Cerca nel blog

2017/01/14

Allarme WhatsApp, messaggi intercettabili? Un momento

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete farne una anche voi (Paypal/ricarica Vodafone/wishlist Amazon) per incoraggiarmi a scrivere ancora. Ultimo aggiornamento: 2017/01/14 18:20.

Stanno comparendo molti articoli, soprattutto sui giornali generalisti, che parlano di una falla di sicurezza, addirittura di una backdoor, in WhatsApp che permetterebbe di intercettarne i messaggi. L’origine sembra essere questo articolo del Guardian.

Premetto subito che se vi state affidando a WhatsApp per tutelare la vostra privacy avete preso un grosso granchio (come i fratelli Occhionero dello scandalo EyePyramid di pochi giorni fa, i cui messaggi WhatsApp compromettenti sono stati intercettati). WhatsApp è di proprietà di Facebook, una società il cui core business è farsi i fatti vostri e venderli, e quindi ha poco incentivo a tutelare la riservatezza di qualcuno. Tant’è vero che WhatsApp condivide dati con Facebook da agosto 2016 e non c’è modo di impedirglielo. Se avete cose veramente delicate da comunicare tramite dispositivi digitali, lasciare perdere WhatsApp e procuratevi qualcosa di indipendente e robusto (per esempio Signal, Wickr e simili).

Mi manca il tempo di scrivere un articolo approfondito, ma in estrema sintesi l’allarme è stato un po’ gonfiato, secondo Ars Technica.

Prima di tutto, non si tratta di una backdoor. Il problema di sicurezza di WhatsApp non consente un monitoraggio continuo di un account a insaputa del proprietario e non è quindi una “porta sul retro” nel senso informatico convenzionale del termine.

Il rischio è limitato. Il problema riguarda il comportamento di WhatsApp quando un utente cambia chiave crittografica: normalmente WhatsApp non avvisa l’utente di questo cambio, che avviene per esempio quando si cambia telefonino e teoricamente sarebbe sfruttabile solo da un aggressore che avesse risorse molto sofisticate (accesso a un server WhatsApp o al protocollo SS7 della rete cellulare, per esempio) e anche così consentirebbe di intercettare un solo messaggio per volta. Esistono tecniche più pratiche.

Niente panico, insomma. Ma se volete attivare la notifica di WhatsApp in caso di cambio di chiave per maggiore scrupolo e per sapere quando avviene un cambio, andate nelle sue impostazioni di sicurezza e fatelo.

12 commenti:

Anonimo ha detto...

[quote]WhatsApp è di proprietà di Facebook, una società il cui core business è farsi i fatti vostri e venderli[/quote] (quando và bene...)
Grazie Paolo x l'impegno, ma la gente ha bisogno di complotti,
di illusioni e di paranormale.
Come della lotteria, tutti acquistano il biglietto pensando di essere il vincitorem ma il 99% resterà deluso.

rico ha detto...

Quindi sulla Home di Whatsapp, i tre puntini in alto a destra > Impostazioni > Account > Sicurezza > Mostra notifiche di sicurezza (selettore a destra, diventa da grigio a verde).
Fatto, grazie Paolo 🙂

Leonardo ha detto...

Tuttavia sembrerebbe possibile un man in the middle attack da parte di WhatsApp stessa.
(Fonti: The Hacker News_1, The Hacker News_2)

Kersal ha detto...

Domanda:
ma se faccio il pairing tra i due telefoni con l'opzione di Whatsup elimino la crittografia sul server? Da quello che ho capito il nel caso si accoppino i dispositivi le chiavi stanno nei telefonini stessi, ma forse ho capito male.

Andrea Olivo ha detto...

Potrei aver capito male, ma se invece ho capito bene il problema è un po' più grosso (ma comunque contenuto). Quando si invia un messaggio e l'utente ricevente è offline, whatsapp usa una chiave crittografica temporanea e non quella del ricevente, in modo da rendere possibile allo stesso la ricezione del messaggio nel caso la sua installazione di whatsapp non torni mai online (perché ha disinstallato whatsapp o rotto/perso il telefono). Dovrebbe essere possibile sfruttare questa "feature" per un man in the middle, con il solo caveat di essere a conoscenza del momento in cui l'utenza ricevente è offline, e prendere il posto della stessa.

Fonte: https://www.tomshw.it/ancora-una-backdoor-in-whatsapp-ma-non-proprio-82627

A M ha detto...

Usare Facebook/WhatsApp per difendere la propria privacy è come andare dal dottor Hannibal Lecter per un semplice interventino chirurgico

Unknown ha detto...

In realtà questo video:
https://www.youtube.com/watch?v=we-pJE5JjAs
mostra un problema un pochino più serio...

Paolo Attivissimo ha detto...

Unknown,

perdonami ma quindici minuti di video soporifero non li posso reggere.

Io non capisco quelli che fanno video interminabili quando la stessa cosa potrebbe benissimo essere descritta in un articolo leggibile in due minuti e documentabile in un video di un minuto montato decentemente.

Anonimo ha detto...

Scusa paolo, non mi sono accorto di aver postato come anonimo.
Considera però l'importanza di un video "uncutted" per la trasparenza e riproducibilità.
A ognuno la scelta delle fonti, se riassunte o complete...

Guido Pisano ha detto...

Paoli' io pero' non ho attivato nessuna opzione a riguardo (e idem la mugliera) eppure se cambia la chiave vattsap c'avvisa...

Guido Pisano ha detto...

addendum: nel senso che e' attiva di default (mi sono reso conto che mi era rimasta roba nella tastiera)

Alex Pacini ha detto...

Date un'occhiata qua: https://www.eff.org/deeplinks/2017/01/google-launches-key-transparency-while-tradeoff-whatsapp-called-backdoor