WhatsApp su iOS non rimuove completamente le chat cancellate

WhatsApp su iOS non rimuove completamente le chat cancellate

Jonathan Zdziarski, ricercatore esperto di iOS mette in evidenza alcuni potenziali rischi per la sicurezza dei dati personali degli utenti WhatsApp. Le conversazioni cancellate lascerebbero ugualmente traccia sia nella memoria dello smartphone sia nel backup tramite iCloud.

di pubblicata il , alle 09:01 nel canale Sicurezza
WhatsApp
 

Il team di WhatsApp ha posto grande enfasi sull'aspetto della sicurezza delle conversazioni effettuate tramite la popolare app di messaggistica istantanea, introducendo la crittografia end-to-end dei messaggi inviati e ricevuti e delle chiamate. Eppure, i margini di miglioramento per assicurare la tutela delle informazioni personali sono ancora presenti, come sottolinea Jonathan Zdziarski, un ricercatore esperto del sistema operativo iOS che punta l'indice sul sistema di cancellazione delle conversazioni. 

WhatsApp

Secondo l'analisi del ricercatore, i messaggi cancellati, pur non essendo più visibili dall'utente, lasciano ugualmente una traccia che, con opportuni mezzi, può essere recuperata da chi ha accesso allo smartphone o ai backup dei dati memorizzati nel cloud. Tali tracce, infatti, oltre ad essere presenti nella memoria dello smartphone sono copiate nei backup di iCloud e sul desktop. Mentre iTunes consente di effettuare la crittografica dei backup, lo stesso non è possibile fare con i dati in iCloud. Il rischio messo in evidenza dal ricercatore è che, ad esempio, un'autorità di polizia possa chiedere ad Apple di accedere al backup di iCloud, recuperando le conversazioni WhatsApp cancellate

Il ricercatore afferma che WhatsApp non è l'unica app di messaggistica per iOS a lasciar traccia delle conversazioni anche dopo averle rimosse, la stessa app nativa iMessage presenterebbe un comportamento analogo. La responsabilità sarebbe riconducibile alla libreria SQLite utilizzata per sviluppare tali applicazioni, che non sovrascrive i dati sino a quando lo spazio di storage utilizzato in precedenza non viene sovrascritto con nuovi dati. 

Quali sono i reali rischi per la sicurezza dei dati personali? Partendo dal presupposto che per ricavare i dati dalle tracce lasciate dalle chat eliminate occorrono competenze e mezzi che vanno oltre quelli di cui dispone l'utente medio, le preoccupazioni dovrebbero essere ridimensionate. Zdziarski, in ogni caso, suggerisce agli utenti che hanno particolarmente a cuore i temi della sicurezza di utilizzare alcuni accorgimenti che potrebbero evitare la diffusione indesiderata di dati. In primo luogo, scegliere una password molto efficace e sicura per proteggere il backup dello smartphone utilizzando iTunes e tenerla esclusa dal Portachiavi iCloud. 

Inoltre, si sarebbe consigliabile disattivare i backup tramite iCloud perché, come detto, non criptati e accessibili via cloud -  in maniera lecita dalle autorità di polizia sulla base di un'apposita ordinanza  o in maniera illecita da hacker che potrebbero riuscire ad entravi in possesso. Altro suggerimento è quello di procedere, di tanto in tanto, alla disinstallazione completa dell'app che elimina i vecchi registri della chat e alla successiva reinstallazione. 

Le tematiche messe in evidenza dalla ricerca di Zdziarski sono particolarmente attuali alla luce dei contrasti emersi tra i gestori di WhatsApp e le autorità governative proprio in merito al sistema crittografico end-to-end. Si può ricordare, nello specifico, il braccio di ferro tra WhatsApp e i giudici brasiliani che hanno più volte disposto la sospensione del servizio di messaggistica a seguito del rifiuto dei gestori del servizio di fornire i registri delle conversazioni nell'ambito di un'inchiesta giudiziaria. WhatsApp aveva giustificato la sua decisione affermando di non aver accesso a tali dati protetti dal sistema crittografico end-to-end. La scoperta del ricercatore offre una visione differente sulla possibilità di accedere a tali informazioni. 

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

17 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Wikkle30 Luglio 2016, 10:47 #1
La APPLE è PREOCCUPANTE.

Ha allevato eserciti di zombies-iphone-fan, che già solo all'accensione del device devono inserire dal numero della carta di credito al numero di scarpe indossate.

Pazzesco.

E tutti che usano iphone inserendo tutti i loro dati esatti.
Tasslehoff30 Luglio 2016, 10:56 #2
Interessante notare quanto stiano emergendo sempre più evidenze di problemi legati al logging su MacOS, prima il caso dei log che tengono traccia dei copy&paste (emerso a seguito del celebre caso di Telegram) e ora questo.

La cosa interessante è che la gente pensi che si tratti di un sistema operativo sicuro ed efficiente, quando invece si è dimostrato essere una backdoor vivente, ne più ne meno come Windows...
homero30 Luglio 2016, 11:19 #3
Boh
danieleg.dg30 Luglio 2016, 11:37 #4
Originariamente inviato da: homero
Siamo tutti tracciati basta pensare che la legge impone che almeno gli ultimi sei mesi di conversazione e sms sono conservate nei server degli operatori


In Italia la legge impedisce esplicitamente la conservazione del contenuto...(fatto salvo per ragioni tecniche)
homero30 Luglio 2016, 12:49 #5
riboh
Erotavlas_turbo30 Luglio 2016, 13:20 #6
Se tenete alla sicurezza nelle comunicazioni non ci sono alternative se non quelle di utilizzare software open source e libero:
[LIST]
[*]sistema operativo cyanogenmod, AOSP, ubuntu phone o B2G, niente ios, windows phone, android.
[*]applicazione di messaggistica signal o le chat segrete di telegram
[*]posta elettronica cifrata protonmail
[*]cloud cifrato mega.nz
[*]applicazione videochiamata firefox hello o tox
[/LIST]
Un interessante guida è questa https://ssd.eff.org/
NicoMcKiry30 Luglio 2016, 15:27 #7
Originariamente inviato da: Wikkle
La APPLE è PREOCCUPANTE.

Ha allevato eserciti di zombies-iphone-fan, che già solo all'accensione del device devono inserire dal numero della carta di credito al numero di scarpe indossate.

Pazzesco.

E tutti che usano iphone inserendo tutti i loro dati esatti.


Perchè pazzesco? essendo l'account utente collegato allo store, mi pare logico chiedere di inserire i dati di pagamento. Tale passaggio lo si può anche saltare e non inserire nessuna carta di credito (almeno finchè non si decide di acquistare qualcosa). E comunque, si può utilizzare un iphone senza inserire nessun account apple (ovvio, non puoi sfruttare tutti i servizi ad esso associati come facetime, appstore, imessage ecc...ma questo succede con qualunque "brand"
-Vale-30 Luglio 2016, 16:54 #8
Originariamente inviato da: Wikkle
La APPLE è PREOCCUPANTE.

Ha allevato eserciti di zombies-iphone-fan, che già solo all'accensione del device devono inserire dal numero della carta di credito al numero di scarpe indossate.

Pazzesco.

E tutti che usano iphone inserendo tutti i loro dati esatti.


anche android chiede i dati della carta di credito che poi non è il Device in se ma il tuo account per eventuali spese sullo store o servizi
ognuno è libero di inserire o meno
mattia.l31 Luglio 2016, 20:25 #9
qui la gente probabilmente non legge le notizie
si parla di come sqlite (che è il db LOCALE usato dal 100% delle app) che rende possibile il recupero dati
ovviamente è possibile criptarlo ma immagino che whatsapp non lo faccia

se la redazione avesse scritto sqlite nel titolo al posto di ios quanti click in meno avrebbe avuto?
ilbarabba01 Agosto 2016, 08:56 #10
Originariamente inviato da: Erotavlas_turbo
Se tenete alla sicurezza nelle comunicazioni non ci sono alternative se non quelle di utilizzare software open source e libero:
[LIST]
[*]sistema operativo cyanogenmod, AOSP, ubuntu phone o B2G, niente ios, windows phone, android.
[*]applicazione di messaggistica signal o le chat segrete di telegram
[*]posta elettronica cifrata protonmail
[*]cloud cifrato mega.nz
[*]applicazione videochiamata firefox hello o tox
[/LIST]
Un interessante guida è questa https://ssd.eff.org/


Ci credo che così sei sicuro, ti sei isolato dal mondo reale.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^