È di pochi giorni fa la notizia secondo cui WhatsApp, la più nota applicazione di messaggistica istantanea del panorama Android, sarebbe affetto da una grave falla di sicurezza. Ad affermarlo è Tobias Boelter, un ricercatore di sicurezza dell’Università di Berkeley.
Secondo WhatsApp non si tratterebbe di una vulnerabilità ma di una decisione intenzionale adottata per evitare che un messaggio possa andare perso qualora un utente cambiasse dispositivo e quindi chiavi di sicurezza. Tale affermazione è stata supportata da Open Signal, creatore del protocollo di crittografia utilizzato da WhatsApp.
Per dimostrare la fondatezza delle proprie affermazioni Boelter ha pubblicato su YouTube un paio di video che mostrano la presunta backdoor in azione. Alcuni ricercatori di sicurezza hanno chiesto a Boelter se prima di rendere pubblica la possibile vulnerabilità avesse informato Facebook tramite il programma Bug Bounty.
Il ricercatore ha mostrato senza problemi lo scambio di informazioni avuto con WhatsApp che è però rimasta ferma sulle proprie posizioni affermando che le cose potrebbero cambiare in futuro ma che per il momento è nelle intenzioni degli sviluppatori che l’applicazione funzioni in questo modo.
Difficile dunque capire chi abbia ragione in questa situazione, quello che appare certo è che non sarà l’ultima volta che sentiremo parlare di questa o altre vulnerabilità.
[Aggiornamento]
Un gruppo di trenta ricercatori di sicurezza è intervenuto a difesa di WhatsApp, affermando che l’articolo originario di The Guardian, che ha ripreso le perplessità esposte da Tobias Boelter, sta danneggiando gli utenti, facendo loro credere cose non vere. In sostanza il gruppo conferma che il cambio di chiavi di sicurezza non costituisce un rischio elevato per la privacy e che Signal non è una alternativa mainstream percorribile perché non consente di inoltrare i messaggi nel caso in cui il destinatario cambi smartphone o SIM.