WhatsApp è una minaccia per la nostra privacy?

Le app di messaggistica istantanea rispettano veramente la nostra privacy? Vista la grande disponibilità di questa tipologia di applicazioni sugli store dei telefoni, non è così semplice scegliere quella che garantisce il top della sicurezza.

Crittografia end-to-end

L’Instant Messaging è utilizzato spesso anche per le comunicazioni aziendali, come valida alternativa alle mail. Ma è veramente così valida?

Tutti gli attuali sistemi di Instant Messaging utilizzano la crittografia end-to-end (E2E), decisamente più sicura rispetto al SMTP (Simple Mail Transfer Protocol) utilizzato dalle mail e sviluppato negli anni ’80.

Tutte le app di IM utilizzano la crittografia E2E, tranne Telegram e Facebook Messenger. La crittografia end-to-end (ovvero “da un estremo all’altro”) è un sistema di comunicazione dove soltanto il mittente e il destinatario riescono a leggere i messaggi.

Questo metodo impedisce gli attacchi MITM (man in the middle), ovvero attacchi che mirano alla sottrazione di informazioni e dati personali attraverso l’intercettazione della comunicazione tra due utenti.

Utilizzare bene il telefono

Proprio a causa della loro grandissima diffusione, queste app sono diventate un obiettivo molto appetibile per i cybercriminali. Infatti, più un’applicazione è diffusa più sarà esposta a diversi tipi di attacco.

Se un dispositivo viene utilizzato in maniera scorretta, una sottrazione di dati è sempre possibile. Quando un telefono viene compromesso, rubato, violato o confiscato dalla polizia, la crittografia non servirà a un bel niente.

I metadati

Nelle applicazioni di messaggistica esiste un’altra criticità, ovvero i metadati.

Per esempio, nel caso dei messaggi, i metadati riguardano la data e l’ora di invio, i numeri di telefono coinvolti, la localizzazione, ecc. Sono una sorta di impronta digitale elettronica. Questi dati potrebbero fornire a soggetti terzi informazioni molto importanti, permettendo loro di costruire il nostro grafo sociale.

Ogni app di IM gestisce in maniera diversa i metadati. Sono presenti nel nostro smartphone, ma potrebbero essere conservati anche nei server del fornitore dell’app.

WhatsApp

WhatsApp è un’app di IM nata nel 2009 ma ha integrato la crittografia E2E soltanto nel 2016. Non mancano, però, caratteristiche che la indeboliscono.

L’app conserva i metadati all’interno dei propri server senza cifratura, e questo per «migliorare la qualità del servizio». Inoltre, WhatsApp memorizza i messaggi per permettere di eseguire un backup. È un’opzione comoda per passare da uno smartphone ad un altro. Ma se ci sono informazioni riservate, sarebbe meglio disattivare l’opzione backup delle chat.

Dei backup di WhatsApp ne ha parlato Paolo Dal Checco, un esperto di Digital Forensics: «Inizialmente i backup non erano cifrati. Lo sono dal 2020 circa, sia su Google Drive che su iCloud. Non dobbiamo però confondere la “cifratura end-to-end” con la “cifratura del backup”». Quest’ultima viene ricifrata attraverso una chiave che WhatsApp conosce e invia all’utente tramite SMS. Non è un processo sicuro al 100%: lo sarà quando l’utente potrà scegliere personalmente la password.

WhatsApp è stata acquisita da Facebook (Meta). Nel 2016 l’azienda ha annunciato che i metadati degli utenti dell’app sarebbero stati utilizzati per l’invio di pubblicità mirata. Nonostante le varie proteste, è difficile che Meta faccia un passo indietro.

Telegram

Telegram è il principale rivale di WhatsApp. A giugno 2022, gli utenti attivi erano 700 milioni, con una crescita giornaliera di 1,5 milioni.

A prescindere da alcuni utilizzi discutibili dell’app, Telegram ha aggiunto delle funzionalità avanzate che la rendono unica rispetto alla concorrenza. Si possono organizzare le chat in cartelle, mantenendo tutte le conversazioni in ordine.

Nelle chat di gruppo, inoltre, possono essere aggiunti fino a 200.000 membri. Esistono anche gruppi “broadcast”, dove soltanto il proprietario può diffondere notizie o aggiornamenti per i propri iscritti. È una delle poche app a non avere la crittografia E2E impostata di default: l’opzione deve essere attivata dell’utente attraverso la modalità “chat segreta”.

Telegram permette l’accesso alla cronologia dei messaggi da più dispositivi contemporaneamente, per questo le chat sono salvate nei server. È certamente un prodotto pratico e pieno di funzionalità, privo delle logiche commerciali che troviamo su WhatsApp, ma non è la miglior app in termini di sicurezza.

Signal

Signal è l’app con la miglior reputazione tra gli esperti di sicurezza. L’app utilizza un protocollo di crittografia E2E, ma garantisce un livello di privacy di gran lunga superiore rispetto a WhatsApp.

I metadati, per esempio, vengono memorizzati soltanto per cose elementari, ma non vengono salvate informazioni relative alle conversazioni. Inoltre, non vengono salvati sui server, e i numeri di telefono vengono trasmessi nei server in forma crittografata.

I messaggi su Signal vengono memorizzati a livello locale sul dispositivo. Se la Polizia chiedesse a Signal i vostri dati, l’app non potrebbe farlo: perché non ce li ha! Il codice sorgente di Signal è pubblico, e inoltre, secondo alcuni ricercatori «non sono stati trovati difetti nel suo codice».

E’ di un’app di nicchia, e si stima che nel Play Store sia stata scaricata da non più di cinque milioni di utenti in tutto il mondo.

Come hackerare il telefono di Jeff Bezos

Uno dei casi più famosi di hacking a WhatsApp riguarda Jeff Bezos, fondatore di Amazon e attualmente il secondo uomo più ricco del mondo. Nel maggio del 2018 Bezos ha ricevuto un video su WhatsApp da Mohammed bin Salman, principe dell’Arabia Saudita.

Il video, però, conteneva uno spyware israeliano, Pegasus. Andrea Zapparoli Manzoni, Direttore di Crowdfense, si chiede perché «le persone usano WhatsApp, che è un’applicazione commerciale senza particolari requisiti di sicurezza, per trattare informazioni delicate? Ciò li espone a rischi inutili. Chi tratta informazioni riservate non dovrebbe utilizzare strumenti del genere, neanche per comunicazioni con amici o familiari. Non si può pretendere che un’app gratuita e di massa si preoccupi anche della nostra sicurezza».

——————————–

LEGGI ANCHE:

Smart Toys: attenzione alla privacy dei più piccoli

Apple dice addio alle Sim

 

TORNA ALLE NOTIZIE

Iscriviti alla nostra newsletter!

Iscrivendoti al servizio di Newsletter riceverai notizie riguardanti il settore telematico, corsi formativi e le ultime novità riguardanti il tuo lavoro.

Argomenti delle Notizie

Seleziona l'argomento che più ti interessa e leggi le notizie.

Servicematica

Nel corso degli anni SM - Servicematica ha ottenuto le certificazioni ISO 9001:2015 e ISO 27001:2013.
Inoltre è anche Responsabile della protezione dei dati (RDP - DPO) secondo l'art. 37 del Regolamento (UE) 2016/679. SM - Servicematica offre la conservazione digitale con certificazione AGID (Agenzia per l'Italia Digitale).

Iso 27017
Iso 27018
Iso 9001
Iso 27001
Iso 27003
Agid
RDP DPO
CSA STAR Registry
PPPAS
Microsoft
Cisco
Apple
vmvare
Linux
veeam