Per una falla nel sistema, i messaggi criptati inviati con Whatsapp possono essere letti da Facebook .
WhatsApp si affretta a comunicare che non c’è alcuna “backdoor per spiare le chat”, di fatto pare che le cose non stiano proprio così.
Sul Guardian, infatti, si legge che secondo alcuni gli esperti Facebook e WhatsApp possono potenzialmente leggere in chiaro le conversazioni degli utenti.
Il messaggio che da qualche tempo si legge sulla piattaforma di messaggistica ogni volta che si inizia una nuova conversazione è:
“I messaggi che invii in questa chat sono protetti con la crittografia end-to-end”.
Ciò dovrebbe significare che nessuno al di fuori degli utenti di quella determinata chat può avere accesso ai messaggi inviati e ricevuti.
Nemmeno WhatsApp o Facebook, il quale ultimo detiene il controllo del servizio, perché la cifratura avviene a livello di dispositivo.
Sempre secondo gli esperti, a creare problemi non è il protocollo di cifratura “Signal”, usato anche dall’omonima applicazione che per Edward Snowden è più sicura in assoluto, ma la procedura con cui Whatsapp lo implementa.
Si può parlare di una chat sicura quando i dispositivi condividono chiavi di sicurezza univoche che in alcun modo possono essere intercettate, nemmeno dal gestore del servizio.
WhatsApp, però, può creare nuove chiavi indipendenti mentre uno degli utenti è offline.
Con queste nuove chiavi si forza il re-invio di messaggi precedenti cifrati. Il destinatario del re-invio non è avvisato del cambio, mentre chi invia il messaggio può riceve una notifica solo se ha spuntato manualmente l’opzione di sicurezza specifica che, di solito, è disattivata di default.
Il risultato? Whatsapp o Facebook possono ricostruire e leggere intere conversazioni cifrate. Lo hanno fatto? Non lo hanno fatto? Non è questo in discussione. Potrebbero anche on aver letto mai nulla ma il fatto che “possono” farlo mette a rischio la privacy degli utenti.
E che succede se il governo, com’è già successo, chiede informazioni? Un portavoce del servizio di messaggistica ha spiegato alla stampa: “WhatsApp non fornisce ai governi una ‘backdoor’ nei suoi sistemi e avrebbe combattuto ogni richiesta del governo per la creazione di una backdoor. La scelta progettuale cui fa riferimento l’articolo del The Guardian impedisce a milioni di messaggi di essere persi, e WhatsApp offre notifiche di sicurezza che avvertono di potenziali rischi”.
E tale scelta è stata difesa da Open Whisper System, che sviluppa il protocollo di crittografia Signal usato da Whatsapp e Facebook, la quale conferma che “l’implementazione potenzialmente insicura della rigenerazione delle chiavi è necessaria per garantire la miglior continuità del servizio a tutti gli utenti”.
Come difendersi allora? Anche in caso di cambio automatico delle chiavi si possono ricevere gli avvisi di sicurezza da Whatsapp andando nelle Impostazioni, “tappare” Account, poi su Sicurezza e da qui inserire la spunta sulla opzione “Mostra notifiche di Sicurezza”.
