Grave falla scoperta su WhatsApp: a rischio la privacy delle chat [Aggiornato]

Grave falla scoperta su WhatsApp: a rischio la privacy delle chat [Aggiornato]

Segnalata come "un'enorme violazione nella libertà d'espressione", una nuova vulnerabilità è stata scoperta sul sistema di crittografia end-to-end utilizzato da WhatsApp

di Nino Grasso pubblicata il , alle 16:26 nel canale Telefonia
WhatsApp
 

È stata trovata su WhatsApp una backdoor di sicurezza che può permettere allo staff di WhatsApp e Facebook di intercettare e leggere i messaggi di testo. La scoperta è firmata Tobias Boelter, un ricercatore americano di sicurezza e crittografia della University of California, che ha rivelato al Guardian che a causa dell'implementazione del protocollo di crittografia end-to-end utilizzato su WhatsApp, i tecnici della società possono ottenere in ogni momento il controllo dei messaggi scambiati sul servizio.

Nell'articolo del Guardian viene spiegato che la crittografia di WhatsApp (che usa il protocollo Signal) si basa sulla "generazione di chiavi di sicurezza uniche", che sono scambiate e verificate fra mittente e destinatario per assicurare che la comunicazione non possa essere intercettata da un utente di terze parti. Ma la compagnia ha la capacità di re-inviare messaggi che non sono stati consegnati con una nuova chiave di sicurezza, ricevendo quindi l'accesso ai messaggi cifrati senza che gli interlocutori se ne possano accorgere.

"WhatsApp ha la capacità di forzare la generazione di nuove chiavi di cifratura per gli utenti offline, all'insaputa del mittente e del destinatario dei messaggi, e di cifrare nuovamente i messaggi del mittente con una nuova chiave, che viene poi utilizzata per tutti i messaggi che non sono stati contrassegnati come inviati.

Il destinatario non è a conoscenza di questo cambiamento nella crittografia, mentre il mittente viene notificato solo se ha abilitato gli avvisi di crittografia nelle impostazioni, e solo dopo che i messaggi sono stati inviati di nuovo. Questo metodo potrebbe permettere a WhatsApp di intercettare e leggere con efficacia i messaggi degli utenti".

La questione è stata segnalata dai sostenitori della privacy come una "enorme minaccia nella libertà di espressione", e c'è la paura che la vulnerabilità possa essere sfruttata attivamente dalle agenzie governative sugli utenti che ritengono di essere al sicuro dietro la protezione della crittografia: "Se a WhatsApp venisse chiesto dalle agenzie governative di rivelare i suoi record di messaggistica, la società potrebbe garantirne l'accesso grazie alla possibilità di modificare la chiave", ha dichiarato Boelter, il quale aveva notificato Facebook della vulnerabilità nel 2016.

La protezione crittografica è stata introdotta su WhatsApp lo scorso aprile 2016, in collaborazione con Open Whisper System. Le due società avevano integrato la tecnologia con finalità di sicurezza sulle chat individuali, di gruppo, sugli allegati, le note vocali e le chiamate su una pletora di dispositivi, a partire da iPhone e smartphone Android, fino ad arrivare ai terminali Nokia S40 ed S60. La società ha anche promesso l'introduzione di una funzionalità per verificare se i singoli messaggi di una conversazione di gruppo siano protetti da crittografia o meno.

Tutto un bluff, quindi? Un portavoce di WhatsApp, contattato sulle nuove problematiche insorte, ha risposto al Guardian indirizzandolo verso il documento ufficiale sul "Rapporto sulle richieste provenienti dagli enti governativi", dove vengono raccolte tutte le richieste provenienti dai governi in maniera del tutto trasparente sottolineando, implicitamente, che la società non ha nulla da nascondere.

Aggiornamento: Un portavoce di WhatsApp ha commentato la novità sostenendo che quanto affermato dalla testata statunitense sia "falso". Riportiamo di seguito il suo commento:

"The Guardian ha pubblicato un articolo questa mattina affermando che una scelta di design di WhatsApp, che impedisce alle persone di perdere milioni di messaggi, è una 'backdoor' che permette ai governi di forzare WhatsApp per decifrare le conversazioni.

Questa affermazione è falsa.

WhatsApp non fornisce ai governi una 'backdoor' nei suoi sistemi e ha combattuto contro ogni richiesta del governo per la creazione di una backdoor. La scelta progettuale a cui fa riferimento l’articolo del Guardian impedisce a milioni di messaggi di essere persi, e WhatsApp offre notifiche di sicurezza che avvertono di potenziali rischi. WhatsApp ha pubblicato un white paper tecnico sul design della sua crittografia, ed è stato trasparente in merito alle richieste ricevute dal governo, pubblicando i dati relativi a tali richieste all’interno del Facebook Government Requests Report".

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

144 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
matteop313 Gennaio 2017, 16:44 #1
Mi sembra si sia arrivati a conclusioni drammatiche troppo in fretta: https://imgur.com/a/dehKb

In pratica sembra trattarsi di un'infelice scelta di design che hanno fatto i progettisti di WhatsApp per l'invio dei messaggi offline, che semplifica leggermente la vita all'utente, ma introduce una potenziale vulnerabilità; non si tratta di una backdoor. Quindi non c'è nessun reale complotto dietro e la vulnerabilità introdotta è relativamente ridotta, speriamo solo se ne rendano conto e revochino la modifica prima che qualcuno la sfrutti. In pratica sembra che WhatsApp abbia dato troppa importanza all'esperienza utente a scapito della sicurezza del protocollo.

Edit: qualche altro dettaglio riguardo al bug introdotto direttamente dal suo scopritore: https://tobi.rocks/2016/04/whats-ap...-vulnerability/
NiubboXp13 Gennaio 2017, 17:25 #2
ne sei così sicuro? secondo me è una scusa bella e buona

è notizia di qualche giorno fa che sul loro servizio si scambiano circa 80 miliardi di messaggi al giorno, hai idea di che infrastruttura serva per mantenere un sistema di questo tipo?
inoltre come mai facebook ha acquisito quest'app per la modica cifra di 19 miliardi di dollari se poi agli utenti non chiede neanche un cent?
sono impazziti? sono filantropi?

io non credo proprio, trovo molto piu credibile che così come fanno altre realtà, siano dietro il business dei dati, in cui vendono dati, abitudini e quant'altro a società di vario tipo e forse anche a governi

ogni società piccola o grande che sia ha un solo e legittimo scopo, fare profitto, e regalare un servizio che costa mantenerlo senza appunto chiedere compenso è una cosa che dovrebbe far riflettere
ThePolo13 Gennaio 2017, 17:29 #3
Bah che sia o no una backdoor, mai fidarsi di un software closed source.
Sarebbe anche ora che la gente lo capisse...
Erotavlas_turbo13 Gennaio 2017, 17:40 #4
Originariamente inviato da: matteop3
Mi sembra si sia arrivati a conclusioni drammatiche troppo in fretta: https://imgur.com/a/dehKb

In pratica sembra trattarsi di un'infelice scelta di design che hanno fatto i progettisti di WhatsApp per l'invio dei messaggi offline, che semplifica leggermente la vita all'utente, ma introduce una potenziale vulnerabilità; non si tratta di una backdoor. Quindi non c'è nessun reale complotto dietro e la vulnerabilità introdotta è relativamente ridotta, speriamo solo se ne rendano conto e revochino la modifica prima che qualcuno la sfrutti. In pratica sembra che WhatsApp abbia dato troppa importanza all'esperienza utente a scapito della sicurezza del protocollo.

Edit: qualche altro dettaglio riguardo al bug introdotto direttamente dal suo scopritore: https://tobi.rocks/2016/04/whats-ap...-vulnerability/



Leggendo sul blog del ricercatore che ha scoperto la falla.
Proprietary closed-source crypto software is the wrong path. After all this - potentially mallicious code - handles all our decrypted messages. Next time the FBI will not ask Apple but WhatsApp to ship a version of their code that will send all decrypted messages directly to the FBI.
Lo stesso qui, non è una backdoor, ma un attacco MiM.
Non utilizzate whatsapp se ci tenete alla privacy, usate signal, wire o le chat segrete di telegram ovvero tutti software open source.
coschizza13 Gennaio 2017, 17:42 #5
Originariamente inviato da: ThePolo
Bah che sia o no una backdoor, mai fidarsi di un software closed source.
Sarebbe anche ora che la gente lo capisse...


come se i software open fossere immuni a queste pretiche, se ti volgio mettere un backdoor voglio vedere se tu controlli milioni di righe di codice ogni giorno.
Sai quante volte hanno iniettato codice malevole in software open (adirittura nel reposotory del kernel di linux). Tu lo scarichi e lo usi mica controlli ogni volta che il sorgente sia stato modificato.
Erotavlas_turbo13 Gennaio 2017, 17:47 #6
Originariamente inviato da: coschizza
come se i software open fossere immuni a queste pretiche, se ti volgio mettere un backdoor voglio vedere se tu controlli milioni di righe di codice ogni giorno.
Sai quante volte hanno iniettato codice malevole in software open (adirittura nel reposotori del kernel di linux). Tu lo scarichi e lo usi mica controlli ogni volta che il sorgente sia stato modificato.


Certo. Per un software di sicurezza, essere open source è una condizione necessaria, ma non sufficiente.
Un software closed source è non trasparente e quindi insicuro per definizione.
ThePolo13 Gennaio 2017, 17:55 #7
Originariamente inviato da: coschizza
come se i software open fossere immuni a queste pretiche, se ti volgio mettere un backdoor voglio vedere se tu controlli milioni di righe di codice ogni giorno.
Sai quante volte hanno iniettato codice malevole in software open (adirittura nel reposotory del kernel di linux). Tu lo scarichi e lo usi mica controlli ogni volta che il sorgente sia stato modificato.


Con un software open source hai un grado di sicurezza decisamente maggiore di uno closed source.
Certo, la sicurezza assoluta non esiste e non esisterà mai.
eureka8513 Gennaio 2017, 18:19 #8
semplicemente smettete di usarlo se pensate non sia sicuro.
Oppure non comunicate fatti importanti e personali ma incontratevi di persona in una stanza con le pareti ed il tetto di piombo
jhoexp13 Gennaio 2017, 19:18 #9
Ma dopo aver saputo di PRISM e di tutti i sistemi di sorveglianza autorizzati senza difficoltà dall'NSA e dalle altre agenzie americane, davvero pensate di poter essere al sicuro su una chat di Whatsapp?? Sapete benissimo che google, facebook, microsoft, e tutti i principali provider di servizi di messaging, ricerca o di connettività hanno sottoscritto accordi con agenzie del governo americano, e anche di altri paesi, e passano regolarmente tutti i dati richiesti. Anzi, Snowden ha dimostrato che si andava ben oltre...

Lo scandalo per la scoperta di una backdoor o di una lacuna di sicurezza, oggi, è una cosa ridicola. Nessuno di questi sistemi garantisce la vostra privacy, è una cosa scontata. Se davvero la volete dovete adottare sistemi di crittografia su canali più sicuri.
turcone13 Gennaio 2017, 19:27 #10
Originariamente inviato da: ThePolo
Bah che sia o no una backdoor, mai fidarsi di un software closed source.
Sarebbe anche ora che la gente lo capisse...


forse una decina di anni fa il tuo discorso era vera adesso puoi inserire backdoor nei programmi open ( un esempio semplice è un'implementazione matematicamente imperfetta ) e sono quasi impossibili da trovare anche se hai il codice sorgente
secondo me l'unica soluzione sono gli audit continui con full disclosure ( ormai quasi esistinti ) non gli audit mirati a prendere le ricompense
l'open source ormai è solo un modo di fare bussiness non è più sinonimo di qualità e sicurezza

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^