Ecco come WhatsApp si adeguerà alle nuove norme europee sulla privacy

Hai letto la documentazione di quel programma?

Devi comunque recuperare la chiave dal telefono.
Quindi, sicuramente, il backup non è in chiaro.
Visto che la chiave è generata partendo dal numero di telefono, che nel 99% dei casi è lo stesso associato all'account con cui si fa il backup, è possibile che Google e Apple siano in grado di generarla.

Si, ho letto tutto. La stessa Meta dice che i backup siano accessibili a terze parti i gestori del cloud i quali possono riottenere la chiave, volendo anche lei.
L'unica protezione, salvo backdoor, è attivare la crittografia e2e dei backup, ma come scritto è fattibile solo per le chat private, non per i gruppi, soprattutto se N cresce (N>10?).

Dove lo dice?
Qui dice così:
Chats you back up aren't protected by WhatsApp end-to-end encryption while in your Google Account unless you’ve turned on end-to-end encrypted backup. Learn how here.
E così:
End-to-end encryption ensures only you and the person you're communicating with can read or listen to what is sent. Nobody in between, not even WhatsApp, can access the content of your communications. With end-to-end encrypted backup, you can add the same protection to your phone’s WhatsApp database, iCloud or Google Drive backup.

Dove dice che Google e iCloud possono accedere ai backup?
Quello che dice EFF è il sentito dire che ammorba la rete
https://security.stackexchange.com/...e-drive-backups
Questo post del 2016 conferma che già allora i backup NON ERANO IN CHIARO

Nella parte che hai riportato, che è la stessa riportata da me qui in italiano.
La discussione che hai riportato è la stessa che ho messo qui. I backup in cloud sono cifrati (solo una parte i messaggi, ma non il resto), ma non con crittografia e2e di default e quindi accessibili a terzi.

How can WhatsApp restore local or Google Drive Backups?
[I]The databases are encrypted with a key stored in the data folder. This key is in fact stored on the WhatsApp server.
The moment you install a new device and setup your Google Account, the files can be requested by the app and configured on the local device. This includes the axolotl database containing the identity key which is necessary in order to prove your identity to others. The decryption key is retrieved after the proving ownership of the phone number (username) to the newly installed WhatsApp instance. In theory, WhatsApp should not be able to access those files, but only you and Google. Ofcourse, WhatsApp could download the files and send them to another location. But at some point we need to put trust in the app, especially if it's not opensource.
Once again the encryption key is stored on the remote server together with your WhatsApp profile. This explains why you can move the entire WhatsApp backup folder from one device to another. Without a verified phone number you cannot read the backup files, or use the identity key, however any rooted device can give easy access to the original, unencrypted, database files.
The story does not get any better from this point, as we know that Google and other companies such as Facebook and WhatsApp supply files on request under the FISA act. There is no need to strike at the end-to-end communication as there is already a 'backdoor'. E2E only protects against active adversaries on the communication channel, who do not possess the power to demand backup files from party one and the decryption key from the other[/I]

Penso sia chiaro che la crittografia sia fittizia.

La parte in grassetto è una tua conclusione, non è quello che c'è scritto:




La chiave potrebbe non essere salvata da nessuna parte ma semplicemente rigenerata ogni volta che si installa l'applicazione. Ed è ovvio che Meta sappia come generare una chiave di decriptazione se l'utente non ci mette un po' di "salt".
Cosa vuol dire crittografia fittizia?
Ci sono 2 grandi attori: Google e Meta.
Meta sa come generare la chiave ma non ha i dati perché non sono salvati sul suo cloud; Google ha i dati ma sono criptati ma non ha la chiave.
Torniamo alla tua affermazione originale:

L'affermazione che i backup siano memorizzati in chiaro è sbagliata e non è così da quasi 10 anni.
Ma la cosa che mi da più fastidio è la "e" dopo la "virgola".

Se conosci come funziona è una conclusione corretta. Non è solo la mia, ma anche quella della discussione e dell'EFF, ma anche di altri, fai due ricerche.


L'importante è credere a tutto quello che dicono. Secondo te, Meta, Google e Apple non si scambiano informazioni, ma soprattutto non le forniscono al governo USA (sono costrette per legge cloud act e altro)? Ripeto non fidarti di quello che ti dico io, leggi le analisi della discussione e della EFF.
Con "fittizia" intendo che in teoria c'è, ma in pratica è come se non ci fosse. Serve come marketing per fare in modo che la gente pensi che sia un servizio di comunicazione sicuro perché protetto da crittografia.



Una parte dei backup sono in chiaro, come video e immagini, mentre i messaggi sono salvati con crittografia simmetrica AES, ma loro hanno accesso alle chiavi. Per questo motivo ho scritto che sono in chiaro. Funziona come un qualunque cloud con crittografia non e2e, in teoria è cifrato, ma il gestore del cloud controlla le chiavi e quindi in pratica è in chiaro.

P.S. ti faccio una domanda. Secondo te perché meta non si è appoggiata o si appoggia ai propri server per il backup di whatsapp, ma ha sempre utilizzato quelli di google e apple?

concordo con la tua analisi.
ma non ho capito il PS.

Qui non ho una risposta certa, ma solo delle ipotesi. Meta (facebook) non ha mai avuto problemi a memorizzare il backup di whatsapp ne a livello tecnologico, ne economico. Quindi è stata una scelta quella di effettuare il backup in una terza parte.
Google fino a novembre 2023, non considerava lo spazio del backup di whatsapp come spazio occupato. Certamente non faceva beneficenza, ma aveva qualche vantaggio economico, il poter analizzare il contenuto e rivendere i dati.
Le persone che superano la soglia di 15 GB su google o 5 GB su apple devono pagare o rinunciare al backup in cloud. Ora che whatsapp è diventato il servizio di messaggistica più diffuso e in molti stati lo standard de facto (molti operatori telefonici fuori UE forniscono traffico illimitato per whatsapp, ma non per le altre applicazioni, alla faccia della neutralità della rete), google e apple possono fare cassa e sono tutti felici, un ulteriore vendor lock-in.

info interessanti e un po' inquietanti...