Grave falla scoperta su WhatsApp: a rischio la privacy delle chat [Aggiornato]
![Grave falla scoperta su WhatsApp: a rischio la privacy delle chat [Aggiornato]](/i/n/whatsapplogo_160.jpg)
Segnalata come "un'enorme violazione nella libertà d'espressione", una nuova vulnerabilità è stata scoperta sul sistema di crittografia end-to-end utilizzato da WhatsApp
di Nino Grasso pubblicata il 13 Gennaio 2017, alle 16:26 nel canale TelefoniaÈ stata trovata su WhatsApp una backdoor di sicurezza che può permettere allo staff di WhatsApp e Facebook di intercettare e leggere i messaggi di testo. La scoperta è firmata Tobias Boelter, un ricercatore americano di sicurezza e crittografia della University of California, che ha rivelato al Guardian che a causa dell'implementazione del protocollo di crittografia end-to-end utilizzato su WhatsApp, i tecnici della società possono ottenere in ogni momento il controllo dei messaggi scambiati sul servizio.
Nell'articolo del Guardian viene spiegato che la crittografia di WhatsApp (che usa il protocollo Signal) si basa sulla "generazione di chiavi di sicurezza uniche", che sono scambiate e verificate fra mittente e destinatario per assicurare che la comunicazione non possa essere intercettata da un utente di terze parti. Ma la compagnia ha la capacità di re-inviare messaggi che non sono stati consegnati con una nuova chiave di sicurezza, ricevendo quindi l'accesso ai messaggi cifrati senza che gli interlocutori se ne possano accorgere.
"WhatsApp ha la capacità di forzare la generazione di nuove chiavi di cifratura per gli utenti offline, all'insaputa del mittente e del destinatario dei messaggi, e di cifrare nuovamente i messaggi del mittente con una nuova chiave, che viene poi utilizzata per tutti i messaggi che non sono stati contrassegnati come inviati.
Il destinatario non è a conoscenza di questo cambiamento nella crittografia, mentre il mittente viene notificato solo se ha abilitato gli avvisi di crittografia nelle impostazioni, e solo dopo che i messaggi sono stati inviati di nuovo. Questo metodo potrebbe permettere a WhatsApp di intercettare e leggere con efficacia i messaggi degli utenti".
La questione è stata segnalata dai sostenitori della privacy come una "enorme minaccia nella libertà di espressione", e c'è la paura che la vulnerabilità possa essere sfruttata attivamente dalle agenzie governative sugli utenti che ritengono di essere al sicuro dietro la protezione della crittografia: "Se a WhatsApp venisse chiesto dalle agenzie governative di rivelare i suoi record di messaggistica, la società potrebbe garantirne l'accesso grazie alla possibilità di modificare la chiave", ha dichiarato Boelter, il quale aveva notificato Facebook della vulnerabilità nel 2016.
La protezione crittografica è stata introdotta su WhatsApp lo scorso aprile 2016, in collaborazione con Open Whisper System. Le due società avevano integrato la tecnologia con finalità di sicurezza sulle chat individuali, di gruppo, sugli allegati, le note vocali e le chiamate su una pletora di dispositivi, a partire da iPhone e smartphone Android, fino ad arrivare ai terminali Nokia S40 ed S60. La società ha anche promesso l'introduzione di una funzionalità per verificare se i singoli messaggi di una conversazione di gruppo siano protetti da crittografia o meno.
Tutto un bluff, quindi? Un portavoce di WhatsApp, contattato sulle nuove problematiche insorte, ha risposto al Guardian indirizzandolo verso il documento ufficiale sul "Rapporto sulle richieste provenienti dagli enti governativi", dove vengono raccolte tutte le richieste provenienti dai governi in maniera del tutto trasparente sottolineando, implicitamente, che la società non ha nulla da nascondere.
Aggiornamento: Un portavoce di WhatsApp ha commentato la novità sostenendo che quanto affermato dalla testata statunitense sia "falso". Riportiamo di seguito il suo commento:
"The Guardian ha pubblicato un articolo questa mattina affermando che una scelta di design di WhatsApp, che impedisce alle persone di perdere milioni di messaggi, è una 'backdoor' che permette ai governi di forzare WhatsApp per decifrare le conversazioni.
Questa affermazione è falsa.
WhatsApp non fornisce ai governi una 'backdoor' nei suoi sistemi e ha combattuto contro ogni richiesta del governo per la creazione di una backdoor. La scelta progettuale a cui fa riferimento l’articolo del Guardian impedisce a milioni di messaggi di essere persi, e WhatsApp offre notifiche di sicurezza che avvertono di potenziali rischi. WhatsApp ha pubblicato un white paper tecnico sul design della sua crittografia, ed è stato trasparente in merito alle richieste ricevute dal governo, pubblicando i dati relativi a tali richieste all’interno del Facebook Government Requests Report".
Recensione Zenfone 11 Ultra: il flagship ASUS ritorna a essere un 'padellone'
Appian: non solo low code. La missione è l’ottimizzazione dei processi con l'IA
Lenovo ThinkVision 3D 27, la steroscopia senza occhialini 
Sta per succedere! La prima gara a guida autonoma sarà il 27 aprile: come vederla online
Parthenope: un nuovo RPG investigativo tutto italiano e ambientato a Napoli
Urbanista Malibu: ecco come va la cassa Bluetooth con ricarica solare
Gas Station Simulator è costato 110 mila euro e ha guadagnato più di 10 milioni su Steam
AOC Graphic Pro U3, tre nuovi monitor per i professionisti creativi
Wacom Movink: per la prima volta il display interattivo ha uno schermo OLED
HPE Aruba presenta i nuovi access point serie 730: oltre il Wi-Fi 7, arriva anche l'IoT
Lamborghini presenta Urus SE, prima versione ibrida plug-in del Super SUV
Scuderia Ferrari e HP insieme: ufficiale il nuovo accordo per la Formula 1
Snapdragon X Plus, un nuovo SoC per i notebook Windows
L'iPad 10,9'' 64 GB è sceso a meno di 400 euro. E occhio anche al modello con 256 GB
Steam: basta ai furbetti dell'accesso anticipato, niente rimborsi dopo due ore di gioco in ogni caso
Motorola Edge 40 Neo con fotocamera da 50 MP OIS e display OLED a 291 euro su Amazon. E occhio alle altre offerte Motorola
Arriva Kasperksy Next, la nuova gamma di soluzioni di sicurezza per le imprese 
94 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoIn pratica sembra trattarsi di un'infelice scelta di design che hanno fatto i progettisti di WhatsApp per l'invio dei messaggi offline, che semplifica leggermente la vita all'utente, ma introduce una potenziale vulnerabilità; non si tratta di una backdoor. Quindi non c'è nessun reale complotto dietro e la vulnerabilità introdotta è relativamente ridotta, speriamo solo se ne rendano conto e revochino la modifica prima che qualcuno la sfrutti. In pratica sembra che WhatsApp abbia dato troppa importanza all'esperienza utente a scapito della sicurezza del protocollo.
Edit: qualche altro dettaglio riguardo al bug introdotto direttamente dal suo scopritore: https://tobi.rocks/2016/04/whats-ap...-vulnerability/
è notizia di qualche giorno fa che sul loro servizio si scambiano circa 80 miliardi di messaggi al giorno, hai idea di che infrastruttura serva per mantenere un sistema di questo tipo?
inoltre come mai facebook ha acquisito quest'app per la modica cifra di 19 miliardi di dollari se poi agli utenti non chiede neanche un cent?
sono impazziti? sono filantropi?
io non credo proprio, trovo molto piu credibile che così come fanno altre realtà, siano dietro il business dei dati, in cui vendono dati, abitudini e quant'altro a società di vario tipo e forse anche a governi
ogni società piccola o grande che sia ha un solo e legittimo scopo, fare profitto, e regalare un servizio che costa mantenerlo senza appunto chiedere compenso è una cosa che dovrebbe far riflettere
Sarebbe anche ora che la gente lo capisse...
In pratica sembra trattarsi di un'infelice scelta di design che hanno fatto i progettisti di WhatsApp per l'invio dei messaggi offline, che semplifica leggermente la vita all'utente, ma introduce una potenziale vulnerabilità; non si tratta di una backdoor. Quindi non c'è nessun reale complotto dietro e la vulnerabilità introdotta è relativamente ridotta, speriamo solo se ne rendano conto e revochino la modifica prima che qualcuno la sfrutti. In pratica sembra che WhatsApp abbia dato troppa importanza all'esperienza utente a scapito della sicurezza del protocollo.
Edit: qualche altro dettaglio riguardo al bug introdotto direttamente dal suo scopritore: https://tobi.rocks/2016/04/whats-ap...-vulnerability/
Leggendo sul blog del ricercatore che ha scoperto la falla.
Proprietary closed-source crypto software is the wrong path. After all this - potentially mallicious code - handles all our decrypted messages. Next time the FBI will not ask Apple but WhatsApp to ship a version of their code that will send all decrypted messages directly to the FBI.
Lo stesso qui, non è una backdoor, ma un attacco MiM.
Non utilizzate whatsapp se ci tenete alla privacy, usate signal, wire o le chat segrete di telegram ovvero tutti software open source.
Sarebbe anche ora che la gente lo capisse...
come se i software open fossere immuni a queste pretiche, se ti volgio mettere un backdoor voglio vedere se tu controlli milioni di righe di codice ogni giorno.
Sai quante volte hanno iniettato codice malevole in software open (adirittura nel reposotory del kernel di linux). Tu lo scarichi e lo usi mica controlli ogni volta che il sorgente sia stato modificato.
Sai quante volte hanno iniettato codice malevole in software open (adirittura nel reposotori del kernel di linux). Tu lo scarichi e lo usi mica controlli ogni volta che il sorgente sia stato modificato.
Certo. Per un software di sicurezza, essere open source è una condizione necessaria, ma non sufficiente.
Un software closed source è non trasparente e quindi insicuro per definizione.
Sai quante volte hanno iniettato codice malevole in software open (adirittura nel reposotory del kernel di linux). Tu lo scarichi e lo usi mica controlli ogni volta che il sorgente sia stato modificato.
Con un software open source hai un grado di sicurezza decisamente maggiore di uno closed source.
Certo, la sicurezza assoluta non esiste e non esisterà mai.
Oppure non comunicate fatti importanti e personali ma incontratevi di persona in una stanza con le pareti ed il tetto di piombo
Lo scandalo per la scoperta di una backdoor o di una lacuna di sicurezza, oggi, è una cosa ridicola. Nessuno di questi sistemi garantisce la vostra privacy, è una cosa scontata. Se davvero la volete dovete adottare sistemi di crittografia su canali più sicuri.
Sarebbe anche ora che la gente lo capisse...
forse una decina di anni fa il tuo discorso era vera adesso puoi inserire backdoor nei programmi open ( un esempio semplice è un'implementazione matematicamente imperfetta ) e sono quasi impossibili da trovare anche se hai il codice sorgente
secondo me l'unica soluzione sono gli audit continui con full disclosure ( ormai quasi esistinti ) non gli audit mirati a prendere le ricompense
l'open source ormai è solo un modo di fare bussiness non è più sinonimo di qualità e sicurezza
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".