsApp, contattato sulle nuove problematiche insorte, ha risposto al Guardian indirizzandolo verso il documento ufficiale sul "Rapporto sulle richieste provenienti dagli enti governativi", dove vengono raccolte tutte le richieste provenienti dai governi in maniera del tutto trasparente sottolineando, implicitamente, che la società non ha nulla da nascondere.

Aggiornamento: Un portavoce di WhatsApp ha commentato la novità sostenendo che quanto affermato dalla testata statunitense sia "falso". Riportiamo di seguito il suo commento:

"The Guardian ha pubblicato un articolo questa mattina affermando che una scelta di design di WhatsApp, che impedisce alle persone di perdere milioni di messaggi, è una 'backdoor' che permette ai governi di forzare WhatsApp per decifrare le conversazioni.

Questa affermazione è falsa.

WhatsApp non fornisce ai governi una 'backdoor' nei suoi sistemi e ha combattuto contro ogni richiesta del governo per la creazione di una backdoor. La scelta progettuale a cui fa riferimento l’articolo del Guardian impedisce a milioni di messaggi di essere persi, e WhatsApp offre notifiche di sicurezza che avvertono di potenziali rischi. WhatsApp ha pubblicato un white paper tecnico sul design della sua crittografia, ed è stato trasparente in merito alle richieste ricevute dal governo, pubblicando i dati relativi a tali richieste all’interno del Facebook Government Requests Report".