Facebook ha da sempre dichiarato che WhatsApp è fra le app più impenetrabili in circolazione ma secondo un articolo del quotidiano britannico The Guardian, questo non corrisponderebbe alla realtà.
Un esperto di sicurezza informatica ha scoperto che l’app può modificare le chiavi crittografiche delle chat, rendendo quindi leggibile il loro contenuto al social network e a terzi senza che i contatti coinvolti possano accorgersene.
Il sistema di crittografia end-to-end si basa su chiavi di sicurezza univoche, che vengono scambiate e verificate in locale dall’applicazione su un determinato dispositivo, senza le quali è impossibile decifrare i messaggi, e quindi essere intercettati da una terza persona mentre vengono inviati e ricevuti.
WhatsApp comunque ha la facoltà di forzare la creazione di una nuova chiave di sicurezza, quando i suoi utenti non stanno usando l’app e sono offline. L’applicazione procede poi a cifrare i messaggi con la nuova chiave, che sarà utilizzata non solo per i nuovi messaggi, ma anche per quelli che non erano ancora stati consegnati al destinatario.
La falla è stata scoperta da Tobias Boelter, un ricercatore di sicurezza e crittografia all’università di Berkley in California, che già lo scorso 26 Aprile aveva segnalato l’anomalia agli sviluppatori i quali avevano risposto che si trattava di una caratteristica dell’applicazione e non un bug.
A fronte della risposta della società di Zuckerberg, Boelter ha successivamente dichiarato che:
Se un governo dovesse chiedere a WhatsApp di fornire una copia dei messaggi scambiati, effettivamente l’azienda potrebbe organizzarsi per concedere quanto richiesto, cambiando le chiavi di crittazione.
Il The Guardian suggerisce che si tratterebbe di un meccanismo perfetto per una backdoor governativa, ma il motivo di questa implementazione è più semplice: WhatsApp è un’app di comunicazione per la massa e in quanto tale è progettata per essere semplice da usare. La semplicità è sempre nemica della sicurezza.
Generare delle nuove chiavi per gli utenti offline permette ai server di consegnare i messaggi inviati anche a chi non è online in quel momento, senza rischiare di perderli se il destinatario dovesse reinstallare l’app o cambiare il mezzo di ricezione. La chiave, infatti, viene memorizzata in locale e non è recuperabile, pertanto se si reinstallasse l’app o si usasse un altro dispositivo per collegarsi, si perderebbe la possibilità di leggere i messaggi che gli hanno inviato mentre era offline.
In risposta all’articolo i responsabili di Facebook hanno dapprima ricordato che c’è un’opzione apposita da attivare, a discrezione dell’utente, per ricevere una notifica quando la chiave crittografica in una chat viene cambiata, e successivamente hanno dichiarato che
The Guardian ha pubblicato un articolo ieri dove sostiene che una intenzionale scelta di progettazione di WhatsApp, che impedisce che le persone perdano milioni di messaggi, sia invece una backdoor che permette ai governi di costringere WhatsApp a decriptare i messaggi. E questo è falso.
WhatsApp non fornisce ai governi alcuna backdoor e si opporrebbe a qualsiasi richiesta governativa di crearne una. La scelta di progettazione citata nell’articolo del The Guardian impedisce solo che milioni di messaggi vengano persi; inoltre, WhatsApp permette agli utenti di ricevere notifiche di sicurezza che li avvertano dei possibili rischi di sicurezza.
L’unico modo per accorgersi della generazione di nuove chiavi di sicurezza è aprire WhatsApp, quindi Impostazioni > Account > Sicurezza e abilitare la spunta su Mostra notifiche di sicurezza (disabilitata di default). In questo modo, WhatsApp segnalerà il cambiamento delle chiavi di sicurezza a chi ha inviato il messaggio, ma solo dopo che questo è stato ritrasmesso.
Lascia un commento