skip to main | skip to sidebar
5 commenti

La “falla” di WhatsApp non è una falla: appello degli informatici per fare chiarezza

Pochi giorni fa il giornale britannico The Guardian ha pubblicato un articolo che segnala una “backdoor” in WhatsApp: una falla di sicurezza che, secondo il Guardian, “consentirebbe di intercettare i messaggi cifrati”.

La notizia ha causato una certa apprensione fra i tantissimi utenti di WhatsApp, soprattutto nei paesi nei quali manca la libertà di espressione e WhatsApp viene usato anche per discutere di argomenti vietati, ma gli esperti di sicurezza hanno smentito seccamente l’articolo del Guardian e hanno firmato in massa una lettera aperta, scritta dalla ricercatrice in informatica e sociologia Zeynep Tufekci della University of North Carolina. Anche Whisper Systems, che è responsabile della protezione crittografica usata in WhatsApp e in Signal, è intervenuta per dire che “non c’è nessuna backdoor in WhatsApp”.

La lettera aperta nota che la notizia del Guardian è stata ripresa dai media turchi governativi e dissidenti e anche l’ente governativo turco che prende tutte le decisioni di sorveglianza e censura si è affrettato a dichiarare che WhatsApp è insicuro. Queste preoccupazioni hanno indotto molti a passare agli SMS e a Facebook Messenger, che sono forme di comunicazione decisamente insicure.

Quella che il Guardian ha definito “backdoor” è in realtà una situazione particolare che un aggressore troverebbe estremamente difficile da sfruttare: la gestione di nuove chiavi crittografiche. Quando un utente cambia dispositivo o SIM e quindi cambia queste chiavi, WhatsApp gli consegna comunque i messaggi in sospeso e poi avvisa il mittente che il destinatario ha cambiato dispositivo (Signal fa il contrario: blocca l’invio fino a che il mittente accetta il cambio di chiavi).




In sintesi, questa presunta falla richiede “un avversario capace di fare molte cose difficili” che avrebbe “molti altri modi di raggiungere il proprio bersaglio” e comunque riguarderebbe “solo quei pochi messaggi non consegnati, se ne esistono, fra il momento in cui il destinatario cambia telefono e il mittente riceve un avviso”.


Molto rumore per nulla, insomma: se usate WhatsApp, continuate pure a usarlo.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati manualmente da un moderatore a sua discrezione: è scomodo, ma è necessario per mantenere la qualità dei commenti e tenere a bada scocciatori, spammer, troll e stupidi.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui e/o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (5)
My 2 cents... L'autrice chiede al Guardian di pubblicare una lettera di scuse, il Guardian se ne guarderà bene... Il pessimo giornalismo non è solo italiano, anche se questo non mi consola er nulla.
In uno degli approfondimenti di questo caso, ho letto che whatsapp rigenera periodicamente la chiave. Quindi il problema non si limita al cambio telefono, ma ha anche altre ripercussioni.
Certamente si é fatto un po' di allarmismo
E' una caso d'uso gestito male... è una falla. Non così grave ma comunque una falla.
Eddài, non è una falla. Chiunque abbia usato Signal e conosca un po' di crittografia capisce che non è una falla.
La spiegazione di Moxie Marlinspike sul blog di Open Whisper Systems è forse per addetti ai lavori ma è convincente. Solo una cosa mi lascia perplesso: la decisione di non visualizzare di default la notifica di cambio chiavi. Questa cosa andava fatta, e senza possibilità di disabilitarla.
Secondo me resta un caso d'uso gestito male, é meglio bloccare e chiedere.
Non é un bug. Non é un errore nel codice é un caso d'uso volutamente gestito in quel modo per rendere tutto piú facile all'utente.

Bastava giusto qualche riga di codice per far spuntare una finestrella che ti avvisava e ti chiedeva cosa fare.