Nel 2016 WhatsApp si è finalmente adeguata alle app top di gamma introducendo un nuovo sistema di sicurezza per la comunicazione tra utenti ovvero le chat crittografate end-to-end e le video chiamate in modo da assicurare che nessun utente di terze parti fosse in grado di accedere a queste comunicazioni. Sfortunatamente è notizia di poche ore fa che WhatsApp è afflitto da una vulnerabilità scoperta da Tobias Boelter, crittografo e ricercatore di sicurezza presso l’Università Berkeley della California, il quale permetterebbe di leggere i contenuti crittografati.
In un intervista con la testata giornalistica The Guardian, Boelter ha affermato che la backdoor permetterebbe a Facebook di leggere i contenuti crittografati end-to-end di conseguenza il social network potrebbe essere obbligato da un ordinanza giudiziaria a decriptare i messaggi e fornirli al governo o altre agenzie governative.
iDownloadBlog ha ricevuto un email da un portavoce di WhatsApp il quale ha spiegato meglio la situazione:
The Guardian posted a story this morning claiming that an intentional design decision in WhatsApp that prevents people from losing millions of messages is a “backdoor” allowing governments to force WhatsApp to decrypt message streams.** This claim is false.**
WhatsApp does not give governments a “backdoor” into its systems and would fight any government request to create a backdoor. The design decision referenced in the Guardian story prevents millions of messages from being lost, and WhatsApp offers people security notifications to alert them to potential security risks.
WhatsApp published a technical white paper on its encryption design, and has been transparent about the government requests it receives, publishing data about those requests in the Facebook Government Requests Report. (https://govtrequests.facebook.com/)
L’algoritmo di crittografia utilizzato da WhatsApp è basato sul protocollo Open Whisper System di Signal.
Cosa c’è di strano in questo? Che la vulnerabilità non è presente nell’app Signal mentre è presente su WhatsApp nonostante l’algoritmo sia lo stesso e l’app Signal sia OpenSource. Boelter ha confermato che la vulnerabilità permette a WhatsApp di cambiare le chiavi per gli utenti offline. Come risultato ogni messaggio non inviato o futuro messaggio potrebbe essere inviato con un nuova chiave senza che il destinatario se ne renda effettivamente conto permettendo a WhatsApp una volta rigenerata la chiave di iniziare a tenere traccia dei messaggi scambiati tra utenti.
Quello che bisogna attenzionare è il sistema utilizzato da Signal il quale notifica, l’utente che sta inviando il messaggio, di ogni cambiamento delle chiavi di sicurezza senza automaticamente re-inviare il messaggio. Infatti, un qualsiasi messaggio non verrà inviato tramite l’app Signal se viene riscontrato un cambiamento nelle chiavi crittografate.
Chiaramente è caos per ora tra gli attivisti che vogliono proteggere la privacy degli utenti in quanto l’exploit in questione potrebbe essere utilizzato dalle agenzie governative. L’esistenza di una backdoor nella crittografia introdotta in WhatsApp è “una miniera d’oro per le agenzie di sicurezza” e “un enorme tradimento della fiducia degli utenti,” afferma Kristie Ball, co-direttore e fondatore del “Centre for Research into Information, Surveillance and Privacy”.
Attualmente Facebook ha declinato alcun commento ma continueremo a tenervi aggiornati sul caso.
