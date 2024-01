WhatsApp di Meta è il servizio di messaggistica istantanea più conosciuto e utilizzato al mondo — conta quasi 2 miliardi e mezzo di utilizzatori e oltre 5 miliardi di download complessivi — e negli ultimi mesi ha vissuto un’importante evoluzione che lo ha reso ancora più utile e sfruttabile, tuttavia il suo approccio alla tanto decantata crittografia end-to-end (E2EE) rende la privacy degli utenti più esposta a rischi.

WhatsApp e la privacy: un (non) problema

Da anni sentiamo le figure apicali di WhatsApp tessere le lodi della crittografia end-to-end, vera arma vincente della piattaforma di messaggistica per quanto riguarda la tutela della privacy degli utenti. Sebbene rimanga una caratteristica importantissima, la crittografia end-to-end di WhatsApp pone un problema di privacy che è diretta conseguenza dall’architettura della piattaforma. A segnalarlo in un post su Medium è stato Tal Be’ery (esperto di cyber-security, nonché co-fondatore e CTO di ZenGo).

Stando a quanto si legge nel post linkato, a rendere WhatsApp meno sicuro che in passato è stata proprio la novità invocata a gran voce da anni e finalmente parte integrante dell’esperienza d’uso del servizio: il supporto multi-dispositivo.

Beninteso: quella descritta da Be’ery non è una falla di sicurezza, bensì un problema di privacy connaturato:

“WhatsApp di Meta soffre di un problema di privacy che rende le informazioni di setup dei dispositivi (smartphone + fino a 4 dispositivi collegati) accessibili a qualunque utente, anche se bloccato o non salvato nei contatti. […] Per progettazione, WhatsApp espone alcune informazioni relative ai dispositivi utilizzati dai suoi utenti a qualsiasi altro utente della piattaforma e non fornisce alcun controllo o impostazione o configurazione per consentire agli utenti di limitare tale esposizione (neppure bloccare un utente è risolutivo). Ciò potrebbe consentire agli autori di attacchi di ottenere alcune informazioni necessarie sulle vittime, come ad esempio il passaggio ad un nuovo dispositivo o l’esistenza di dispositivi collegati”.

La situazione, con tutti i relativi dettagli tecnici, è stata esposta a Meta, ma non è entrata programma bounty dell’azienda in quanto non costituente un bug o un problema di sicurezza, bensì una caratteristica di funzionamento del protocollo adottato. Per maggiori dettagli, invitiamo i più curiosi a leggere il post completo di Be’ery e a prendere visione del Technical white paper sulla crittografia di WhatsApp.

