Grave falla scoperta su WhatsApp: a rischio la privacy delle chat [Aggiornato]

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwupgrade.it/news/telefon...ato_66628.html

Segnalata come "un'enorme violazione nella libertà d'espressione", una nuova vulnerabilità è stata scoperta sul sistema di crittografia end-to-end utilizzato da WhatsApp

Click sul link per visualizzare la notizia.

[matteop3]

Mi sembra si sia arrivati a conclusioni drammatiche troppo in fretta: https://imgur.com/a/dehKb

In pratica sembra trattarsi di un'infelice scelta di design che hanno fatto i progettisti di WhatsApp per l'invio dei messaggi offline, che semplifica leggermente la vita all'utente, ma introduce una potenziale vulnerabilità; non si tratta di una backdoor. Quindi non c'è nessun reale complotto dietro e la vulnerabilità introdotta è relativamente ridotta, speriamo solo se ne rendano conto e revochino la modifica prima che qualcuno la sfrutti. In pratica sembra che WhatsApp abbia dato troppa importanza all'esperienza utente a scapito della sicurezza del protocollo.

Edit: qualche altro dettaglio riguardo al bug introdotto direttamente dal suo scopritore: https://tobi.rocks/2016/04/whats-app...vulnerability/

[NiubboXp]

ne sei così sicuro? secondo me è una scusa bella e buona

è notizia di qualche giorno fa che sul loro servizio si scambiano circa 80 miliardi di messaggi al giorno, hai idea di che infrastruttura serva per mantenere un sistema di questo tipo?
inoltre come mai facebook ha acquisito quest'app per la modica cifra di 19 miliardi di dollari se poi agli utenti non chiede neanche un cent?
sono impazziti? sono filantropi?

io non credo proprio, trovo molto piu credibile che così come fanno altre realtà, siano dietro il business dei dati, in cui vendono dati, abitudini e quant'altro a società di vario tipo e forse anche a governi

ogni società piccola o grande che sia ha un solo e legittimo scopo, fare profitto, e regalare un servizio che costa mantenerlo senza appunto chiedere compenso è una cosa che dovrebbe far riflettere

[ThePolo]

Bah che sia o no una backdoor, mai fidarsi di un software closed source.
Sarebbe anche ora che la gente lo capisse...

[Erotavlas_turbo]

Quote:

Originariamente inviato da matteop3

Mi sembra si sia arrivati a conclusioni drammatiche troppo in fretta: https://imgur.com/a/dehKb

In pratica sembra trattarsi di un'infelice scelta di design che hanno fatto i progettisti di WhatsApp per l'invio dei messaggi offline, che semplifica leggermente la vita all'utente, ma introduce una potenziale vulnerabilità; non si tratta di una backdoor. Quindi non c'è nessun reale complotto dietro e la vulnerabilità introdotta è relativamente ridotta, speriamo solo se ne rendano conto e revochino la modifica prima che qualcuno la sfrutti. In pratica sembra che WhatsApp abbia dato troppa importanza all'esperienza utente a scapito della sicurezza del protocollo.

Edit: qualche altro dettaglio riguardo al bug introdotto direttamente dal suo scopritore: https://tobi.rocks/2016/04/whats-app...vulnerability/

Leggendo sul blog del ricercatore che ha scoperto la falla.
Proprietary closed-source crypto software is the wrong path. After all this - potentially mallicious code - handles all our decrypted messages. Next time the FBI will not ask Apple but WhatsApp to ship a version of their code that will send all decrypted messages directly to the FBI.
Lo stesso qui, non è una backdoor, ma un attacco MiM.
Non utilizzate whatsapp se ci tenete alla privacy, usate signal, wire o le chat segrete di telegram ovvero tutti software open source.

[coschizza]

Quote:

Originariamente inviato da ThePolo

Bah che sia o no una backdoor, mai fidarsi di un software closed source.
Sarebbe anche ora che la gente lo capisse...

come se i software open fossere immuni a queste pretiche, se ti volgio mettere un backdoor voglio vedere se tu controlli milioni di righe di codice ogni giorno.
Sai quante volte hanno iniettato codice malevole in software open (adirittura nel reposotory del kernel di linux). Tu lo scarichi e lo usi mica controlli ogni volta che il sorgente sia stato modificato.

[Erotavlas_turbo]

Quote:

Originariamente inviato da coschizza

come se i software open fossere immuni a queste pretiche, se ti volgio mettere un backdoor voglio vedere se tu controlli milioni di righe di codice ogni giorno.
Sai quante volte hanno iniettato codice malevole in software open (adirittura nel reposotori del kernel di linux). Tu lo scarichi e lo usi mica controlli ogni volta che il sorgente sia stato modificato.

Certo. Per un software di sicurezza, essere open source è una condizione necessaria, ma non sufficiente.
Un software closed source è non trasparente e quindi insicuro per definizione.

[ThePolo]

Quote:

Originariamente inviato da coschizza

come se i software open fossere immuni a queste pretiche, se ti volgio mettere un backdoor voglio vedere se tu controlli milioni di righe di codice ogni giorno.
Sai quante volte hanno iniettato codice malevole in software open (adirittura nel reposotory del kernel di linux). Tu lo scarichi e lo usi mica controlli ogni volta che il sorgente sia stato modificato.

Con un software open source hai un grado di sicurezza decisamente maggiore di uno closed source.
Certo, la sicurezza assoluta non esiste e non esisterà mai.

[eureka85]

semplicemente smettete di usarlo se pensate non sia sicuro.
Oppure non comunicate fatti importanti e personali ma incontratevi di persona in una stanza con le pareti ed il tetto di piombo

[jhoexp]

Ma dopo aver saputo di PRISM e di tutti i sistemi di sorveglianza autorizzati senza difficoltà dall'NSA e dalle altre agenzie americane, davvero pensate di poter essere al sicuro su una chat di Whatsapp?? Sapete benissimo che google, facebook, microsoft, e tutti i principali provider di servizi di messaging, ricerca o di connettività hanno sottoscritto accordi con agenzie del governo americano, e anche di altri paesi, e passano regolarmente tutti i dati richiesti. Anzi, Snowden ha dimostrato che si andava ben oltre...

Lo scandalo per la scoperta di una backdoor o di una lacuna di sicurezza, oggi, è una cosa ridicola. Nessuno di questi sistemi garantisce la vostra privacy, è una cosa scontata. Se davvero la volete dovete adottare sistemi di crittografia su canali più sicuri.

[turcone]

Quote:

Originariamente inviato da ThePolo

Bah che sia o no una backdoor, mai fidarsi di un software closed source.
Sarebbe anche ora che la gente lo capisse...

forse una decina di anni fa il tuo discorso era vera adesso puoi inserire backdoor nei programmi open ( un esempio semplice è un'implementazione matematicamente imperfetta ) e sono quasi impossibili da trovare anche se hai il codice sorgente
secondo me l'unica soluzione sono gli audit continui con full disclosure ( ormai quasi esistinti ) non gli audit mirati a prendere le ricompense
l'open source ormai è solo un modo di fare bussiness non è più sinonimo di qualità e sicurezza

[cdimauro]

Quote:

Originariamente inviato da Erotavlas_turbo

Certo. Per un software di sicurezza, essere open source è una condizione necessaria, ma non sufficiente.

Falso: un software closed può benissimo essere sicuro tanto quanto uno open.

La dimostrazione, peraltro, è banale.

Quote:

Un software closed source è non trasparente e quindi insicuro per definizione.

Per quanto scritto sopra, è del tutto falso.

[Tedturb0]

Vediamo se da oggi i soliti noti (o per meglio dire solito) continuera a promuovere Whatsapp e spalare merda sulla concorrenza, per ora inviolata, non ostante i dati alla mano.
Io per quanto mi riguarda evito whatsmerd ovunque possibile, e quando mi scrivono li rispondo su telegram

[matteop3]

Quote:

Originariamente inviato da Erotavlas_turbo

Leggendo sul blog del ricercatore che ha scoperto la falla.
Proprietary closed-source crypto software is the wrong path. After all this - potentially mallicious code - handles all our decrypted messages. Next time the FBI will not ask Apple but WhatsApp to ship a version of their code that will send all decrypted messages directly to the FBI.
Lo stesso qui, non è una backdoor, ma un attacco MiM.
Non utilizzate whatsapp se ci tenete alla privacy, usate signal, wire o le chat segrete di telegram ovvero tutti software open source.

Aggiungo la presa di posizione ufficiale di Open Whisper Systems: https://whispersystems.org/blog/ther...sapp-backdoor/

Anche io sono completamente favorevole alla completa trasparenza, soprattutto sui software di sicurezza, comunque ti faccio notare che WA è closed source eppure questa vulnerabilità è venuta fuori lo stesso.

Quote:

Originariamente inviato da Tedturb0

Vediamo se da oggi i soliti noti (o per meglio dire solito) continuera a promuovere Whatsapp e spalare merda sulla concorrenza, per ora inviolata, non ostante i dati alla mano.
Io per quanto mi riguarda evito whatsmerd ovunque possibile, e quando mi scrivono li rispondo su telegram

Effettivamente Telegram non ha di questi problemi, la crittografia end-to-end non ce l'ha (ok, ce l'ha, ma non la usa nessuno perché non è attiva di default) e i messaggi stanno tutti in chiaro direttamente sui loro server. :P

Il solito noto, comunque, non fa altro che illustrare i fatti anche in questa situazione.

[cecco89]

ma il bello e che ci si fa tante pippe mentali per whatsapp, poi magari le stesse persone mettono su facebook vita morte e miracoli della propria vita, diciamo che oggi secondo me non esagero se almeno un 70% delle persone che vive in paesi sviluppati la privacy se la sputtana da sola con i social!

[jined]

Premesso che "open source" ormai e' solo una bella parola usata come politica di liberta' e "speranza", ma di fatto nessuno proibisce a nessun team di sviluppo di generare dei compilati provenienti da sorgenti completamente diversi. Cerchiamo di non essere ingenui, ma ANCHE SE, un compilato venisse fuori da un sorgente completamente trasparente, mi vengono in mente almeno una decina di sistemi diversi da implementare sui server, per bypassare o decrittare, contenuti protetti.

[bio.hazard]

Quote:

Originariamente inviato da eureka85

semplicemente smettete di usarlo se pensate non sia sicuro.
Oppure non comunicate fatti importanti e personali ma incontratevi di persona in una stanza con le pareti ed il tetto di piombo

solo dopo essersi accertati che i co-cospiratori non abbiano un registratore addosso, però...

[digieffe]

Quote:

Originariamente inviato da coschizza

come se i software open fossere immuni a queste pretiche, se ti volgio mettere un backdoor voglio vedere se tu controlli milioni di righe di codice ogni giorno.
Sai quante volte hanno iniettato codice malevole in software open (adirittura nel reposotory del kernel di linux). Tu lo scarichi e lo usi mica controlli ogni volta che il sorgente sia stato modificato.

sono interessato al codice iniettato nei repository di linux, hai qualche link? grazie

Quote:

Originariamente inviato da jhoexp

Lo scandalo per la scoperta di una backdoor o di una lacuna di sicurezza, oggi, è una cosa ridicola. Nessuno di questi sistemi garantisce la vostra privacy, è una cosa scontata. Se davvero la volete dovete adottare sistemi di crittografia su canali più sicuri.

quali sono questi canali più sicuri?

[Opteranium]

Quote:

Originariamente inviato da matteop3

In pratica sembra trattarsi di un'infelice scelta di design che hanno fatto i progettisti di WhatsApp per l'invio dei messaggi offline, che semplifica leggermente la vita all'utente, ma introduce una potenziale vulnerabilità; non si tratta di una backdoor.

mi sembra una visione troppo felice. È il caso di dire defective by design. Questi hanno volutamente scelto di creare una falla..

[eddie81]

Quote:

Originariamente inviato da digieffe

sono interessato al codice iniettato nei repository di linux, hai qualche link? grazie

Ne dubito, visto che non è mai successo.