skip to main | skip to sidebar
12 commenti

Allarme WhatsApp, messaggi intercettabili? Un momento

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete farne una anche voi (Paypal/ricarica Vodafone/wishlist Amazon) per incoraggiarmi a scrivere ancora. Ultimo aggiornamento: 2017/01/14 18:20.

Stanno comparendo molti articoli, soprattutto sui giornali generalisti, che parlano di una falla di sicurezza, addirittura di una backdoor, in WhatsApp che permetterebbe di intercettarne i messaggi. L’origine sembra essere questo articolo del Guardian.

Premetto subito che se vi state affidando a WhatsApp per tutelare la vostra privacy avete preso un grosso granchio (come i fratelli Occhionero dello scandalo EyePyramid di pochi giorni fa, i cui messaggi WhatsApp compromettenti sono stati intercettati). WhatsApp è di proprietà di Facebook, una società il cui core business è farsi i fatti vostri e venderli, e quindi ha poco incentivo a tutelare la riservatezza di qualcuno. Tant’è vero che WhatsApp condivide dati con Facebook da agosto 2016 e non c’è modo di impedirglielo. Se avete cose veramente delicate da comunicare tramite dispositivi digitali, lasciare perdere WhatsApp e procuratevi qualcosa di indipendente e robusto (per esempio Signal, Wickr e simili).

Mi manca il tempo di scrivere un articolo approfondito, ma in estrema sintesi l’allarme è stato un po’ gonfiato, secondo Ars Technica.

Prima di tutto, non si tratta di una backdoor. Il problema di sicurezza di WhatsApp non consente un monitoraggio continuo di un account a insaputa del proprietario e non è quindi una “porta sul retro” nel senso informatico convenzionale del termine.

Il rischio è limitato. Il problema riguarda il comportamento di WhatsApp quando un utente cambia chiave crittografica: normalmente WhatsApp non avvisa l’utente di questo cambio, che avviene per esempio quando si cambia telefonino e teoricamente sarebbe sfruttabile solo da un aggressore che avesse risorse molto sofisticate (accesso a un server WhatsApp o al protocollo SS7 della rete cellulare, per esempio) e anche così consentirebbe di intercettare un solo messaggio per volta. Esistono tecniche più pratiche.

Niente panico, insomma. Ma se volete attivare la notifica di WhatsApp in caso di cambio di chiave per maggiore scrupolo e per sapere quando avviene un cambio, andate nelle sue impostazioni di sicurezza e fatelo.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (12)
[quote]WhatsApp è di proprietà di Facebook, una società il cui core business è farsi i fatti vostri e venderli[/quote] (quando và bene...)
Grazie Paolo x l'impegno, ma la gente ha bisogno di complotti,
di illusioni e di paranormale.
Come della lotteria, tutti acquistano il biglietto pensando di essere il vincitorem ma il 99% resterà deluso.
Quindi sulla Home di Whatsapp, i tre puntini in alto a destra > Impostazioni > Account > Sicurezza > Mostra notifiche di sicurezza (selettore a destra, diventa da grigio a verde).
Fatto, grazie Paolo 🙂
Tuttavia sembrerebbe possibile un man in the middle attack da parte di WhatsApp stessa.
(Fonti: The Hacker News_1, The Hacker News_2)
Domanda:
ma se faccio il pairing tra i due telefoni con l'opzione di Whatsup elimino la crittografia sul server? Da quello che ho capito il nel caso si accoppino i dispositivi le chiavi stanno nei telefonini stessi, ma forse ho capito male.
Potrei aver capito male, ma se invece ho capito bene il problema è un po' più grosso (ma comunque contenuto). Quando si invia un messaggio e l'utente ricevente è offline, whatsapp usa una chiave crittografica temporanea e non quella del ricevente, in modo da rendere possibile allo stesso la ricezione del messaggio nel caso la sua installazione di whatsapp non torni mai online (perché ha disinstallato whatsapp o rotto/perso il telefono). Dovrebbe essere possibile sfruttare questa "feature" per un man in the middle, con il solo caveat di essere a conoscenza del momento in cui l'utenza ricevente è offline, e prendere il posto della stessa.

Fonte: https://www.tomshw.it/ancora-una-backdoor-in-whatsapp-ma-non-proprio-82627
Usare Facebook/WhatsApp per difendere la propria privacy è come andare dal dottor Hannibal Lecter per un semplice interventino chirurgico
In realtà questo video:
https://www.youtube.com/watch?v=we-pJE5JjAs
mostra un problema un pochino più serio...
Unknown,

perdonami ma quindici minuti di video soporifero non li posso reggere.

Io non capisco quelli che fanno video interminabili quando la stessa cosa potrebbe benissimo essere descritta in un articolo leggibile in due minuti e documentabile in un video di un minuto montato decentemente.
Scusa paolo, non mi sono accorto di aver postato come anonimo.
Considera però l'importanza di un video "uncutted" per la trasparenza e riproducibilità.
A ognuno la scelta delle fonti, se riassunte o complete...
Paoli' io pero' non ho attivato nessuna opzione a riguardo (e idem la mugliera) eppure se cambia la chiave vattsap c'avvisa...
addendum: nel senso che e' attiva di default (mi sono reso conto che mi era rimasta roba nella tastiera)
Date un'occhiata qua: https://www.eff.org/deeplinks/2017/01/google-launches-key-transparency-while-tradeoff-whatsapp-called-backdoor