WhatsApp e iMessage di Apple hanno costruito imperi multimiliardari ergendosi a paladini della privacy – specie quando si tratta di mettere al sicuro i messaggi degli utenti –, tuttavia un documento inedito dell’FBI (Federal Bureau of Investigation) rivela la vulnerabilità di queste app e la possibilità per i federali, in presenza di determinati presupposti previsti dalla legge, di avere accesso a significative quantità di dati.

Lawful Access”: l’FBI e i dati di WhatsApp

Non è la prima volta che WhatsApp fa sorgere importanti interrogativi in tema di privacy, ma questa volta non si tratta di informazioni trapelate, bensì di un documento inedito che proviene direttamente dall’FBI e che mette in evidenza la facilità con la quale i federali, in presenza di un mandato o subpoena, possono avere accesso ai dati dei servizi WhatsApp di Facebook (ora Meta) e iMessage di Apple. Secondo quanto dichiara Mallory Knodel, chief technology officer presso il Center for Democracy and Technology, “le più popolari app di messaggistica crittografata iMessage e WhatsApp sono altresì i più permessivi“.

Mark Zuckerberg di Facebook ha parlato a più riprese della visione “privacy-focused” facente perno su WhatsApp; dal canto suo, il CEO di Apple Tim Cook ha descritto la privacy come diritto umano fondamentale e la filosofia della casa di Cupertino, estesa anche ad iMessage, che crede nell’offrire agli utenti trasparenza e controllo. Si tratta di dichiarazioni lodevoli e condivisibili, a patto di trovare riscontro nella realtà. Per giornalisti, attivisti e portatori di posizioni di critica verso il governo che si occupino di sorveglianza di massa e di retribuzione dei politici, la sicurezza o meno dei servizi di messaggistica si traduce alternativamente nel poter lavorare in modo sicuro o nella costante esposizione a situazioni di rischio.

Il documento in argomento, intitolato “Lawful Access” e curato dallo Science and Technology Branch e dalla Operational Technology Division dell’FBI, non solleva quesiti sulla capacità delle app di garantire la sicurezza contro hacker e malintenzionati, ma parla anche di come le agenzie di law-enforcement abbiano a disposizione vari percorsi previsti dalla legge per estrarre dati sensibili degli utenti dai più popolari servizi di messaggistica, anche se pubblicizzati come sicuri e crittografati.

Tale documento, recante la data del 7 gennaio 2021, è una guida interna dell’FBI su quali dati le agenzie di law-enforcement statali e federali possono richiedere a nove dei maggiori servizi di messaggistica. Andrew Crocker, un senior staff attorney del civil-liberties team della Electronic Frontier Foundation, ha dichiarato: «Seguo queste vicende da vicino e lavoro con queste problematiche. Non penso di aver mai visto questo tipo di informazioni fornite in questo modo, certamente non nella prospettiva del law-enforcement».

Per quanto riguarda WhatsApp, “Lawful Access” evidenzia come il servizio, più di ogni altro concorrente, possa fornire informazioni praticamente in tempo reale circa un utente e le sue attività. Mentre con un subpoena si potrebbero ottenere solo informazioni di base, in presenza di un mandato di ricerca WhatsApp dà accesso alla rubrica dei contatti di un determinato utente e di quelli che abbiano l’utente targeted tra i propri contatti. L’unicità del caso di WhatsApp attiene alla rapidità con cui fornisce dati in presenza di un cosidetto pen register (una richiesta di sorveglianza che tocca la fonte e il destinatario di ogni messaggio di un utente targeted): determinati metadati vengono forniti ogni 15 minuti. Nessun altro servizio fornisce dati con così poco ritardo. Una portavoce di WhatsApp ha confermato questa situazione, evidenziando alcune omissioni del documento dell’FBI: innanzitutto i dati non comprendono il contenuto dei messaggi (e grazie alla crittografia end-to-end non potrebbero comunque farlo); in secondo luogo, si tratta di misure irretroattive; ciascuna richiesta viene attentamente valutata ed eventualmente accolta da WhatsApp in base alla legge applicabile, pertanto la crittografia end-to-end non osta alle indagini su reati. Sì perché i metadati che WhatsApp fornisce permettono di sapere con chi parli un determinato utente, quando e di conoscerne la rubrica dei contatti.

Le ripercussioni che ciò ha su persone che desiderino sicurezza vera e anonimato, come giornalisti che lavorino con fonti confidenziali e attivisti, sono importanti e le vicende di Buzzfeed News e Natalie Edwards lo dimostrano chiaramente: Edwards e un reporter di Buzzfeed avevano scambiato centinaia di messaggi su WhatsApp credendolo un servizio sicuro, ma proprio quei messaggi sono poi serviti alle autorità nel processo contro la former senior adviser del FinCEN.

Daniel Kahn Gillmor, senior staff technologist presso l’ACLU (American Civil Liberties Union) ha descritto il fatto che WhatsApp offra accesso a tutte queste informazioni come devastante per un reporter che lavori con fonti confidenziali. La guida dell’FBI non copre il caso in cui un agente statale o federale ottenga fisicamente accesso al dispositivo di un utente, nel qual caso neppure la crittografia end-to-end basta a tenerne al sicuro i dati.

iMessage di Apple fa addirittura peggio

iMessage è il servizio di messaggistica proprietario che arriva preinstallato sui dispositivi della mela morsicata e attualmente viene usato da oltre 1,3 miliardi di utenti. Stando alla guida “Lawful Access” dell’FBI, in presenza di un ordine di un giudice o di un mandato di ricerca, Apple mette a disposizione informazioni di base e i dati delle ricerche effettuate su iMessage negli ultimi 25 giorni (che cosa l’utente targeted abbia cercato e quali altri utenti abbiano effettuato la stessa ricerca nello stesso periodo di tempo).

Ciò non include né il contenuto dei messaggi, né l’eventuale scambio di messaggi tra vari utenti, tuttavia la situazione cambia radicalmente in caso di backup dell’attività di iMessage su iCloud: in questo caso le forze dell’ordine possono ottenere accesso ai backup effettuati in cloud, con tanto di contenuto dei messaggi inviati e ricevuti.

Alla base di ciò si pone la natura stessa di iCloud: come ricorda Mallory Knodel del Center for Democracy and Technology, sebbene il servizio venga descritto da Apple come crittograto, una delle chiavi rimane nella disponibilità di Apple, che può fornirla alle autorità che ne facciano richiesta. Un portavoce di Apple ha declinato la richiesta di un commento avanzata dai colleghi di Rolling Stone, limitandosi a rinviare alle linee guida ufficiali.

Secondo Daniel Kahn Gillmor dell’ACLU, Apple ha le risorse per implementare la crittografia end-to-end su iCloud, ma avrebbe subito pressioni dalle agenzie di law-enforcement per accantonare tale progetto.

Altri servizi di messaggistica

Il documento dell’FBI contiene riferimenti anche ad altri servizi di messaggistica, che, a meno di non avere fisicamente accesso al dispositivo, offrono ben pochi dati alle forze dell’ordine.

Signal fornisce solo data e ora di registrazione di un utente e quelli dell’ultimo accesso. Wickr indica il dispositivo usato per accedere all’app, la data di creazione dell’account e altre informazioni di base, ma non metadati dettagliati.

Naturalmente, nonostante numeri in crescita, quelli di Signal e Wickr non sono neppure lontanamente paragonabili a quelli di WhatsApp e iMessage. Proprio questa differenza e le possibilità messe in evidenza da “Lawful Access”, secondo Wessler dell’ACLU, dovrebbero essere tenuti in considerazione ogniqualvolta le forze dell’ordine si lamentino perché i servizi di messaggistica crittografati sarebbero di ostacolo al loro lavoro.

Il gruppo di trasparenza Property of the People, avente sede a Washington, D.C., ha ricevuto il documento in argomento tramite una richiesta in base al Freedom of Information Act e l’ha condiviso con Rolling Stone. Il direttore esecutivo di Property of the People Ryan Shapiro ha dichiarato: «La privacy è essenziale alla democrazia. La facilità con cui l’FBI sorveglia i nostri dati online, minando dettagli intimi delle nostre vite quotidiane, ci minaccia tutti e apre la strada ad un governo autoritario».