PDA

View Full Version : Ecco come WhatsApp si adeguerà alle nuove norme europee sulla privacy


Redazione di Hardware Upg
07-02-2024, 11:01
Link alla notizia: https://www.hwupgrade.it/news/telefonia/ecco-come-whatsapp-si-adeguera-alle-nuove-norme-europee-sulla-privacy_124136.html

Per conformarsi al Digital Markets Act europeo, WhatsApp dovrà rendere possibile l'interazione con altre piattaforme di messaggistica, ma permangono dubbi su come l'app di proprietà di Meta manterrà gli standard di sicurezza e crittografia.

Click sul link per visualizzare la notizia.

Takuya
07-02-2024, 11:19
Molto bello e rassicurante vedere che si preoccupano tanto per la tua privacy, ma poi ti ricordi che sono soggetti al Cloud Act :stordita::


Consente alle autorità statunitensi, forze dell’ordine e agenzie di intelligenze di acquisire dati informatici dagli operatori di servizi di cloud computing “regardless of whether such communications, record or other informations is located within or outside of USA” ossia indipendentemente dal fatto che tali comunicazioni, registrazioni o altre informazioni si trovino all’interno o all’esterno degli Stati Uniti. Gli ISP, interessati dalla misura, sono le compagnie private sottoposte alla giurisdizione degli Stati Uniti ovvero le società costituite negli States e le loro filiali all’estero (Google, Microsoft, Amazon…) ma anche le società europee che hanno una filiale negli Stati Uniti o che operano nel mercato americano.


Cloud act, la norma USA che fa a pugni con la privacy europea: i nodi (https://www.agendadigitale.eu/sicurezza/privacy/cloud-act-la-norma-usa-che-fa-a-pugni-con-la-privacy-europea-i-nodi/)

Gringo [ITF]
07-02-2024, 12:33
- Tanto alla fine si finirà tutti a livello mondiale sotto l'ANAL ACT

biometallo
07-02-2024, 13:14
Mi pare che dopo essere sparito per un po' stiamo assistendo al grande ritorno del "ecco come" :sofico:

Seriamente più che la questione sulla privacy sono curioso di capire come e quando avverrà questa apertura alle app di messaggistica di terze parti, magari a quel punto potrei valutare davvero il passaggio a Telegram o altro.

alfredaino
07-02-2024, 14:41
Non c'è bisogno di inventarsi nulla di nuovo.
Il protocollo MLS è uno standard IETF RFC 9420 (https://www.ietf.org/blog/support-for-mls-2023/) per la messaggistica e comunicazione e2ee.
MLS fornisce le stesse proprietà crittografiche del rispettato protocollo Signal (forward secrecy e post compromise security), aggiungendo la scalabilità a decine di migliaia di utenti e l'autenticazione (punti deboli di Signal e altri) e soprattutto l'interoperabilità e quindi la decentralizzazione.
In breve MLS è l'equivalente di TLS, invece che per il web e la posta elettronica, per la messaggistica e la comunicazione ed è già supportato da google messages, webeax, wire, mentre matrix sta lavorando al supporto.
I servizi di messaggistica diventeranno come la posta elettronica, un sistema aperto, federato e senza vendor lock-in.

zappy
07-02-2024, 15:13
Molto bello e rassicurante vedere che si preoccupano tanto per la tua privacy, ma poi ti ricordi che sono soggetti al Cloud Act :stordita::
Cloud act, la norma USA che fa a pugni con la privacy europea: i nodi (https://www.agendadigitale.eu/sicurezza/privacy/cloud-act-la-norma-usa-che-fa-a-pugni-con-la-privacy-europea-i-nodi/)
:eek:

Non c'è bisogno di inventarsi nulla di nuovo.
Il protocollo MLS è uno standard IETF RFC 9420 (https://www.ietf.org/blog/support-for-mls-2023/) per la messaggistica e comunicazione e2ee.
MLS fornisce le stesse proprietà crittografiche del rispettato protocollo Signal (forward secrecy e post compromise security), aggiungendo la scalabilità a decine di migliaia di utenti e l'autenticazione (punti deboli di Signal e altri) e soprattutto l'interoperabilità e quindi la decentralizzazione.
In breve MLS è l'equivalente di TLS, invece che per il web e la posta elettronica, per la messaggistica e la comunicazione ed è già supportato da google messages, webeax, wire, mentre matrix sta lavorando al supporto.
I servizi di messaggistica diventeranno come la posta elettronica, un sistema aperto, federato e senza vendor lock-in.
ma WA usa il protocollo del concorrente Signal? :confused:

alfredaino
07-02-2024, 15:34
:eek:

ma WA usa il protocollo del concorrente Signal? :confused:

Si, praticamente quasi tutti usano quello, vedi qui (https://signal.org/blog/whatsapp-complete/).

How WhatsApp enables multi-device capability (https://engineering.fb.com/2021/07/14/security/whatsapp-multi-device/)
For groups, we still use the same scalable Sender Key encryption scheme from the Signal Protocol.

insane74
07-02-2024, 15:41
faccio la domanda da super ignorante: Whatsapp e simili dicono di implementare la crittografia E2E e che "nemmeno loro possono leggere il contenuto dei messaggi"...
quindi:
1) è realisticamente vero che Meta e simili non possano accedere al contenuto dei messaggi? con una "master key" o simile?
2) se non possono davvero accedere al contenuto del messaggio, le autorità cosa possono chiedere/verificare? che A ha scritto a B?
perché se tutto è criptato E2E e nessuno può leggerne il contenuto a parte i destinatari, alla fin fine, per quanto possa dispiacere, possono solo risalire a chi ha scritto a chi, ma non "cosa" è stato scritto?

ribadisco che sono domande da ignorante. :D

destroyer85
07-02-2024, 15:42
Bene quindi che Meta non sia un ISP e che WhatsApp non sia in Cloud.

zappy
07-02-2024, 15:50
faccio la domanda da super ignorante: Whatsapp e simili dicono di implementare la crittografia E2E e che "nemmeno loro possono leggere il contenuto dei messaggi"...
quindi:
1) è realisticamente vero che Meta e simili non possano accedere al contenuto dei messaggi? con una "master key" o simile?
2) se non possono davvero accedere al contenuto del messaggio, le autorità cosa possono chiedere/verificare? che A ha scritto a B?
perché se tutto è criptato E2E e nessuno può leggerne il contenuto a parte i destinatari, alla fin fine, per quanto possa dispiacere, possono solo risalire a chi ha scritto a chi, ma non "cosa" è stato scritto?

ribadisco che sono domande da ignorante. :D
beh, da ignorante dico che la chiave crittografica è comunque sul telefono e l'app deve usarla per decodificare i messaggi e farteli vedere... la falla mo sembra possa essere nella E, non nel 2...

alfredaino
07-02-2024, 15:53
faccio la domanda da super ignorante: Whatsapp e simili dicono di implementare la crittografia E2E e che "nemmeno loro possono leggere il contenuto dei messaggi"...
quindi:
1) è realisticamente vero che Meta e simili non possano accedere al contenuto dei messaggi? con una "master key" o simile?
2) se non possono davvero accedere al contenuto del messaggio, le autorità cosa possono chiedere/verificare? che A ha scritto a B?
perché se tutto è criptato E2E e nessuno può leggerne il contenuto a parte i destinatari, alla fin fine, per quanto possa dispiacere, possono solo risalire a chi ha scritto a chi, ma non "cosa" è stato scritto?

ribadisco che sono domande da ignorante. :D

1) Meta, e anche Google e Apple (https://support.apple.com/en-us/102651) che memorizzano il backup in chiaro, hanno accesso ai tuoi messaggi in quanto la chiave di cifratura (https://security.stackexchange.com/questions/136072/how-can-whatsapp-restore-local-or-google-drive-backups?rq=1) è memorizzata nei server di Meta e ti permette di reinstallare l'applicazione e anche cambiare dispositivo e di riavere lo storico dei messaggi. Se hai attivato la crittografia e2e del backup (https://faq.whatsapp.com/490592613091019) dalle impostazioni, nemmeno loro sono in grado di leggere i tuoi messaggi (in teoria poiché in pratica le applicazioni sono closed source e i binari offuscati e quindi nessuno può verificare la presenza di backdoor (https://www.signal.org/blog/there-is-no-whatsapp-backdoor/)). Tuttavia, se in un gruppo di N persone, almeno una non ha attivato la crittografia e2e del backup, invalida la scelta di tutte le altre. Poiché 90-95% degli utenti non cambia le impostazioni di default (https://www.theguardian.com/technology/2013/dec/01/default-settings-change-phones-computers), i gruppi con crittografia e2e sono un miraggio.
2) Nel punto 1) trovo la risposta a questa domanda.

insane74
07-02-2024, 16:01
beh, da ignorante dico che la chiave crittografica è comunque sul telefono e l'app deve usarla per decodificare i messaggi e farteli vedere... la falla mo sembra possa essere nella E, non nel 2...

1) Meta, e anche Google e Apple (https://support.apple.com/en-us/102651) che memorizzano il backup in chiaro, hanno accesso ai tuoi messaggi in quanto la chiave di cifratura (https://security.stackexchange.com/questions/136072/how-can-whatsapp-restore-local-or-google-drive-backups?rq=1) è memorizzata nei server di Meta e ti permette di reinstallare l'applicazione e anche cambiare dispositivo e di riavere lo storico dei messaggi. Se hai attivato la crittografia e2e del backup (https://faq.whatsapp.com/490592613091019) dalle impostazioni, nemmeno loro sono in grado di leggere i tuoi messaggi (in teoria poiché in pratica le applicazioni sono closed source e i binari offuscati e quindi nessuno può verificare la presenza di backdoor (https://www.signal.org/blog/there-is-no-whatsapp-backdoor/)). Tuttavia, se in un gruppo di N persone, almeno una non ha attivato la crittografia e2e del backup, invalida la scelta di tutte le altre. Poiché 90-95% degli utenti non cambia le impostazioni di default (https://www.theguardian.com/technology/2013/dec/01/default-settings-change-phones-computers), i gruppi con crittografia e2e sono un miraggio.
2) Nel punto 1) trovo la risposta a questa domanda.

ok chiaro.
quindi a meno di bug/backdoor nell'implementazione, le chat delle persone comuni possono essere lette dalle autorità.
chi vuole commettere reato scambiandosi messaggi attiva le impostazioni di cifratura dei backup e, a meno di bug/backdoor, nessuno legge quei messaggi a parte i destinatari.
in poche parole il cloud act o simili servono solo per le persone "normali". per chi è sgamato / coinvolto in attività illecite non serve ad una mazza (a meno appunto di bug/backdoor).

alfredaino
07-02-2024, 16:14
ok chiaro.
quindi a meno di bug/backdoor nell'implementazione, le chat delle persone comuni possono essere lette dalle autorità.
chi vuole commettere reato scambiandosi messaggi attiva le impostazioni di cifratura dei backup e, a meno di bug/backdoor, nessuno legge quei messaggi a parte i destinatari.
in poche parole il cloud act o simili servono solo per le persone "normali". per chi è sgamato / coinvolto in attività illecite non serve ad una mazza (a meno appunto di bug/backdoor).

Chi vuole fare certe attività, se non vuole consegnarsi, non usa ne whatsapp, ne signal, ne altre applicazioni "standard". Ci sono alternative migliori (https://privacyspreadsheet.com/messaging-apps) completamente open source, p2p, ma soprattutto senza ID di identificazione permanente.
Ormai credo sia chiaro a tutti che la pubblicità mirata e la raccolta massiva dei dati alla base del capitalismo della sorveglianza, servano per scopi di controllo delle masse.

zappy
07-02-2024, 17:24
ok chiaro.
quindi a meno di bug/backdoor nell'implementazione, le chat delle persone comuni possono essere lette dalle autorità.
chi vuole commettere reato scambiandosi messaggi attiva le impostazioni di cifratura dei backup e, a meno di bug/backdoor, nessuno legge quei messaggi a parte i destinatari.
in poche parole il cloud act o simili servono solo per le persone "normali". per chi è sgamato / coinvolto in attività illecite non serve ad una mazza (a meno appunto di bug/backdoor).
che ci sono per design...

destroyer85
07-02-2024, 18:07
1) Meta, e anche Google e Apple (https://support.apple.com/en-us/102651) che memorizzano il backup in chiaro, hanno accesso ai tuoi messaggi in quanto la chiave di cifratura (https://security.stackexchange.com/questions/136072/how-can-whatsapp-restore-local-or-google-drive-backups?rq=1) è memorizzata nei server di Meta e ti permette di reinstallare l'applicazione e anche cambiare dispositivo e di riavere lo storico dei messaggi. Se hai attivato la crittografia e2e del backup (https://faq.whatsapp.com/490592613091019) dalle impostazioni, nemmeno loro sono in grado di leggere i tuoi messaggi (in teoria poiché in pratica le applicazioni sono closed source e i binari offuscati e quindi nessuno può verificare la presenza di backdoor (https://www.signal.org/blog/there-is-no-whatsapp-backdoor/)). Tuttavia, se in un gruppo di N persone, almeno una non ha attivato la crittografia e2e del backup, invalida la scelta di tutte le altre. Poiché 90-95% degli utenti non cambia le impostazioni di default (https://www.theguardian.com/technology/2013/dec/01/default-settings-change-phones-computers), i gruppi con crittografia e2e sono un miraggio.
2) Nel punto 1) trovo la risposta a questa domanda.

Tutto giusto tranne il fatto che il backup di WhatsApp non è più in chiaro o salvato con la chiave da tanto tempo.
Quindi, senza il backup e2e, Google e Apple non possono leggere i backup.
Meta potrebbe perché è in possesso di tutti i dati per rigenerare la chiave.
Potrebbe esserlo anche con il backup crittografato e2e perché non possiamo sapere se la nostra chiave non viene inviata a loro.

destroyer85
07-02-2024, 18:17
che ci sono per design...

Certo, quando hanno fatto gli algoritmi a chiavi asimmetrica hanno fatto in modo che con una backdoor "by design" si potessero leggere tutti i messaggi.
E ora che la sicurezza di internet si basa su questo nessuno se ne è accorto.
Gli sviluppatori di openssl sono al soldo della CIA
Per non parlare di quelli di GPG, quelli sono i peggiori, fingono di essere GNU ma sotto sotto c'è un if(isChina()) decrttatutto();

alfredaino
07-02-2024, 20:02
Tutto giusto tranne il fatto che il backup di WhatsApp non è più in chiaro o salvato con la chiave da tanto tempo.
Quindi, senza il backup e2e, Google e Apple non possono leggere i backup.
Meta potrebbe perché è in possesso di tutti i dati per rigenerare la chiave.
Potrebbe esserlo anche con il backup crittografato e2e perché non possiamo sapere se la nostra chiave non viene inviata a loro.

A me risulta sia così. Hai qualche fonte?

Informazioni sui backup dell'account Google (https://faq.whatsapp.com/407643231403807/?cms_platform=android)
le chat di cui viene effettuato il backup non sono protette dalla crittografia end-to-end di WhatsApp mentre si trovano sull'account Google, a meno che non scegli di attivare i backup crittografati end-to-end. Scopri come qui.

What’s Up with WhatsApp Encrypted Backups (https://www.eff.org/it/deeplinks/2021/09/whats-whatsapp-encrypted-backups)
WhatsApp does not have access to these backups, but backup service providers Apple and Google sure do. Unencrypted backups are vulnerable to government requests, third-party hacking, and disclosure by Apple or Google employees. That’s why EFF has consistently recommended that users not back up their messages to the cloud, and further that you encourage your friends and contacts to skip it too

destroyer85
07-02-2024, 20:22
Sì, l'ultima volta che ho dovuto recuperare i messaggi a qualcuno... :D
Guarda cosa scrive l'autore di questa applicazione:
https://andreas-mausch.de/whatsapp-viewer/
Can I decrypt the database without the key file?
WhatsApp is able to do that, but I am not. If you have lost your phone or the key file, the backup is worthless.
Please, do NOT write me e-mails because you cannot find the key but the messages are SOO important for you. I cannot help you.


How can I decrypt .crypt7 / .crypt8 /.crypt12?
First of all you either need root access to your device or get the key file using the backup method of Android (see link above).
When you got root access, you can download the file from the system memory at /data/data/com.whatsapp/files/key. Personally, I use MyPhoneExplorer for this task and I can really recommend this tool.

Once you got both, the .crypt7 and key file, use the menu File->Decrypt .crypt7 (or .crypt8), select your files and press OK.
The decrypted file should be in the same folder, you can now open it in WhatsApp Viewer.

Se il DB non fosse criptato non ci vorrebbe la chiave.
Se fosse stata nel backup, sarebbe stato molto più semplice prenderla da google drive.
Esiste un metodo per estrarre la chiave installando una vecchia versione di whatsapp che consentiva il backup locale di DB e chiave.

Facendo una ricerca ho trovato questo tool che probabilmente è in grado di generare la chiave dal numero di telefono.

https://www.backuptrans.com/tutorial/decrypt-read-chats-from-whatsapp-backup-file-on-android.html

Ma non l'ho provato.
Probabilmente hanno fatto il reverse engineering dell'algoritmo per generare la chiave, ma devi comunque conoscere il numero (per quello che prima ho scritto che Meta ha tutti i dati per generare la chiave, ma teoricamente non è in possesso del backup).

zappy
07-02-2024, 20:26
Certo, quando hanno fatto gli algoritmi a chiavi asimmetrica hanno fatto in modo che con una backdoor "by design" si potessero leggere tutti i messaggi.
E ora che la sicurezza di internet si basa su questo nessuno se ne è accorto.
Gli sviluppatori di openssl sono al soldo della CIA
Per non parlare di quelli di GPG, quelli sono i peggiori, fingono di essere GNU ma sotto sotto c'è un if(isChina()) decrttatutto();
mi sembra un po' complottista.
io mi riferivo all'app, non agli algoritmi.

destroyer85
07-02-2024, 20:30
https://media1.tenor.com/m/V1nzNc4rZE8AAAAC/you-dont-say-nic-cage.gif

alfredaino
08-02-2024, 06:17
Sì, l'ultima volta che ho dovuto recuperare i messaggi a qualcuno... :D
Guarda cosa scrive l'autore di questa applicazione:
https://andreas-mausch.de/whatsapp-viewer/



Se il DB non fosse criptato non ci vorrebbe la chiave.
Se fosse stata nel backup, sarebbe stato molto più semplice prenderla da google drive.
Esiste un metodo per estrarre la chiave installando una vecchia versione di whatsapp che consentiva il backup locale di DB e chiave.

Facendo una ricerca ho trovato questo tool che probabilmente è in grado di generare la chiave dal numero di telefono.

https://www.backuptrans.com/tutorial/decrypt-read-chats-from-whatsapp-backup-file-on-android.html

Ma non l'ho provato.
Probabilmente hanno fatto il reverse engineering dell'algoritmo per generare la chiave, ma devi comunque conoscere il numero (per quello che prima ho scritto che Meta ha tutti i dati per generare la chiave, ma teoricamente non è in possesso del backup).

Leggi la documentazione ufficiale di whatsapp sopra (https://www.hwupgrade.it/forum/showpost.php?p=48432333&postcount=17), il backup privo di crittografia e2e quindi per il 90-95% degli utenti che utilizzano le impostazioni di default è accessibile a terze parti, Google e Apple. Nel secondo caso l'utente può aver il backup su icloud con crittografia e2e, ma anche qui è disabilitato di default.
Inoltre, non sto parlando della possibilità di recupero del backup da parte dell'utente, ma da parte di Meta, Google, Apple e quindi il governo USA.

P.S. questo software (https://github.com/ElDavoo/wa-crypt-tools) è in grado di decifrare le ultime versioni dei backup con o senza crittografia e2e.

destroyer85
08-02-2024, 07:27
Hai letto la documentazione di quel programma?
Where do I get the key(file)?
On a rooted Android device, you can just copy /data/data/com.whatsapp/files/key (or /data/data/com.whatsapp/files/encrypted_backup.key if backups are crypt15).
If you enabled E2E backups, and you did not use a password (you have a copy of the 64-digit key, for example a screenshot), you can just transcribe and use it in lieu of the key file parameter.
There are other ways, but it is not in the scope of this project to tell you.
Issues asking for this will be closed as invalid.
Devi comunque recuperare la chiave dal telefono.
Quindi, sicuramente, il backup non è in chiaro.
Visto che la chiave è generata partendo dal numero di telefono, che nel 99% dei casi è lo stesso associato all'account con cui si fa il backup, è possibile che Google e Apple siano in grado di generarla.

alfredaino
08-02-2024, 07:54
Hai letto la documentazione di quel programma?

Devi comunque recuperare la chiave dal telefono.
Quindi, sicuramente, il backup non è in chiaro.
Visto che la chiave è generata partendo dal numero di telefono, che nel 99% dei casi è lo stesso associato all'account con cui si fa il backup, è possibile che Google e Apple siano in grado di generarla.

Si, ho letto tutto. La stessa Meta dice che i backup siano accessibili a terze parti i gestori del cloud i quali possono riottenere la chiave, volendo anche lei.
L'unica protezione, salvo backdoor, è attivare la crittografia e2e dei backup, ma come scritto è fattibile solo per le chat private, non per i gruppi, soprattutto se N cresce (N>10?).

destroyer85
08-02-2024, 16:54
Si, ho letto tutto. La stessa Meta dice che i backup siano accessibili a terze parti i gestori del cloud i quali possono riottenere la chiave, volendo anche lei.
Dove lo dice?
Qui dice così:
Chats you back up aren't protected by WhatsApp end-to-end encryption while in your Google Account unless you’ve turned on end-to-end encrypted backup. Learn how here.
E così:
End-to-end encryption ensures only you and the person you're communicating with can read or listen to what is sent. Nobody in between, not even WhatsApp, can access the content of your communications. With end-to-end encrypted backup, you can add the same protection to your phone’s WhatsApp database, iCloud or Google Drive backup.

Dove dice che Google e iCloud possono accedere ai backup?
Quello che dice EFF è il sentito dire che ammorba la rete
https://security.stackexchange.com/questions/136072/how-can-whatsapp-restore-local-or-google-drive-backups
Questo post del 2016 conferma che già allora i backup NON ERANO IN CHIARO

alfredaino
08-02-2024, 17:12
Dove lo dice?
Qui dice così:
Chats you back up aren't protected by WhatsApp end-to-end encryption while in your Google Account unless you’ve turned on end-to-end encrypted backup. Learn how here.
E così:
End-to-end encryption ensures only you and the person you're communicating with can read or listen to what is sent. Nobody in between, not even WhatsApp, can access the content of your communications. With end-to-end encrypted backup, you can add the same protection to your phone’s WhatsApp database, iCloud or Google Drive backup.

Dove dice che Google e iCloud possono accedere ai backup?
Quello che dice EFF è il sentito dire che ammorba la rete
https://security.stackexchange.com/questions/136072/how-can-whatsapp-restore-local-or-google-drive-backups
Questo post del 2016 conferma che già allora i backup NON ERANO IN CHIARO

Nella parte che hai riportato, che è la stessa riportata da me qui (https://www.hwupgrade.it/forum/showpost.php?p=48432333&postcount=17) in italiano.
La discussione che hai riportato è la stessa che ho messo qui (https://www.hwupgrade.it/forum/showpost.php?p=48432033&postcount=11). I backup in cloud sono cifrati (solo una parte i messaggi, ma non il resto (https://blog.elcomsoft.com/2018/01/extract-and-decrypt-whatsapp-backups-from-google/)), ma non con crittografia e2e di default e quindi accessibili a terzi.

How can WhatsApp restore local or Google Drive Backups? (https://security.stackexchange.com/questions/136072/how-can-whatsapp-restore-local-or-google-drive-backups)
The databases are encrypted with a key stored in the data folder. This key is in fact stored on the WhatsApp server.
The moment you install a new device and setup your Google Account, the files can be requested by the app and configured on the local device. This includes the axolotl database containing the identity key which is necessary in order to prove your identity to others. The decryption key is retrieved after the proving ownership of the phone number (username) to the newly installed WhatsApp instance. In theory, WhatsApp should not be able to access those files, but only you and Google. Ofcourse, WhatsApp could download the files and send them to another location. But at some point we need to put trust in the app, especially if it's not opensource.
Once again the encryption key is stored on the remote server together with your WhatsApp profile. This explains why you can move the entire WhatsApp backup folder from one device to another. Without a verified phone number you cannot read the backup files, or use the identity key, however any rooted device can give easy access to the original, unencrypted, database files.
The story does not get any better from this point, as we know that Google and other companies such as Facebook and WhatsApp supply files on request under the FISA act. There is no need to strike at the end-to-end communication as there is already a 'backdoor'. E2E only protects against active adversaries on the communication channel, who do not possess the power to demand backup files from party one and the decryption key from the other

Penso sia chiaro che la crittografia sia fittizia.

zappy
08-02-2024, 17:36
Nella parte che hai riportato, che è la stessa riportata da me qui (https://www.hwupgrade.it/forum/showpost.php?p=48432333&postcount=17) in italiano.
La discussione che hai riportato è la stessa che ho messo qui (https://www.hwupgrade.it/forum/showpost.php?p=48432033&postcount=11). I backup in cloud sono cifrati (solo una parte i messaggi, ma non il resto (https://blog.elcomsoft.com/2018/01/extract-and-decrypt-whatsapp-backups-from-google/)), ma non con crittografia e2e di default e quindi accessibili a terzi.

How can WhatsApp restore local or Google Drive Backups? (https://security.stackexchange.com/questions/136072/how-can-whatsapp-restore-local-or-google-drive-backups)
The databases are encrypted with a key stored in the data folder. This key is in fact stored on the WhatsApp server.
The moment you install a new device and setup your Google Account, the files can be requested by the app and configured on the local device. This includes the axolotl database containing the identity key which is necessary in order to prove your identity to others. The decryption key is retrieved after the proving ownership of the phone number (username) to the newly installed WhatsApp instance. In theory, WhatsApp should not be able to access those files, but only you and Google. Ofcourse, WhatsApp could download the files and send them to another location. But at some point we need to put trust in the app, especially if it's not opensource.
Once again the encryption key is stored on the remote server together with your WhatsApp profile. This explains why you can move the entire WhatsApp backup folder from one device to another. Without a verified phone number you cannot read the backup files, or use the identity key, however any rooted device can give easy access to the original, unencrypted, database files.
The story does not get any better from this point, as we know that Google and other companies such as Facebook and WhatsApp supply files on request under the FISA act. There is no need to strike at the end-to-end communication as there is already a 'backdoor'. E2E only protects against active adversaries on the communication channel, who do not possess the power to demand backup files from party one and the decryption key from the other

Penso sia chiaro che la crittografia sia fittizia.:mano:

destroyer85
08-02-2024, 19:30
Nella parte che hai riportato, che è la stessa riportata da me qui (https://www.hwupgrade.it/forum/showpost.php?p=48432333&postcount=17) in italiano.
La discussione che hai riportato è la stessa che ho messo qui (https://www.hwupgrade.it/forum/showpost.php?p=48432033&postcount=11). I backup in cloud sono cifrati (solo una parte i messaggi, ma non il resto (https://blog.elcomsoft.com/2018/01/extract-and-decrypt-whatsapp-backups-from-google/)), ma non con crittografia e2e di default e quindi accessibili a terzi.
La parte in grassetto è una tua conclusione, non è quello che c'è scritto:
Le chat di cui si esegue il backup non sono protette dalla crittografia end-to-end di WhatsApp quando si trovano nell'account Google, a meno che non si sia attivato il backup crittografato end-to-end.



How can WhatsApp restore local or Google Drive Backups? (https://security.stackexchange.com/questions/136072/how-can-whatsapp-restore-local-or-google-drive-backups)
The databases are encrypted with a key stored in the data folder. This key is in fact stored on the WhatsApp server.
The moment you install a new device and setup your Google Account, the files can be requested by the app and configured on the local device. This includes the axolotl database containing the identity key which is necessary in order to prove your identity to others. The decryption key is retrieved after the proving ownership of the phone number (username) to the newly installed WhatsApp instance. In theory, WhatsApp should not be able to access those files, but only you and Google. Ofcourse, WhatsApp could download the files and send them to another location. But at some point we need to put trust in the app, especially if it's not opensource.
Once again the encryption key is stored on the remote server together with your WhatsApp profile. This explains why you can move the entire WhatsApp backup folder from one device to another. Without a verified phone number you cannot read the backup files, or use the identity key, however any rooted device can give easy access to the original, unencrypted, database files.
The story does not get any better from this point, as we know that Google and other companies such as Facebook and WhatsApp supply files on request under the FISA act. There is no need to strike at the end-to-end communication as there is already a 'backdoor'. E2E only protects against active adversaries on the communication channel, who do not possess the power to demand backup files from party one and the decryption key from the other

Penso sia chiaro che la crittografia sia fittizia.
La chiave potrebbe non essere salvata da nessuna parte ma semplicemente rigenerata ogni volta che si installa l'applicazione. Ed è ovvio che Meta sappia come generare una chiave di decriptazione se l'utente non ci mette un po' di "salt".
Cosa vuol dire crittografia fittizia?
Ci sono 2 grandi attori: Google e Meta.
Meta sa come generare la chiave ma non ha i dati perché non sono salvati sul suo cloud; Google ha i dati ma sono criptati ma non ha la chiave.
Torniamo alla tua affermazione originale:
1) Meta, e anche Google e Apple che memorizzano il backup in chiaro, hanno accesso ai tuoi messaggi
L'affermazione che i backup siano memorizzati in chiaro è sbagliata e non è così da quasi 10 anni.
Ma la cosa che mi da più fastidio è la "e" dopo la "virgola".

alfredaino
09-02-2024, 08:38
La parte in grassetto è una tua conclusione, non è quello che c'è scritto:

Se conosci come funziona è una conclusione corretta. Non è solo la mia, ma anche quella della discussione (https://www.hwupgrade.it/forum/showpost.php?p=48433215&postcount=25) e dell'EFF (https://www.hwupgrade.it/forum/showpost.php?p=48432333&postcount=17), ma anche di altri, fai due ricerche.


La chiave potrebbe non essere salvata da nessuna parte ma semplicemente rigenerata ogni volta che si installa l'applicazione. Ed è ovvio che Meta sappia come generare una chiave di decriptazione se l'utente non ci mette un po' di "salt".
Cosa vuol dire crittografia fittizia?
Ci sono 2 grandi attori: Google e Meta.
Meta sa come generare la chiave ma non ha i dati perché non sono salvati sul suo cloud; Google ha i dati ma sono criptati ma non ha la chiave.
Torniamo alla tua affermazione originale:

L'importante è credere a tutto quello che dicono. Secondo te, Meta, Google e Apple non si scambiano informazioni, ma soprattutto non le forniscono al governo USA (sono costrette per legge cloud act e altro)? Ripeto non fidarti di quello che ti dico io, leggi le analisi della discussione (https://security.stackexchange.com/questions/136072/how-can-whatsapp-restore-local-or-google-drive-backups) e della EFF (https://www.eff.org/it/deeplinks/2021/09/whats-whatsapp-encrypted-backups).
Con "fittizia" intendo che in teoria c'è, ma in pratica è come se non ci fosse. Serve come marketing per fare in modo che la gente pensi che sia un servizio di comunicazione sicuro perché protetto da crittografia.


L'affermazione che i backup siano memorizzati in chiaro è sbagliata e non è così da quasi 10 anni.
Ma la cosa che mi da più fastidio è la "e" dopo la "virgola".

Una parte dei backup sono in chiaro (https://blog.elcomsoft.com/2018/01/extract-and-decrypt-whatsapp-backups-from-google/), come video e immagini, mentre i messaggi sono salvati con crittografia simmetrica AES, ma loro hanno accesso alle chiavi. Per questo motivo ho scritto che sono in chiaro. Funziona come un qualunque cloud con crittografia non e2e, in teoria è cifrato, ma il gestore del cloud controlla le chiavi e quindi in pratica è in chiaro.

P.S. ti faccio una domanda. Secondo te perché meta non si è appoggiata o si appoggia ai propri server per il backup di whatsapp, ma ha sempre utilizzato quelli di google e apple?

zappy
10-02-2024, 11:03
...

P.S. ti faccio una domanda. Secondo te perché meta non si è appoggiata o si appoggia ai propri server per il backup di whatsapp, ma ha sempre utilizzato quelli di google e apple?
concordo con la tua analisi.
ma non ho capito il PS.:stordita:

alfredaino
10-02-2024, 11:14
concordo con la tua analisi.
ma non ho capito il PS.:stordita:

Qui non ho una risposta certa, ma solo delle ipotesi. Meta (facebook) non ha mai avuto problemi a memorizzare il backup di whatsapp ne a livello tecnologico, ne economico. Quindi è stata una scelta quella di effettuare il backup in una terza parte.
Google (https://support.google.com/android/thread/243899327/upcoming-changes-to-whatsapp-chat-history-backup-on-android?hl=en) fino a novembre 2023, non considerava lo spazio del backup di whatsapp come spazio occupato. Certamente non faceva beneficenza, ma aveva qualche vantaggio economico, il poter analizzare il contenuto e rivendere i dati.
Le persone che superano la soglia di 15 GB su google o 5 GB su apple devono pagare o rinunciare al backup in cloud. Ora che whatsapp è diventato il servizio di messaggistica più diffuso e in molti stati lo standard de facto (molti operatori telefonici fuori UE forniscono traffico illimitato per whatsapp, ma non per le altre applicazioni, alla faccia della neutralità della rete), google e apple possono fare cassa e sono tutti felici, un ulteriore vendor lock-in.

zappy
10-02-2024, 18:06
Qui non ho una risposta certa, ma solo delle ipotesi. Meta (facebook) non ha mai avuto problemi a memorizzare il backup di whatsapp ne a livello tecnologico, ne economico. Quindi è stata una scelta quella di effettuare il backup in una terza parte.
Google (https://support.google.com/android/thread/243899327/upcoming-changes-to-whatsapp-chat-history-backup-on-android?hl=en) fino a novembre 2023, non considerava lo spazio del backup di whatsapp come spazio occupato. Certamente non faceva beneficenza, ma aveva qualche vantaggio economico, il poter analizzare il contenuto e rivendere i dati.
Le persone che superano la soglia di 15 GB su google o 5 GB su apple devono pagare o rinunciare al backup in cloud. Ora che whatsapp è diventato il servizio di messaggistica più diffuso e in molti stati lo standard de facto (molti operatori telefonici fuori UE forniscono traffico illimitato per whatsapp, ma non per le altre applicazioni, alla faccia della neutralità della rete), google e apple possono fare cassa e sono tutti felici, un ulteriore vendor lock-in.
info interessanti e un po' inquietanti...