Ecco come WhatsApp si adeguerà alle nuove norme europee sulla privacy

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/telefo...cy_124136.html

Per conformarsi al Digital Markets Act europeo, WhatsApp dovrà rendere possibile l'interazione con altre piattaforme di messaggistica, ma permangono dubbi su come l'app di proprietà di Meta manterrà gli standard di sicurezza e crittografia.

Click sul link per visualizzare la notizia.

[Takuya]

Molto bello e rassicurante vedere che si preoccupano tanto per la tua privacy, ma poi ti ricordi che sono soggetti al Cloud Act :

Quote:

Consente alle autorità statunitensi, forze dell’ordine e agenzie di intelligenze di acquisire dati informatici dagli operatori di servizi di cloud computing “regardless of whether such communications, record or other informations is located within or outside of USA” ossia indipendentemente dal fatto che tali comunicazioni, registrazioni o altre informazioni si trovino all’interno o all’esterno degli Stati Uniti. Gli ISP, interessati dalla misura, sono le compagnie private sottoposte alla giurisdizione degli Stati Uniti ovvero le società costituite negli States e le loro filiali all’estero (Google, Microsoft, Amazon…) ma anche le società europee che hanno una filiale negli Stati Uniti o che operano nel mercato americano.

Cloud act, la norma USA che fa a pugni con la privacy europea: i nodi

[Gringo [ITF]]

- Tanto alla fine si finirà tutti a livello mondiale sotto l'ANAL ACT

[biometallo]

Mi pare che dopo essere sparito per un po' stiamo assistendo al grande ritorno del "ecco come"

Seriamente più che la questione sulla privacy sono curioso di capire come e quando avverrà questa apertura alle app di messaggistica di terze parti, magari a quel punto potrei valutare davvero il passaggio a Telegram o altro.

[alfredaino]

Non c'è bisogno di inventarsi nulla di nuovo.
Il protocollo MLS è uno standard IETF RFC 9420 per la messaggistica e comunicazione e2ee.
MLS fornisce le stesse proprietà crittografiche del rispettato protocollo Signal (forward secrecy e post compromise security), aggiungendo la scalabilità a decine di migliaia di utenti e l'autenticazione (punti deboli di Signal e altri) e soprattutto l'interoperabilità e quindi la decentralizzazione.
In breve MLS è l'equivalente di TLS, invece che per il web e la posta elettronica, per la messaggistica e la comunicazione ed è già supportato da google messages, webeax, wire, mentre matrix sta lavorando al supporto.
I servizi di messaggistica diventeranno come la posta elettronica, un sistema aperto, federato e senza vendor lock-in.

[zappy]

Quote:

Originariamente inviato da Takuya

Molto bello e rassicurante vedere che si preoccupano tanto per la tua privacy, ma poi ti ricordi che sono soggetti al Cloud Act :
Cloud act, la norma USA che fa a pugni con la privacy europea: i nodi

Quote:

Originariamente inviato da alfredaino

Non c'è bisogno di inventarsi nulla di nuovo.
Il protocollo MLS è uno standard IETF RFC 9420 per la messaggistica e comunicazione e2ee.
MLS fornisce le stesse proprietà crittografiche del rispettato protocollo Signal (forward secrecy e post compromise security), aggiungendo la scalabilità a decine di migliaia di utenti e l'autenticazione (punti deboli di Signal e altri) e soprattutto l'interoperabilità e quindi la decentralizzazione.
In breve MLS è l'equivalente di TLS, invece che per il web e la posta elettronica, per la messaggistica e la comunicazione ed è già supportato da google messages, webeax, wire, mentre matrix sta lavorando al supporto.
I servizi di messaggistica diventeranno come la posta elettronica, un sistema aperto, federato e senza vendor lock-in.

ma WA usa il protocollo del concorrente Signal?

[alfredaino]

Quote:

Originariamente inviato da zappy

ma WA usa il protocollo del concorrente Signal?

Si, praticamente quasi tutti usano quello, vedi qui.

How WhatsApp enables multi-device capability
For groups, we still use the same scalable Sender Key encryption scheme from the Signal Protocol.

[insane74]

faccio la domanda da super ignorante: Whatsapp e simili dicono di implementare la crittografia E2E e che "nemmeno loro possono leggere il contenuto dei messaggi"...
quindi:
1) è realisticamente vero che Meta e simili non possano accedere al contenuto dei messaggi? con una "master key" o simile?
2) se non possono davvero accedere al contenuto del messaggio, le autorità cosa possono chiedere/verificare? che A ha scritto a B?
perché se tutto è criptato E2E e nessuno può leggerne il contenuto a parte i destinatari, alla fin fine, per quanto possa dispiacere, possono solo risalire a chi ha scritto a chi, ma non "cosa" è stato scritto?

ribadisco che sono domande da ignorante.

[destroyer85]

Bene quindi che Meta non sia un ISP e che WhatsApp non sia in Cloud.

[zappy]

Quote:

Originariamente inviato da insane74

faccio la domanda da super ignorante: Whatsapp e simili dicono di implementare la crittografia E2E e che "nemmeno loro possono leggere il contenuto dei messaggi"...
quindi:
1) è realisticamente vero che Meta e simili non possano accedere al contenuto dei messaggi? con una "master key" o simile?
2) se non possono davvero accedere al contenuto del messaggio, le autorità cosa possono chiedere/verificare? che A ha scritto a B?
perché se tutto è criptato E2E e nessuno può leggerne il contenuto a parte i destinatari, alla fin fine, per quanto possa dispiacere, possono solo risalire a chi ha scritto a chi, ma non "cosa" è stato scritto?

ribadisco che sono domande da ignorante.

beh, da ignorante dico che la chiave crittografica è comunque sul telefono e l'app deve usarla per decodificare i messaggi e farteli vedere... la falla mo sembra possa essere nella E, non nel 2...

[alfredaino]

Quote:

Originariamente inviato da insane74

faccio la domanda da super ignorante: Whatsapp e simili dicono di implementare la crittografia E2E e che "nemmeno loro possono leggere il contenuto dei messaggi"...
quindi:
1) è realisticamente vero che Meta e simili non possano accedere al contenuto dei messaggi? con una "master key" o simile?
2) se non possono davvero accedere al contenuto del messaggio, le autorità cosa possono chiedere/verificare? che A ha scritto a B?
perché se tutto è criptato E2E e nessuno può leggerne il contenuto a parte i destinatari, alla fin fine, per quanto possa dispiacere, possono solo risalire a chi ha scritto a chi, ma non "cosa" è stato scritto?

ribadisco che sono domande da ignorante.

1) Meta, e anche Google e Apple che memorizzano il backup in chiaro, hanno accesso ai tuoi messaggi in quanto la chiave di cifratura è memorizzata nei server di Meta e ti permette di reinstallare l'applicazione e anche cambiare dispositivo e di riavere lo storico dei messaggi. Se hai attivato la crittografia e2e del backup dalle impostazioni, nemmeno loro sono in grado di leggere i tuoi messaggi (in teoria poiché in pratica le applicazioni sono closed source e i binari offuscati e quindi nessuno può verificare la presenza di backdoor). Tuttavia, se in un gruppo di N persone, almeno una non ha attivato la crittografia e2e del backup, invalida la scelta di tutte le altre. Poiché 90-95% degli utenti non cambia le impostazioni di default, i gruppi con crittografia e2e sono un miraggio.
2) Nel punto 1) trovo la risposta a questa domanda.

[insane74]

Quote:

Originariamente inviato da zappy

beh, da ignorante dico che la chiave crittografica è comunque sul telefono e l'app deve usarla per decodificare i messaggi e farteli vedere... la falla mo sembra possa essere nella E, non nel 2...

Quote:

Originariamente inviato da alfredaino

1) Meta, e anche Google e Apple che memorizzano il backup in chiaro, hanno accesso ai tuoi messaggi in quanto la chiave di cifratura è memorizzata nei server di Meta e ti permette di reinstallare l'applicazione e anche cambiare dispositivo e di riavere lo storico dei messaggi. Se hai attivato la crittografia e2e del backup dalle impostazioni, nemmeno loro sono in grado di leggere i tuoi messaggi (in teoria poiché in pratica le applicazioni sono closed source e i binari offuscati e quindi nessuno può verificare la presenza di backdoor). Tuttavia, se in un gruppo di N persone, almeno una non ha attivato la crittografia e2e del backup, invalida la scelta di tutte le altre. Poiché 90-95% degli utenti non cambia le impostazioni di default, i gruppi con crittografia e2e sono un miraggio.
2) Nel punto 1) trovo la risposta a questa domanda.

ok chiaro.
quindi a meno di bug/backdoor nell'implementazione, le chat delle persone comuni possono essere lette dalle autorità.
chi vuole commettere reato scambiandosi messaggi attiva le impostazioni di cifratura dei backup e, a meno di bug/backdoor, nessuno legge quei messaggi a parte i destinatari.
in poche parole il cloud act o simili servono solo per le persone "normali". per chi è sgamato / coinvolto in attività illecite non serve ad una mazza (a meno appunto di bug/backdoor).

[alfredaino]

Quote:

Originariamente inviato da insane74

ok chiaro.
quindi a meno di bug/backdoor nell'implementazione, le chat delle persone comuni possono essere lette dalle autorità.
chi vuole commettere reato scambiandosi messaggi attiva le impostazioni di cifratura dei backup e, a meno di bug/backdoor, nessuno legge quei messaggi a parte i destinatari.
in poche parole il cloud act o simili servono solo per le persone "normali". per chi è sgamato / coinvolto in attività illecite non serve ad una mazza (a meno appunto di bug/backdoor).

Chi vuole fare certe attività, se non vuole consegnarsi, non usa ne whatsapp, ne signal, ne altre applicazioni "standard". Ci sono alternative migliori completamente open source, p2p, ma soprattutto senza ID di identificazione permanente.
Ormai credo sia chiaro a tutti che la pubblicità mirata e la raccolta massiva dei dati alla base del capitalismo della sorveglianza, servano per scopi di controllo delle masse.

[zappy]

Quote:

Originariamente inviato da insane74

ok chiaro.
quindi a meno di bug/backdoor nell'implementazione, le chat delle persone comuni possono essere lette dalle autorità.
chi vuole commettere reato scambiandosi messaggi attiva le impostazioni di cifratura dei backup e, a meno di bug/backdoor, nessuno legge quei messaggi a parte i destinatari.
in poche parole il cloud act o simili servono solo per le persone "normali". per chi è sgamato / coinvolto in attività illecite non serve ad una mazza (a meno appunto di bug/backdoor).

che ci sono per design...

[destroyer85]

Quote:

Originariamente inviato da alfredaino

1) Meta, e anche Google e Apple che memorizzano il backup in chiaro, hanno accesso ai tuoi messaggi in quanto la chiave di cifratura è memorizzata nei server di Meta e ti permette di reinstallare l'applicazione e anche cambiare dispositivo e di riavere lo storico dei messaggi. Se hai attivato la crittografia e2e del backup dalle impostazioni, nemmeno loro sono in grado di leggere i tuoi messaggi (in teoria poiché in pratica le applicazioni sono closed source e i binari offuscati e quindi nessuno può verificare la presenza di backdoor). Tuttavia, se in un gruppo di N persone, almeno una non ha attivato la crittografia e2e del backup, invalida la scelta di tutte le altre. Poiché 90-95% degli utenti non cambia le impostazioni di default, i gruppi con crittografia e2e sono un miraggio.
2) Nel punto 1) trovo la risposta a questa domanda.

Tutto giusto tranne il fatto che il backup di WhatsApp non è più in chiaro o salvato con la chiave da tanto tempo.
Quindi, senza il backup e2e, Google e Apple non possono leggere i backup.
Meta potrebbe perché è in possesso di tutti i dati per rigenerare la chiave.
Potrebbe esserlo anche con il backup crittografato e2e perché non possiamo sapere se la nostra chiave non viene inviata a loro.

[destroyer85]

Quote:

Originariamente inviato da zappy

che ci sono per design...

Certo, quando hanno fatto gli algoritmi a chiavi asimmetrica hanno fatto in modo che con una backdoor "by design" si potessero leggere tutti i messaggi.
E ora che la sicurezza di internet si basa su questo nessuno se ne è accorto.
Gli sviluppatori di openssl sono al soldo della CIA
Per non parlare di quelli di GPG, quelli sono i peggiori, fingono di essere GNU ma sotto sotto c'è un if(isChina()) decrttatutto();

[alfredaino]

Quote:

Originariamente inviato da destroyer85

Tutto giusto tranne il fatto che il backup di WhatsApp non è più in chiaro o salvato con la chiave da tanto tempo.
Quindi, senza il backup e2e, Google e Apple non possono leggere i backup.
Meta potrebbe perché è in possesso di tutti i dati per rigenerare la chiave.
Potrebbe esserlo anche con il backup crittografato e2e perché non possiamo sapere se la nostra chiave non viene inviata a loro.

A me risulta sia così. Hai qualche fonte?

Informazioni sui backup dell'account Google
le chat di cui viene effettuato il backup non sono protette dalla crittografia end-to-end di WhatsApp mentre si trovano sull'account Google, a meno che non scegli di attivare i backup crittografati end-to-end. Scopri come qui.

What’s Up with WhatsApp Encrypted Backups
WhatsApp does not have access to these backups, but backup service providers Apple and Google sure do. Unencrypted backups are vulnerable to government requests, third-party hacking, and disclosure by Apple or Google employees. That’s why EFF has consistently recommended that users not back up their messages to the cloud, and further that you encourage your friends and contacts to skip it too

[destroyer85]

Sì, l'ultima volta che ho dovuto recuperare i messaggi a qualcuno...
Guarda cosa scrive l'autore di questa applicazione:
https://andreas-mausch.de/whatsapp-viewer/

Quote:

Can I decrypt the database without the key file?
WhatsApp is able to do that, but I am not. If you have lost your phone or the key file, the backup is worthless.
Please, do NOT write me e-mails because you cannot find the key but the messages are SOO important for you. I cannot help you.

Quote:

How can I decrypt .crypt7 / .crypt8 /.crypt12?
First of all you either need root access to your device or get the key file using the backup method of Android (see link above).
When you got root access, you can download the file from the system memory at /data/data/com.whatsapp/files/key. Personally, I use MyPhoneExplorer for this task and I can really recommend this tool.

Once you got both, the .crypt7 and key file, use the menu File->Decrypt .crypt7 (or .crypt8), select your files and press OK.
The decrypted file should be in the same folder, you can now open it in WhatsApp Viewer.

Se il DB non fosse criptato non ci vorrebbe la chiave.
Se fosse stata nel backup, sarebbe stato molto più semplice prenderla da google drive.
Esiste un metodo per estrarre la chiave installando una vecchia versione di whatsapp che consentiva il backup locale di DB e chiave.

Facendo una ricerca ho trovato questo tool che probabilmente è in grado di generare la chiave dal numero di telefono.

https://www.backuptrans.com/tutorial...n-android.html

Ma non l'ho provato.
Probabilmente hanno fatto il reverse engineering dell'algoritmo per generare la chiave, ma devi comunque conoscere il numero (per quello che prima ho scritto che Meta ha tutti i dati per generare la chiave, ma teoricamente non è in possesso del backup).

[zappy]

Quote:

Originariamente inviato da destroyer85

Certo, quando hanno fatto gli algoritmi a chiavi asimmetrica hanno fatto in modo che con una backdoor "by design" si potessero leggere tutti i messaggi.
E ora che la sicurezza di internet si basa su questo nessuno se ne è accorto.
Gli sviluppatori di openssl sono al soldo della CIA
Per non parlare di quelli di GPG, quelli sono i peggiori, fingono di essere GNU ma sotto sotto c'è un if(isChina()) decrttatutto();

mi sembra un po' complottista.
io mi riferivo all'app, non agli algoritmi.

[destroyer85]