I messaggi che mandiamo su WhatsApp potrebbero essere a rischio intrusione nonostante siano criptati. Tobias Boelter, infatti, ricercatore dell’Università di Berkeley, in California, ha scovato una falla nel sistema di sicurezza, una sorta di “porta segreta” nel software, che permetterebbe a Facebook, proprietario della piattaforma, o ad altri di intercettare e leggere le conversazioni
WhatsApp Backdoor Hack. A rischo la privacy degli utenti
Secondo un articolo pubblicato oggi sulla Testata “The Guardian” esiste un problema di sicurezza di WhatsApp che può essere utilizzato per intercettare e leggere i messaggi cifrati.
Si tratta di una backdoor in WhatsApp? Quali sono i rischi potenziali per chi lo usa?
Difficile pensare che WhatsApp sia influenzato da una backdoor? Secondo il post pubblicato da “The Guardian”, l’applicazione è stata colpita da una vulnerabilità che potrebbe essere sfruttata da malintenzionati per intercettare e leggere i messaggi.
La questione non può essere considerata come una “backdoor” o una “vulnerabilità”, si tratta di un problema relativo nella realizzazione della crittografia in app, nel caso specifico dei cambiamenti nella chiave dell’utente nella crittografia.
Anche quando viene generata una nuova chiave, ad esempio utilizzando un nuovo dispositivo, l’utente sarà in grado di continuare una vecchia conversazione senza informare il mittente del cambiamento. In ogni caso, le impostazioni specifiche in WhatsApp possono abilitare la notifica che il mittente ha trasmesso un messaggio utilizzando una nuova chiave.
Il problema di sicurezza è stato scoperto da Tobias Boelter, esperto in crittografia e sicurezza, ricercatore presso la University of California.
“Se all’Azienda WhatsApp viene chiesto da un ente governativo di rivelare i suoi record di messaggistica, può concedere l’accesso in modo efficace a causa del cambio di chiavi.”, ha detto al “The Guardian” Boelter.
Riprendendo la questione è una grave minaccia per la privacy degli utenti, WhatsApp è possibile leggere i messaggi cifrati inviati tramite questo servizio.
Il ricercatore ha segnalato il difetto di WhatsApp nel mese di aprile, ma la backdoor è ancora presente.
“Il fatto che WhatsApp gestisca le modifiche nelle chiavi di crittografia non è un ‘backdoor'”, si legge un post pubblicato da Moxie. “E’ il funzionamento stesso della crittografia. Qualsiasi tentativo di intercettare i messaggi in trasmissione dal server è rilevabile dal mittente, proprio come con Signal, PGP, o qualsiasi altro sistema di comunicazione end-to-end cifrato. “
Moxie ha evidenziato che WhatsApp prende precauzioni severe per evitare che i suoi server. Ciò significa che dovrebbe essere impossibile per gli attaccanti raccogliere informazioni sulle potenziali vittime. Boelter ha evidenziato che un utente malintenzionato può incidere server WhatApp e di ottenere il controllo amministrativo su di loro.
L’utente malintenzionato potrebbe forzare un cambiamento della chiave di crittografia per un dispositivo mobile che consente all’applicazione di usare la sua chiave per cifrare i messaggi senza mai avvertire il destinatario.
WhatsApp replica: “Tutto falso”
La replica da parte dell’azienda arriva da un portavoce di WhatsApp che smentisce tutto: “The Guardian ha pubblicato un articolo questa mattina affermando che una scelta di design di WhatsApp, che impedisce alle persone di perdere milioni di messaggi, è una ‘backdoor’ che permette ai governi di forzare WhatsApp per decifrare le conversazioni. Questa affermazione è falsa”. “WhatsApp non fornisce ai governi una ‘backdoor’ nei suoi sistemi – prosegue il portavoce – e avrebbe combattuto ogni richiesta del governo per la creazione di una ‘backdoor’.
La scelta progettuale a cui fa riferimento l’articolo del Guardian impedisce a milioni di messaggi di essere persi, e WhatsApp offre notifiche di sicurezza che avvertono di potenziali rischi. WhatsApp ha pubblicato un ‘white paper’ tecnico sul design della sua crittografia, ed e’ stato trasparente in merito alle richieste ricevute dal governo, pubblicando i dati relativi a tali richieste all’interno del Facebook Government Requests Report”.
