Una grave falla nel sistema di crittografia end-to-end di WhatsApp, la più famosa applicazione di messaggistica istantanea del panorama Android, è stata resa nota da Tobias Boelter, un crittografo e ricercatore di sicurezza della University of California, Berkeley.
Secondo quanto riporta Boelter, Facebook, la compagnia che ha acquisito WhatsApp nel 2014 per 22 miliardi di dollari, sarebbe a conoscenza della vulnerabilità fin dal mese di aprile del 2016 ma non avrebbe fatto niente per correggerla in quanto si tratterebbe di un comportamento previsto dallo sviluppatore.
La vulnerabilità risiede nell’implementazione del protocollo di crittografia end-to-end utilizzato da WhatsApp, che utilizza il protocollo Signal sviluppato da Open Whisper System. Qualora un utente risultasse offline, l’applicazione genera una nuova coppia di chiavi si sicurezza, senza informare preventivamente né il mittente né il destinatario e procede al reinoltro automatico del messaggio.
In questo modo Facebook ha la possibilità di accedere a tutti i messaggi scambiati tra le due parti e non solamente al messaggio incriminato, grazie ad alcune metodologie di spedizione dei messaggi che consentono a WhatsApp di non mostrare la doppia spunta di consegna, un fatto che potrebbe non essere notato dalla maggior parte degli utenti.
Grazie a questa vulnerabilità inoltre qualsiasi ente governativo può richiedere l’accesso a informazioni che gli utenti ritengono sicure, perché protetti dai migliori algoritmi di crittografia, come chiaramente affermato da WhatsApp e Facebook. Secondo alcuni analisti si tratta di una miniera d’oro per le agenzie di sicurezza e di un grande tradimento verso gli utenti, anche per quelli che pensano di non avere nulla da nascondere senza sapere quali sono le informazioni che realmente possono essere interessanti.
Un portavoce di WhatsApp ha riferito a The Guardian che la sicurezza dei propri utenti è una priorità per la compagnia e che l’implementazione del reinoltro automatico dei messaggi, che avviene qualora un utente abbia appena cambiato SIM o smartphone, è stata pensata per evitare la perdita di messaggi all’insaputa degli utenti.
Egli ha inoltre invitato gli utenti a controllare i dettagli relativi alle richieste governative relative all’accesso ai dati degli utenti, per capire quali e quante ingerenze sono avvenute negli ultimi anni. Una nuova tegola si abbatte dunque su WhatsApp che non sembra però intenzionata a porre rimedio alla situazione, forse per le pressioni ricevute da enti governativi o per scelta propria.
Con le tante accuse rivolte anche al rivale Telegram, l’unica applicazione sicura sembra Signal, consigliata anche da Edward Snowden, l’analista statunitense noto per aver svelato i piani di sorveglianza di massa messi in atto dai governi di Stai Uniti e Gran Bretagna.
Continuerete a utilizzare WhatsApp o state seriamente pensando di abbandonarla per qualcosa di più sicuro, ammesso che esista? Fatevi sentire nel box dei commenti.
[Aggiornamento]
Un gruppo di trenta ricercatori di sicurezza è intervenuto a difesa di WhatsApp, affermando che l’articolo originario di The Guardian, che ha ripreso le perplessità esposte da Tobias Boelter, sta danneggiando gli utenti, facendo loro credere cose non vere. In sostanza il gruppo conferma che il cambio di chiavi di sicurezza non costituisce un rischio elevato per la privacy e che Signal non è una alternativa mainstream percorribile perché non consente di inoltrare i messaggi nel caso in cui il destinatario cambi smartphone o SIM.