La
popolarissima app di messaggistica WhatsApp è ancora nei guai per i
buchi nella sicurezza apparentemente promessa ai propri utenti. Già
in passato era emerso che la cifratura di WhatsApp che dovrebbe
garantire che i messaggi non siano intercettabili e leggibili da
altri utenti era risultata lacunosa e che la società che gestisce
WhatsApp raccoglieva e conservava troppi dati dalle rubriche degli
utenti. La cifratura di WhatsApp era stata cambiata, ma anche quella
nuova ha dei problemi fondamentali, secondo le ricerche pubblicate
dallo studente di matematica e informatica olandese Thijs
Alkemade.
Se in passato
le chiavi crittografiche di WhatsApp si erano basate incautamente su
dati facilmente reperibili (e trasmessi in chiaro) come il codice
IMEI identificativo del cellulare o il MAC address del dispositivo
mobile, stavolta viene usata una cifratura inadeguata (RC4, che ha
falle note) che oltretutto genera una chiave di sessione che viene
usata per cifrare sia i messaggi trasmessi, sia quelli ricevuti: un
errore fondamentale, perché queste chiavi di sessione sono, per
definizione, da usare una sola volta (sono simili agli one-time
pad, che come dice il nome
sono pensati per essere utilizzati una singola occasione e poi
sostituiti).
Riutilizzare
la stessa chiave significa che chiunque riesca a intercettare uno
scambio di messaggi cifrati li può decifrare con un'operazione di
calcolo banalissima (una serie di XOR).
In altre
parole, chi usa WhatsApp dovrebbe presumere che tutto quello che
scrive, legge, invia o riceve non abbia alcuna garanzia di privacy o
segretezza.
Nessun commento:
Posta un commento