skip to main | skip to sidebar
0 commenti

WhatsApp, cifratura dei messaggi fallata (di nuovo)

Questo articolo era stato pubblicato inizialmente il 11/10/2013 sul sito della Rete Tre della Radiotelevisione Svizzera, dove attualmente non è più disponibile. Viene ripubblicato qui per mantenerlo a disposizione per la consultazione.

La popolarissima app di messaggistica WhatsApp è ancora nei guai per i buchi nella sicurezza apparentemente promessa ai propri utenti. Già in passato era emerso che la cifratura di WhatsApp che dovrebbe garantire che i messaggi non siano intercettabili e leggibili da altri utenti era risultata lacunosa e che la società che gestisce WhatsApp raccoglieva e conservava troppi dati dalle rubriche degli utenti. La cifratura di WhatsApp era stata cambiata, ma anche quella nuova ha dei problemi fondamentali, secondo le ricerche pubblicate dallo studente di matematica e informatica olandese Thijs Alkemade.

Se in passato le chiavi crittografiche di WhatsApp si erano basate incautamente su dati facilmente reperibili (e trasmessi in chiaro) come il codice IMEI identificativo del cellulare o il MAC address del dispositivo mobile, stavolta viene usata una cifratura inadeguata (RC4, che ha falle note) che oltretutto genera una chiave di sessione che viene usata per cifrare sia i messaggi trasmessi, sia quelli ricevuti: un errore fondamentale, perché queste chiavi di sessione sono, per definizione, da usare una sola volta (sono simili agli one-time pad, che come dice il nome sono pensati per essere utilizzati una singola occasione e poi sostituiti).

Riutilizzare la stessa chiave significa che chiunque riesca a intercettare uno scambio di messaggi cifrati li può decifrare con un'operazione di calcolo banalissima (una serie di XOR).

In altre parole, chi usa WhatsApp dovrebbe presumere che tutto quello che scrive, legge, invia o riceve non abbia alcuna garanzia di privacy o segretezza.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).