domenica 15 gennaio 2017

WhatsApp: vulnerabilità permette lettura chat criptate, società nega


Attivisti della privacy hanno portato alla luce una presunta vulnerabilità presente in WhatsApp, definendola come una "grande minaccia per la libertà di parola" e avvertono che potrebbe essere sfruttata da agenzie governative. Ma l'app di messaggistica istantanea di proprietà di Facebook chiarisce: "Nessuna porta segreta per spiare le chat". Secondo l'edizione online del quotidiano britannico The Guardian, la "porta di dietro" permetterebbe a WhatsApp, Facebook o potenzialmente ad altri, di intercettare e leggere i messaggi cifrati presenti all'interno di tutte le chat.

Un problema di protezione che potrebbe essere sfruttato per consentire a Facebook e ad altri di intercettare e leggere i messaggi crittografati è stato trovato all'interno del suo servizio di messaggistica WhatsApp. Facebook sostiene che nessuno può intercettare i messaggi, nemmeno l'azienda e il suo personale, garantendo la privacy per i suoi più di 1 miliardo di utenti. Ma la nuova ricerca dimostra che l'azienda può leggere i messaggi a causa del modo in cui WhatsApp ha attuato il suo protocollo di crittografia end-to-end. La falla scoperta da alcuni esperti di sicurezza e resa pubblica dal Guardian rivela che è possibile leggere in chiaro le conversazioni degli utenti. 

Attivisti della privacy hanno detto che la vulnerabilità è una "grande minaccia alla libertà di parola" e hanno avvertito che potrebbe essere utilizzata da agenzie governative come una backdoor per curiosare sugli utenti che credono che i loro messaggi siano al sicuro. WhatsApp ha fatto di privacy e sicurezza i punti di diffusione principali, ed è diventato uno strumento di comunicazione per attivisti, dissidenti e diplomatici. La crittografia end-to-end (E2E) di WhatsApp si basa sulla generazione di chiavi di sicurezza univoche che non possono essere intercettate da nessun intermediario, utilizzando l'acclamato Signal protocol sviluppato da Open Whisper Systems (OWS).


Tuttavia, WhatsApp ha la capacità di forzare la generazione di nuove chiavi di crittografia per gli utenti offline, all'insaputa di mittente e destinatario dei messaggi, e re-inviare le nuove chiavi per i messaggi che non sono stati contrassegnati come consegnati. Il destinatario non è a conoscenza di questo cambiamento di crittografia, mentre al mittente viene notificato solo se ha spuntato manualmente (opt-in) gli avvisi di crittografia nelle impostazioni disattivati di default, e soltanto dopo che i messaggi sono stati re-inviati. Questa "re-codifica" e ritrasmissione permette potenzialmente a WhatsApp e ad altri di intercettare e leggere i messaggi degli utenti.

La lacuna di sicurezza è stata scoperta da Tobias Boelter, esperto di crittografia e ricercatore presso l'Università della California a Berkeley. Boelter ha segnalato la vulnerabilità a Facebook nel mese di aprile 2016, ma da Menlo Park hanno risposto che erano a conoscenza del problema, che si trattava di un "comportamento atteso" e che non si sarebbe lavorato a riguardo. Moxie Marlinspike, ricercatore di sicurezza e sviluppatore che ha lavorato al sistema crittografico di WhatsApp, ha spiegato in un post sul sito di OWS che il fatto che l'app gestisca le modifiche delle chiavi di sicurezza per le conversazioni "non è una backdoor, è come funziona la crittografia".

Moxie ha detto che si potrebbe tentare un attacco man in the middle ad una chat, come con qualsiasi sistema di comunicazione cifrata, ma si verrebbe scoperti dagli utenti che verificano le chiavi. WhatsApp ha un'opzione "Mostra notifiche di sicurezza" per ricevere le notifiche quando cambia il codice di sicurezza di un contatto. Ciò accade quando qualcuno cambia Sim, smartphone o reinstalla WhatsApp, situazioni in cui le security keys sono rigenerate automaticamente dal device. La società ha inoltre dichiarato che "WhatsApp non dà ai governi una backdoor dei suoi sistemi" e ha rimandato al "rapporto sulle richieste governative 2016" di Facebook.


Nessun commento:

Posta un commento