Quando si parla di WhatsApp, difficilmente qualcuno potrà sentirsi escluso dall’argomento: volenti o nolenti, il miliardo e duecentomila utenti che le ultime stime ufficiali di Facebook hanno evidenziato sottolineano l’estensione della piattaforma di messaggistica. Ma certamente interesserà molto, sia ai suoi utenti che ai suoi detrattori, la notizia per cui un gruppo di ricercatori tedeschi avrebbe riscontrato nei server dell’applicazione – unitamente a quelli dell’app di chat Signal, con cui WhatsApp condivide l’applicazione estensiva del protocollo di sicurezza Axolotl – una vulnerabilità che consentirebbe di aggiungere numeri e profili a gruppi senza il consenso del loro amministratore.
Un problema grave, ma a quale livello? Siete pronti per scoprirlo?
La vulnerabilità dei gruppi WhatsApp
La notizia ha suscitato una grande eco mediatica, comprensibilmente: la presenza di una vulnerabilità all’interno della più popolare app di chat al mondo, unitamente alla possibilità che quello che si reputa il più sicuro protocollo di crittografia per la messaggistica possa essere in realtà “perforabile” da un abile hacker, ha scosso le fondamenta di numerosi castelli, molti dei quali costruiti in aria.
Non poteva d’altronde capitare in un momento peggiore: la decisione, da parte della Microsoft, di implementare il protocollo Axolotl (già presente su tutte le chat inviate tramite le app Signal e WhatsApp) sulla propria suite di comunicazione Skype (similmente a quanto già fatto da Allo e Messenger, ossia limitatamente a conversazioni speciali e “private“, non su tutta l’applicazione) sarebbe stata ulteriore motivo di vanto per il team guidato da Moxie Marlinspike, crittografo-capo di Signal e spesso in polemica con Pavel Durov, fondatore di Telegram.
Eppure. La vulnerabilità, scoperta dai ricercatori Paul Rösler, Christian Mainka e Jörg Schwenk, impiegati presso la Ruhr-Universität a Bochum, in Germania e illustrata all’interno di un fitto documento – che non prende in considerazione solo WhatsApp, ma tratta delle app di messaggistica sicura in generale arrivando a coinvolgere persino la suite svizzera Threema – è molto chiara. Perlomeno, per i più esperti: i meno pratici a termini di sicurezza digitale e crittografia avanzata dovranno invece limitarsi alla nostro riassunto.
Praticamente, il problema risiede nella gestione da parte di Signal e di WhatsApp dei rapporti delle chat di gruppo con i propri server di collegamento; secondo gli analisti, qualunque hacker che ottenesse l’accesso ad un server dell’applicazione sarebbe in grado di aggiungersi senza permesso all’interno di qualsiasi chat di gruppo.
Il piede di porco attraverso il quale un hacker può forzare la privacy e la confidenzialità di una conversazione è il cosiddetto “messaggio di gestione del gruppo“, un segnale che viene inviato al server dell’applicazione e che consente di attivare l’accesso a tutti i messaggi successivi all’aggiunta da parte di un contatto esterno al gruppo stesso. Solitamente questo segnale viene inviato dall’amministratore del gruppo in questione al momento dell’aggiunta di un nuovo partecipante alla chat; sfortunatamente, su WhatsApp sono presenti due errori che comportano una possibile falla nel sistema.
La prima riguarda la crittografia applicata ai “messaggi di gestione del gruppo” che l’amministratore automaticamente invia al server: nonostante sia comunque presente, non è la stessa applicata alle chat e dunque è molto meno sicura rispetto allo standard del protocollo di Signal; in secondo luogo, questi messaggi non sono verificati dall’account dell’amministratore e dunque si appoggiano completamente all’affidabilità dei server, che verificano di per sé se l’utente che ha inviato la richiesta sia autorizzato a farla e, nel caso, procedono con l’aggiunta.
Va da sé che chiunque possieda l’accesso ai server WhatsApp potrebbe aggiungersi automaticamente a qualsiasi conversazione di gruppo, diversamente da Signal dove invece è molto più difficile sia penetrare il sistema di sicurezza, sia identificare il gruppo in questione – contrassegnato da una chiave crittografata a 128-bit e in possesso esclusivamente ai partecipanti del gruppo. Dato che Signal rende automaticamente amministratori di un gruppo tutti i suoi partecipanti, diventa quasi inutile applicare qualsiasi stratagemma ulteriore: se si vuole aggiungere un contatto ad una chat, lo si può effettivamente fare.
Bisogna preoccuparsi?
Ovviamente: la presenza di una vulnerabilità all’interno di un’app di chat che da sempre si proclama “estremamente sicura” rappresenta una grave violazione della fiducia dei suoi utenti, anche se comunque non è né così semplice né così sicuro che l’hackeraggio, una volta applicato, passi inosservato.
In sum, the clear notifications and multiple ways of checking who is in your group prevents silent eavesdropping. The content of messages sent in WhatsApp groups remain protected by end-to-end encryption.
— Alex Stamos (@alexstamos) 10 gennaio 2018
Innanzitutto, un numero sconosciuto, una volta entrato a fare parte di un gruppo, diventa immediatamente visibile ai suoi componenti non solo dall’elenco dei membri, ma anche (e soprattutto) attraverso una notifica visuale nella schermata di chat. In secondo luogo, questa vulnerabilità implica il controllo da parte dell’attaccante dei server dell’applicazione.
Ma c’è anche una terza considerazione.
Telegram come WhatsApp?
Per anni la querelle tra WhatsApp, Signal da una parte e Telegram dall’altra ha visto sempre in gioco la sicurezza e l’affidabilità dei rispettivi protocolli crittografici, della struttura applicata, delle misure da adottare per evitare spionaggi di qualsiasi genere.
WhatsApp has looked at the report carefully – following the researcher’s plan would necessitate a change to the way WhatsApp provides a popular feature called group invite links – which are used millions of times per day.
— Alex Stamos (@alexstamos) 10 gennaio 2018
Mentre i fautori di WhatsApp hanno sempre sostenuto l’inaffidabilità di una struttura ad archiviazione cloud delle chat come quella scelta da Telegram – preferendo quella in locale – dall’altra i sostenitori dell’app di chat russa-ma-non-russa hanno sempre identificato nel minore sistema di protezione applicato alle proprie conversazioni un giusto compromesso tra sicurezza e facilità d’uso. La vulnerabilità dei gruppi WhatsApp ha portato molti giornalisti del settore, esperti e persino Alex Stamos, CSO di Facebook, a chiedersi se l’implementazione di un ulteriore livello di sicurezza, così come fatto da Signal, avrebbe senso qualora questo andasse ad intaccare l’esperienza utente di chi utilizza le chat dell’app ogni giorno per parlare con la madre o la fidanzata, e non per scambiarsi documenti governativi sottobanco (per quello, c’è Briar Beta).
Ecco: la comodità d’uso diventa prioritaria rispetto al livello di sicurezza – e giustamente. La vulnerabilità di WhatsApp è un problema, ma nel caso in cui la pezza fosse peggiore del buco (e viste le bassissime possibilità di successo) forse è meglio rimanere nella situazione attuale fino a quando non si trovi una soluzione che non imponga di peggiorare l’esperienza utente. Un ragionamento che Telegram ha sempre applicato, e che ora sembra che anche i programmatori di WhatsApp comincino a comprendere.
Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a myjob@appelmo.com, e dai un’occhiata QUI per le modalità di contatto. Non essere timido!
Se non volete perdervi nè le prossime News su WhatsApp nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).
Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus, sulla nostra rivista Flipboard e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!