WhatsApp, backdoor permette accesso ai messaggi crittografati: questo video dimostra la vulnerabilita’

Anche se criptati, i messaggi di WhatsApp potrebbero comunque essere letti da altre persone. A rivelarlo è stato un ricercatore americano che ha detto di aver trovato una backdoor di sicurezza nel software.

Scritto da

Simone Ziggiotto

il

Il Guardian ha pubblicato il 13 gennaio 2017 un articolo con la denuncia di un esperto di sicurezza che ha scoperto quello che sembra essere un problema di sicurezza importante che riguarda gli utenti di messaggistica WhatsApp. Secondo diversi esperti di sicurezza, sfruttando il sistema di cifratura del servizio malintenzionati potrebbero accedere ai messaggi che WhatsApp dice essere criptati e sicuri. WhatsApp ha risposto sostenendo che non è una backdoor nel suo sistema ma una decisione di progettazione intenzionale utile per meglio sincronizzare i messaggi, e fare in modo che quando inviati vengano effettivamente ricevuti dal mittente. Pochi giorni piu’ tardi, un video su Youtube pubblicato dall’esperto di sicurezza Tobias Boelter ha dimostrato la vulnerabilità in cosa consiste. In questo articolo cerchiamo di spiegarvi tutto, e sotto potete anche vedere il video in questione.

Anche se criptati, i messaggi di WhatsApp potrebbero comunque essere letti da altre persone. A rivelarlo è stato un ricercatore americano che ha detto di aver trovato una "backdoor" di sicurezza, una "porta di servizio" nascosta nel software che permetterebbe a Facebook, proprietaria della piattaforma, o nei casi piu’ spiacevoli ad hacker che riescono ad averne accesso, di intercettare e leggere i messaggi anche se vengono cifrati.

Stando a quanto riportato dal giornale online The Guardian: "Una backdoor di sicurezza che può essere utilizzata per consentire a Facebook e ad altri di intercettare e leggere i messaggi crittografati è stata trovata all’interno del servizio di messaggistica WhatsApp".

Facebook si è sempre vantata della sicurezza delle chat di Whatsapp, dicendo a destra e a manca che nessuno può intercettare i messaggi del suo servizio di messaggistica istantanea, nemmeno l’azienda e il suo personale se lo volessero, garantendo la massima privacy ai suoi utenti che sono oltre un miliardo. La nuova ricerca rivela che l’azienda potrebbe di fatto leggere i messaggi delle conversazioni degli utenti di WhatsApp.

E’ proprio per la caratteristica della crittografia end-to-end che Whatsapp è diventato uno strumento di comunicazione utilizzato da moltissime persone che rientrano nella categoria ‘sensibili’ tra cui attivisti, dissidenti e diplomatici.

Gli attivisti della Privacy hanno detto che la vulnerabilità è una "enorme minaccia alla libertà di parola" e ha avvertito che può essere utilizzata dalle agenzie governative per spiare gli utenti che credono che i loro messaggi siano al sicuro.

Come funziona la crittografia end-to-end di WhatsApp ve lo abbiamo gia’ QUI spiegato, e in breve basti sapere che si basa sulla generazione di chiavi di sicurezza uniche che vengono scambiate e verificate tra gli utenti per garantire che i messaggi vengano letti solamente dal dispositivo mittente e quello destinatario senza poter essere intercettati da un intermediario. "L’idea è semplice: quando si invia un messaggio, l’unica persona che può leggerlo è la persona o membri di una chat di gruppo a cui si invia il messaggio", hanno i co-fondatori di scritto WhatsApp, Jan Koum e Brian Acton, in un post pubblicato nel blog della società. Tuttavia, WhatsApp ha la capacità di forzare la generazione di nuove chiavi di crittografia per gli utenti non in linea, all’insaputa del mittente e del destinatario dei messaggi, e quindi puo’ ri-cifrare i messaggi che non hanno lo stato contrassegnato come ‘consegnato’ con nuove chiavi e per poterlo inviare di nuovo e quindi consegnarlo al destinatario. Piu’ un sistema è complicato piu’ è facile che ci siano delle falle, logicamente. Questa ri-codifica e ritrasmissione di un messaggio permetterebbe quindi a WhatsApp di intercettare e leggere i messaggi degli utenti, da quanto abbiamo appreso.

A scoprire la backdoor di sicurezza è stato il ricercatore Tobias Boelter della University of California, a Berkeley, il quale ha dichiarato al Guardian che: "Se a WhatsApp viene chiesto da un ente governativo di rivelare gli storici dei messaggi, può concedere l’accesso in modo efficace a causa del cambio delle chiavi di sicurezza."

Risulta che la backdoor non ha a che vedere con il protocollo Signal, scrive il Guardian. L’app di messaggistica Signal di Open Whisper Systems che viene utilizzata e raccomandata dal noto informatore Edward Snowden non pecca della stessa vulnerabilità. Perchè? Si prenda come esempio un destinatario che cambia la chiave di sicurezza quando si trova in modalità offline o perchè ha reinstallato l’app sul suo nuovo telefono, in tal caso Signal prevede che un messaggio inviato mancherà di essere consegnato e il mittente riceverà una notifica del cambio della chiave di sicurezza, senza inviare di nuovo automaticamente il messaggio. Il sistema adottato da WhatsApp, invece, re-invia automaticamente un messaggio recapitato con una nuova chiave, senza avvisare l’utente in anticipo o dandogli la possibilità di impedirne l’invio.

Boelter ha detto di aver segnalato la falla a Facebook ad aprile 2016 e che la compagnia ha risposto dicendo di essere a conoscenza della questione ma di non essere attivamente al lavoro su essa per risolverla. Secondo il Guardian, la backdoor esiste tutt’ora, dunque sappiate voi che utilizzate Whatsapp che i vostri messaggi non sono completamente inaccessibili.

Steffen Tor Jensen, capo della sicurezza delle informazioni e della contro-sorveglianza digitale presso l’Organizzazione europea per i diritti umani del Bahrein, ha verificato la tesi di Boelter, commentando che "WhatsApp può effettivamente cambiare le chiavi di sicurezza quando i dispositivi non sono in linea e re-inviare il messaggio, senza che gli utenti sappiano del cambiamento fino a dopo che è stato fatto, il che rende la piattaforma estremamente insicura."

Un portavoce di WhatsApp ha detto al Guardian: "Oltre 1 miliardo di persone utilizzano WhatsApp oggi, perché è semplice, veloce, affidabile e sicura. A WhatsApp abbiamo sempre creduto che le conversazioni delle persone dovrebbero essere sicure e private. L’anno scorso, abbiamo fornito a tutti i nostri utenti un miglior livello di sicurezza, rendendo ogni messaggio, foto, video, file e chiamata crittografata end-to-end per impostazione predefinita. (…) ci concentriamo su come mantenere il prodotto semplice e prendiamo in considerazione come viene utilizzato ogni giorno in tutto il mondo. In attuazione del protocollo Signal abbiamo una impostazione "Show Security Notifications" (in Impostazioni> Account> Sicurezza) che avvisa l’utente quando il codice di sicurezza di un contatto è cambiato. Tra le ragioni più comuni per cui questo accade è perché qualcuno ha cambiato il telefono o ha reinstallato WhatsApp. Questo perché in molte parti del mondo, le persone cambiano frequentemente i dispositivi e le schede SIM. In queste situazioni, vogliamo fare in modo che i messaggi delle persone vengano comunque consegnati. "

Alla richiesta di commentare specificamente se Facebook ha accesso ai messaggi degli utenti e se in passato ha mai avuto acconsentito alla richiesta da enti pubblici o terze parti di messaggi degli utenti, la società ha semplicemente invitato il Guardian a consultare il rapporto con dettagliati i dati sulle richieste del governo dei vari paesi.

A questo punto la vulnerabilità mette in discussione come viene gestita la privacy dei messaggi inviati attraverso Whatsapp, e non resta che attendere l’evolversi della situazione.

Nel video qui sotto, realizzato dall’esperto di sicurezza Tobias Boelter, viene dimostrata la vulnerabilità scoperta in Whatsapp. Il filmato viene cosi’ descritto: "in questo video vi mostro una breve demo della backdoor/vulnerabilità che è attualmente in WhatsApp e che Facebook si rifiuta di risolvere. In particolare voglio simulare la conversazione di due utenti immaginari di WhatsApp: Edward e Laura. Il telefono di Edward invierà un messaggio al telefono di Laura dopo aver attivato tutte le funzioni di sicurezza che WhatsApp può offrire e dopo aver verificato la ‘chiave di sicurezza’. Io poi intercetterò questo messaggio da un terzo telefono, che rappresenta un governo malintenzionato."

Backdoor su WhatsApp, il Video che dimostra la Vulnerabilita’

Impostazioni privacy