WhatsApp non è sicuro, ha backdoor e usa 'trucchi da maghi': le dure parole di Durov

WhatsApp non è sicuro, ha backdoor e usa 'trucchi da maghi': le dure parole di Durov

Il fondatore di Telegram usa parole pesantissime contro il client concorrente WhatsApp, soprattutto nella gestione dell'argomento privacy degli utenti

di pubblicata il , alle 19:21 nel canale Telefonia
WhatsApp
 

Anno difficile quello di WhatsApp per quanto riguarda l'aspetto della sicurezza e della privacy, e proprio in questo giorni abbiamo parlato del caso di Jeff Bezos e delle informazioni rubategli attraverso il servizio di messaggistica. Torna a parlarne, in maniera piuttosto dura, Pavel Durov: il fondatore di Telegram Messenger ci va giù pesantissimo, scrivendo in un post sul blog ufficiale che WhatsApp è addirittura "pericolosa" da usare.

Durov accusa il client concorrente di deviare la colpa quando invece dovrebbe impegnarsi a migliorare l'aspetto della sicurezza. WhatsApp, sostiene il dirigente concorrente, si nasconde dietro la crittografia end-to-end nelle chat, tuttavia questa sola tecnologia non è sufficiente a proteggere gli utenti da tutti i tipi di violazione. Decisamente significativo in tal senso un estratto del post:

"WhatsApp usa le parole 'crittografia end-to-end' come se fosse un incantesimo magico che da solo dovrebbe rendere automaticamente sicure tutte le comunicazioni. Questa tecnologia, però, non è un proiettile d'argento che può garantire la privacy assoluta".

Ma non è tutto, anzi: Durov affonda il colpo in maggiore profondità. Secondo il dirigente del client di messaggistica concorrente, che ha fatto della privacy e della sicurezza le sue armi vincenti fin dagli albori, gli errori di sicurezza avvenuti nel tempo su WhatsApp sono frutto di un'azione volontaria. Durov sostiene che le manomissioni del client siano state possibili grazie alla presenza di backdoor inserite di proposito per conformarsi alle volontà delle forze dell'ordine locali. Così facendo WhatsApp si è garantita nel tempo la possibilità di mantenere le l'attività in paesi come Iran e Russia.

Per confermare le sue affermazioni Durov dichiara di essere stato contattato dalle stesse agenzie che hanno recuperato dati via WhatsApp, ma di contro la sua azienda si è sempre rifiutata di collaborare. La conseguenza? La spiega lo stesso dirigente: "Telegram è vietato in alcuni paesi in cui WhatsApp non ha problemi con le autorità, nei casi più sospetti in Russia e Iran". Durov ha parlato anche del caso che ha coinvolto Jeff Bezos, fondatore e CEO di Amazon, dicendo che sebbene Facebook avesse attribuito la colpa a iOS era già noto che la falla sfruttata fosse già presente su tutti i client mobile di WhatsApp.

Affidandosi al cloud di Apple per il backup dei dati su iOS, inoltre, WhatsApp ha introdotto un ulteriore problema di sicurezza visto che Apple non protegge con crittografia tutti i dati su iCloud, e spesso li consegna alle richieste dei governi sotto pressione. Inoltre, Durov pone l'accento sul fatto che il codice sorgente di WhatsApp non è disponibile pubblicamente (mentre quello di Telegram sì), e pertanto non è possibile conoscere come funziona la tecnologia di crittografia del servizio, né quanto di fatto sia inattaccabile.

Non mancano le provocazioni dirette nel lungo messaggio di Pavel Durov: "Se Jeff Bezos avesse fatto affidamento su Telegram anziché su WhatsApp non sarebbe stato ricattato da persone che avevano compromesso le sue comunicazioni", si legge lungo il testo.

È doveroso compiere delle considerazioni: alcuni degli argomenti del trentacinquenne fondatore di Telegram appaiono validissimi, tuttavia spesso le accuse mosse si basano su supposizioni, e non su prove concrete. Inoltre, Durov sorvola totalmente sul fatto che su Telegram la crittografia delle chat non è attiva di default su tutte le conversazioni.

In un periodo in cui governi e organizzazioni si battono, a volte scontrandosi, sulla delicata questione della privacy degli utenti su social e client di messaggistica, le accuse di Durov contro WhatsApp sono pesantissime. Soprattutto quelle relative al fatto che il client concorrente implementa backdoor volontarie, accusa che il team di Zuckerberg ha sempre respinto, dichiarando di aver ripetutamente negato le richieste da parte delle autorità locali. Ci attendiamo, quindi, una reazione altrettanto dura da parte dei concorrenti.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

30 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
ZannaMax03 Febbraio 2020, 19:52 #1
Chi diceva che Telegram non era sicuro mentre Whatsapp si beh...era un gran babbacchione.
postillo03 Febbraio 2020, 19:55 #2
il bue che dice cornuto all'asino. WA pessima, TG un pelino meglio ma non tantissimo.
Usate Signal, che mangia in testa a tutte le app. Mi meraviglio come personaggi top come Bezos non ne facciano uso, mhà
chaosblade03 Febbraio 2020, 20:09 #3
Bla bla bla... in riferimento ai commenti. Penso che Pavel abbia le competenze per poter valutare meglio di qualsiasi commentatore della domenica. Penso che al di là del suo interesse a far migrare gente su telegram sia stato più che esaudiente, codice sorgente segreto per whatsapp e che si possa utilizzare in stati dove il governo vuole mantenere il controllo assoluto altrimenti la mette fuorilegge
frank808503 Febbraio 2020, 20:42 #4
Originariamente inviato da: chaosblade
Bla bla bla... in riferimento ai commenti. Penso che Pavel abbia le competenze per poter valutare meglio di qualsiasi commentatore della domenica. Penso che al di là del suo interesse a far migrare gente su telegram sia stato più che esaudiente, codice sorgente segreto per whatsapp e che si possa utilizzare in stati dove il governo vuole mantenere il controllo assoluto altrimenti la mette fuorilegge


non c'è una legge in Russia che obbliga le aziende (russe) a consegnare dati sotto richiesta? non è bizzarro che molte compagnie vpn serie abbiano abbandonato il paese e smesso di avere server li? (es: PIA)...

e comunque anche in USA non c'è da fidarsi neanche lontanamente visto cos'è successo nel 2013.
Erotavlas_turbo03 Febbraio 2020, 20:54 #5
Originariamente inviato da: postillo
il bue che dice cornuto all'asino. WA pessima, TG un pelino meglio ma non tantissimo.
Usate Signal, che mangia in testa a tutte le app. Mi meraviglio come personaggi top come Bezos non ne facciano uso, mhà


No signal ha diversi problemi: utilizza il numero di telefono sia per la registrazione sia per i contatti e quindi non è per niente riservato e la crittografia e2e TOFU.

La crittografia e2e è migliore della crittografia client-server poiché non necessità di alcuna fiducia in terze parti. Questo è vero solo in teoria e quasi mai in pratica. Quasi tutti i servizi e2e (signal, wire, whatsapp, etc.) sono Trust On First Use (TOFU) ovvero al primo utilizzo ti devi comunque fidare dei gestori del servizio. La fiducia rimane se non sei in grado di verificare le chiavi di crittografia dei tuoi interlocutori. Supponi di avere un gruppo con N utenti, devi verificare personalmente N-1 chiavi. In assenza di verifica c'è il rischio di attacco MITM. Quindi in pratica anche la crittografia e2e richiede la fiducia nel server che serve per consegnare i messaggi.

Nota: signal, wire, telegram chat segrete, matrix, etc. sono tutte TOFU. Solo keybase e jami non lo sono.

Un ottimo articolo sulla sicurezza e riservatezza delle applicazioni di messaggistica più note: whatsapp, telegram, signal e wire: Quali sono le caratteristiche di un servizio di comunicazione sicuro e riservato?

Un ottimo articolo che analizza e risponde alle critiche più comuni su telegram: Quanto è veramente sicuro e riservato Telegram?
El Tazar03 Febbraio 2020, 20:57 #6
Originariamente inviato da: Erotavlas_turbo
No signal ha diversi problemi: utilizza il numero di telefono sia per la registrazione sia per i contatti e quindi non è per niente riservato e la crittografia e2e TOFU.

La crittografia e2e è migliore della crittografia client-server poiché non necessità di alcuna fiducia in terze parti. Questo è vero solo in teoria e quasi mai in pratica. Quasi tutti i servizi e2e (signal, wire, whatsapp, etc.) sono Trust On First Use (TOFU) ovvero al primo utilizzo ti devi comunque fidare dei gestori del servizio. La fiducia rimane se non sei in grado di verificare le chiavi di crittografia dei tuoi interlocutori. Supponi di avere un gruppo con N utenti, devi verificare personalmente N-1 chiavi. In assenza di verifica c'è il rischio di attacco MITM. Quindi in pratica anche la crittografia e2e richiede la fiducia nel server che serve per consegnare i messaggi.

Nota: signal, wire, telegram chat segrete, matrix, etc. sono tutte TOFU. Solo keybase e jami non lo sono.

Un ottimo articolo sulla sicurezza e riservatezza delle applicazioni di messaggistica più note: whatsapp, telegram, signal e wire: Quali sono le caratteristiche di un servizio di comunicazione sicuro e riservato?

Un ottimo articolo che analizza e risponde alle critiche più comuni su telegram: Quanto è veramente sicuro e riservato Telegram?


Senza polemica ma chi ha scritto questi due articoli?
Non trovo nessun riferimento
Erotavlas_turbo03 Febbraio 2020, 20:59 #7
Originariamente inviato da: El Tazar
Senza polemica ma chi ha scritto questi due articoli?
Non trovo nessun riferimento


Gli stessi che gestiscono fpoi.org, l'autore è in alto.
El Tazar03 Febbraio 2020, 21:02 #8
Originariamente inviato da: Erotavlas_turbo
Gli stessi che gestiscono fpoi.org, l'autore è in alto.


Si quello l'ho visto, mi sono forse spiegato male...arrivato a fpoi.org da li non trovo riferimenti su chi siano. Per me potrebbe essere la sciura Pina e sono diffidente quando non trovo riferimenti sull'autore

Da quanto ho capito è un progetto comunitario
Erotavlas_turbo03 Febbraio 2020, 21:14 #9
Originariamente inviato da: El Tazar
Si quello l'ho visto, mi sono forse spiegato male...arrivato a fpoi.org da li non trovo riferimenti su chi siano. Per me potrebbe essere la sciura Pina e sono diffidente quando non trovo riferimenti sull'autore

Da quanto ho capito è un progetto comunitario


Sembra che tu possa contattare l'autore qui.

In generale, l'abito non fa il monaco ovvero l'importante è il contenuto non il contenitore.
Se leggi gli articoli sono ricchi di riferimenti a fonti originali e terze e ti puoi fare un'idea su quanto siano fatti bene.
L'importante è poter verificare le affermazioni attraverso fatti supportati da fonti terze.

P.S. volendo puoi aprire una discussione qui.
El Tazar03 Febbraio 2020, 21:16 #10
Ok grazie

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^