Backup illimitati (ma non crittografati) e vulnerabilità nelle chat: il caldo agosto di WhatsApp (ma WhatsApp Business vola)

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

Se il mese di agosto segna per molti l’arrivo delle vacanze, presso la sede centrale di WhatsApp non tutti devono averlo visto allo stesso modo: tra vulnerabilità che facilitano la diffusione di fake news e truffe online – nonostante la presenza della crittografia end-to-end – e backup sì illimitati, ma non crittografati per poi arrivare alle minacce molto concrete dei governi indiano e australiano, che intendono estendere le proprie attività di controllo anche ai messaggi scambiati sulla piattaforma.

Siete pronti per scoprire tutte le notizie che hanno riguardato WhatsApp nel mese di agosto, e che dovreste probabilmente conoscere?

I BACKUP DI WHATSAPP: ILLIMITATI, GRATUITI MA NON CRITTOGRAFATI

Una sorpresa, sicuramente, ma di quelle gradite: la notizia dell’accordo di Google con WhatsApp (e, per estensione, Facebook che dell’app ne è proprietaria) per la gestione “preferenziale” dei backup dell’app di chat ha colpito come un fulmine a ciel sereno le chat di tutti i suoi utenti.

Con un post all’interno del blog ufficiale dell’applicazione, WhatsApp ha annunciato che tutti i backup delle conversazioni effettuate su Google Drive – servizio cloud storicamente preposto alla loro archiviazione – non avrebbero più eroso lo spazio disponibile (sia nei piani gratuiti che in quelli a pagamento). Una notizia fantastica, specialmente per chi utilizza WhatsApp massicciamente e non lesina sull’invio di file multimediali, che contribuiscono ad aumentare il peso del backup.

Tuttavia, non mancano le clausole e gli svantaggi: il primo di questi consiste nel nuovo limite temporale ai backup di WhatsApp su Google Drive i quali, nel caso in cui non ricevessero un aggiornamento per un intero anno, verranno automaticamente cancellati dalla piattaforma di cloud. Il provvedimento entrerà in vigore dal 12 novembre 2018 e per questo motivo si raccomanda vivamente di effettuare un backup manuale prima di quella data, onde evitare di perdere qualsiasi file archiviato in precedenza. Il meccanismo è semplice: dal menu a tendina di WhatsApp cliccate sulla voce “Impostazioni” > “Chat” > “Backup delle chat” per poi tappare su “Esegui backup”.

Il secondo lato della medaglia, noto però da tempo, è la mancata crittografia dei backup una volta raggiunta la propria sede su Google Drive. Questo spiacevole particolare naturalmente vanifica in parte il livello di sicurezza offerto dall’applicazione: se all’interno delle chat la crittografia end-to-end impedisce a chiunque di leggere i vostri messaggi, una volta raggiunto il cloud le chat perdono la loro crittografia originaria e diventano accessibili – come tutti i file archiviati su Drive – a Google e alle autorità competenti che desiderino accedervi. Chiaramente sarà necessaria un’ordinanza o una disposizione delle autorità giudiziarie; ciononostante WhatsApp ha probabilmente ritenuto più corretto evidenziare questa spiacevole particolarità.

LE VULNERABILITÀ DI WHATSAPP CHE DIFFONDONO FAKE NEWS

A scuotere le coscienze degli utenti WhatsApp nel mese di agosto è stata la nuova vulnerabilità scoperta dal laboratorio di ricerca Checkpoint Security, che ha rintracciato all’interno del processo di autenticazione tra WhatsApp Web e lo smartphone una falla che consente di  modificare il contenuto di un messaggio, sia all’interno di gruppi pubblici sia in una conversazione privata.

Le potenziali applicazioni di questa vulnerabilità di WhatsApp sono numerosissime, e tutte in senso negativo: intercettando i messaggi di un utente e modificandoli nel corso dell’invio è possibile diffondere fake news o incriminare una persona facendole ammettere i peggiori misfatti – pur essendo questa completamente innocente ed estranea di tutto. Specialmente da quando i messaggi su WhatsApp hanno assunto valenza giuridica e dispongono di valore probatorio in sede civile, come testimoniato da numerose sentenze della Corte di Cassazione e dei tribunali di tutta Italia.

Secondo Checkpoint Security, che ha pubblicato un’approfondita disamina del processo tecnico di falsificazione dei messaggi WhatsApp, le applicazioni di questa vulnerabilità sono tre:

  • l’attaccante può falsificare un messaggio inviatogli in chat da un contatto inoltrandolo all’interno di un gruppo pubblico. Per l’hacker sarà sufficiente condividere un messaggio qualsiasi inviatogli in chat privata in forma di risposta, modificandone nel frattempo il contenuto e persino il nominativo del mittente: praticamente impossibile distinguerlo dall’originale. Una bomba sociale pericolosissima, specialmente in Paesi come l’India dove WhatsApp viene utilizzato come fonte d’informazione da 200 milioni di persone (e dove le fake news uccidono);
  • l’attaccante può falsificare i messaggi di una conversazione privata, mettendo in bocca al mittente parole da lui mai digitate. Per il malvivente sarà sufficiente inviare risposte e contro-risposte solamente da lui redatte, in un soliloquio che prende però la forma di una conversazione a due grazie alla vulnerabilità, a danno del destinatario di questi messaggi;
  • infine, l’attaccante può inviare all’interno di un gruppo pubblico un messaggio privato ad un singolo partecipante del gruppo, che però vedrà come se quel messaggio fosse in realtà di dominio pubblico: questo, a detta dei ricercatori, potrebbe spingere la vittima ad effettuare rivelazioni all’interno del gruppo in risposta ad un messaggio che però effettivamente gli altri partecipanti non vedono.

Naturalmente la vulnerabilità di WhatsApp qui descritta non è per nulla di facile attuazione, ma alla luce di quanto leggerete nelle prossime righe, ci porta a pensare che la popolarità di WhatsApp sia più in bilico di quanto si possa immaginare. I tecnici dell’applicazione, non consapevoli della vulnerabilità, sono già al lavoro per il rilascio di una patch per la sua correzione.

INDIA E AUSTRALIA VOGLIONO CONTROLLARE WHATSAPP (MA ANCHE TELEGRAM)

Protagoniste di una nuova ondata di malcontento governativo contro l’uso e l’abuso delle applicazioni di messaggistica sono state le amministrazioni statali di India e Australia, che hanno avanzato proposte e diffuso dichiarazioni che preoccupano (o che dovrebbero preoccupare) gli utenti WhatsApp non solo residenti in questi due Paesi, ma di tutto il mondo.

Da una parte infatti troviamo l’India, costretta a gestire una crisi sociale senza precedenti nel Paese a causa delle fake news e della loro diffusione incontrollata presso la popolazione. Nel corso dell’estate è infatti salito ancora il numero delle vittime provocate dalla pubblicazione su WhatsApp (che in India gode di uno dei più ampi bacini d’utenza, 200 milioni di MAU) di fake news riguardanti bande di rapitori di bambini, che solo nella città di Dhule ha portato al linciaggio di cinque uomini. Due settimane dopo, nella città di Megaleon una famiglia di mendicanti di cinque persone ha rischiato di fare la stessa fine, evitata solamente grazie al provvidenziale intervento di una donna che, nonostante la folla inferocita avesse invaso le strade e persino aggredito la polizia, li ha nascosti nella sua abitazione.

Il governo indiano stigmatizza l’operato di WhatsApp nella lotta alle fake news, ma le responsabilità dell’applicazione sono minori rispetto a quanto riportato dalle accuse

Per fermare dunque la diffusione di video di bambini mutilati, notizie di killer di minori e altre voci completamente fasulle ma fuori dal controllo e dal filtro critico dei media tradizionali, il governo indiano ha deciso di agire direttamente sul principale mezzo di propagazione di queste notizie. WhatsApp, principalmente, ma anche Facebook, Instagram e Telegram: già il 7 agosto il governo indiano aveva esplorato la possibilità di bloccare app di chat e social network nel caso di “eventi eccezionali” chiedendo ai gestori telefonici del Paese di sondarne la fattibilità. Due settimane dopo è passato alle richieste dirette, insistendo con WhatsApp e le altre società di comunicazione per l’inserimento di un tracker che consenta di risalire alla fonte di un messaggio, anche dopo la sua condivisione in altre chat o gruppi pubblici.

Benché tecnicamente fattibile, è chiaro che nessuna suite di messaggistica vorrebbe mai integrare un dispositivo che metta a rischio la privacy dei propri utenti – non in modo così plateale, perlomeno – e specialmente WhatsApp che ha fatto della crittografia end-to-end un cavallo di battaglia (pur con tutti i distinguo del caso, a partire dalla vulnerabilità descritta sopra). WhatsApp si è quindi rifiutata di acconsentire alle richieste del governo indiano, pur mantenendosi aperta ad altre forme di collaborazione. Come però hanno fatto notare molti commentatori, la prima vulnerabilità dell’India non è WhatsApp bensì l’intero sistema-Paese, complici l’assenza di una scolarizzazione e di una consapevolezza digitale a livello popolare, il grande malcontento dei cittadini nei confronti del governo e la scarsa fiducia verso le istituzioni.


In Australia invece nessuno cade vittima di fake news o di folle inferocite, ma ciononostante il governo vuole comunque controllare sia le conversazioni inviate via WhatsApp, che attraverso qualsiasi altro social network. Stando infatti alla bozza del Telecommunications and Other Legislation Amendment (Assistance and Access) Bill 2018 pubblicata sul sito ufficiale del governo di Canberra, qualora dovesse essere approvata senza sostanziali modifiche le autorità locali sarebbero in grado di richiedere una certa forma di “assistenza” alle app di messaggistica. Tre gradi di assistenza differenti che si traducono in altrettanti livelli di accessibilità alle conversazioni online:

  • Technical assistance request: una richiesta di “assistenza volontaria” che il governo richiede ai giganti del web per “salvaguardare la sicurezza nazionale“, ma che comunque pare sarà possibile rifiutare – in quanto, appunto, volontaria;
  • Technical assistance note: con questo strumento il governo australiano richiederebbe – obbligandoli a collaborare – alle app di chat di fornire gli strumenti necessari all’accesso delle conversazioni laddove queste “siano in grado di fornirla e che sia ragionevole, proporzionale, praticabile e tecnicamente flessibile“. Come si evince poi in altri passaggi, questa forma di assistenza viene “proposta” ad applicazioni che non dispongono di crittografia end-to-end;
  • Technical capability notice: richiedibile unicamente da un attorney general, le app di chat coinvolte dovrebbero sviluppare tool di decrittazione delle chat per consentire l’applicazione della legge e lo sviluppo delle indagini (in app con crittografia end-to-end) anche se, si specifica, non sarà possibile eliminare la crittografia.

Nonostante il Minister for Law Enforcement and Cyber Security, Angus Taylor, sia contrario all’applicazione di backdoor, e pur considerando che ogni livello di “assistenzanecessiterà un’autorizzazione di peso proporzionalmente maggiore, è indubbio che con la nuova legge il governo australiano inquieti le compagnie dell’hi-tech. La legge non si applica alle sole app di messaggistica, ma anche ai produttori di smartphone, di componenti, ai gestori telefonici e di comunicazione. Che hanno risposto per bocca del DIGI, il Digital Industry Group che in Australia rappresenta Google, Facebook, Twitter e altri, e che ha invitato il governo a leggere i principles redatti dall’industria di settore per aiutare i governi allo sviluppo di leggi che non collidano con il diritto alla privacy dei cittadini. Cosa che non siamo sicuri succederà.

WHATSAPP BUSINESS CONTINUA AD ESPANDERSI

Nonostante dunque le cattive notizie che hanno tenuto WhatsApp sulla graticola per tutto il mese di agosto, l’app di chat continua ad espandere la propria suite Business per trasformarla nel prossimo volano della propria economia.

API di WhatsApp Business
Grazie alle API di WhatsApp Business, Facebook spera di rendere WhatsApp finanziariamente indipendente

Se all’inizio del mese avevamo visto come WhatsApp intende monetizzare la propria base d’utenza di oltre due miliardi di persone tramite WhatsApp Business – potete recuperare qui l’articolo: “Come guadagna WhatsApp? Usando l’astuzia” – è proprio alla fine di agosto che è arrivato l’annuncio del supporto a 100 nuove aziende delle nuove API della piattaforma, già in fase di testing presso molte di queste. I nomi importanti si sprecano: Uber (che già si serve di WhatsApp per mantenere gli autisti in contatto tra loro), Netflix (per l’invio di suggerimenti sui contenuti da guardare e di alcuni avvisi di sicurezza) ma anche Booking.com, Wish e altre aziende di cui potete leggere le entusiastiche testimonianze riguardo le API di WhatsApp proprio sul sito ufficiale dell’applicazione.

WhatsApp ha anche preferito specificare che qualsiasi azienda potrà richiedere la propria iscrizione al servizio di testing delle API di WhatsApp Business, anche quelle che non risultano registrate negli USA – smentendo alcune voci che circolavano all’interno dell’industria di settore – tramite il portale dedicato. Già decine di solution provider stanno già facendo uso delle API di WhatsApp, e spuntano nomi importanti anche in questa lista – VoiceSage, Nexmo, Twilio, Smooch e tanti altri. Va poi specificato che, quando il servizio sarà entrato ufficialmente in funzione, le aziende non saranno autorizzate ad effettuare SPAM, né a contattare gli utenti prima che questi non l’abbiano fatto a loro volta. Una questione critica, se WhatsApp desidera trasformarsi da app di chat a un kagemusha degli account email.

Lo sai che su WhatsApp sono arrivati i canali Telegram, più o meno? Scopri QUI come WhatsApp intende copiare questa feature dell’app di chat russa – male, tra le altre cose.

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè le prossime News nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus, sulla nostra rivista Flipboard e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!

Fonte Tech Crunch CNET Checkpoint
Commenti

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More

//