Cerca nel blog

2018/02/23

Le parole di Internet: metadati (e cosa se ne fa WhatsApp)

I metadati sono le informazioni che descrivono dei dati. Per esempio, i metadati di un documento Word possono essere la data e l’ora di creazione, il nome dell’autore e così via. I metadati di una fotografia possono essere il tipo di fotocamera, i parametri di scatto (tempo e diaframma), la data e l’ora dello scatto e le coordinate geografiche del luogo nel quale è stata fatta la foto.

Di solito i metadati sono considerati poco importanti, specialmente quando c’è di mezzo la crittografia. Prendete per esempio WhatsApp, una delle più diffuse app che offre a tutti gli utenti la cosiddetta crittografia end-to-end: in altre parole, i messaggi di WhatsApp sono cifrati e indecifrabili dal momento in cui lasciano il vostro smartphone al momento in cui arrivano su quello del destinatario (o quelli dei destinatari), e neanche WhatsApp può leggerli.

Questo crea in molti utenti una rischiosa illusione di sicurezza e anonimato che è meglio smontare, in modo da usare correttamente questi servizi di messaggistica tenendo conto dei loro limiti.

Il problema è spiegare come e quanto possono essere sfruttati i metadati: l’obiezione tipica è che se il contenuto di un messaggio o di una conversazione è segreto, non importa se qualcuno ha i suoi metadati. Per esempio, WhatsApp ha pieno accesso ai metadati dei messaggi degli utenti, ma cosa vuoi che se ne faccia? Sa che Mario e Rosa si sono parlati, ma non sa cosa si sono detti, no?

Un primo modo per spiegare meglio l’importanza dei metadati è chiamarli in maniera comprensibile. Come suggerisce Edward Snowden, provate a sostituire metadati con informazioni sulle attività.



Un altro modo è proporre degli esempi che facciano emergere il valore dei metadati, come fa la Electronic Frontier Foundation qui. Cito e traduco adattando al contesto italofono:

  • Loro sanno che hai chiamato una linea erotica alle 2:24 del mattino e hai parlato per 18 minuti. Ma non sanno di cosa hai parlato.
  • Loro sanno che hai chiamato il numero per la prevenzione dei suicidi mentre eri su un ponte. Ma l’argomento della conversazione resta segreto.
  • Loro sanno che hai parlato con un servizio che fa test per l’HIV, poi con il tuo medico e poi con il gestore della tua assicurazione sanitaria. Ma non sanno di cosa avete discusso.
  • Loro sanno che hai chiamato un ginecologo, gli hai parlato per mezz’ora, e poi hai chiamato il consultorio locale. Ma nessuno sa di cosa avete parlato.

In concreto, quali metadati (o meglio, quali informazioni sulle attività) raccoglie WhatsApp?

Secondo Romain Aubert (freeCodeCamp), WhatsApp accede a tutti i numeri della rubrica del vostro smartphone (vero: è nelle FAQ), e lo fa “in modo ricorrente” e includendo “sia quelli degli utenti dei nostri Servizi, sia quelli dei tuoi altri contatti” (fonte). WhatsApp inoltre raccoglie

il modello di hardware, informazioni sul sistema operativo, informazioni sul browser, l’indirizzo IP, informazioni sulle reti mobili compreso il numero di telefono, e gli identificatori del dispositivo. Se usi le nostre funzioni di localizzazione... raccogliamo informazioni sulla localizzazione del dispositivo [...]

(dalla privacy policy di WhatsApp)

Oltre a fare questa raccolta massiccia di metadati che riguarda circa un miliardo e mezzo di persone (dati Statista), per cui quello che non gli date voi se lo può sicuramente prendere dai vostri amici e contatti che usano l’app, WhatsApp ha un altro limite nell’uso della crittografia: il contenuto dei messaggi (testi, foto, conversazioni) viene conservato sul dispositivo senza protezioni, per cui se qualcuno ha accesso al vostro smartphone può leggere tutto, e questo è piuttosto ovvio: meno ovvio è che se qualcuno mette le mani sullo smartphone di uno qualsiasi dei vostri interlocutori può spiare la conversazione. Quindi la vostra riservatezza è determinata dal più sbadato dei vostri amici.

C’è anche la questione dei backup di WhatsApp, se li avete attivati: se il vostro smartphone è un Android, il backup (su Google Drive) non è cifrato e quindi è recuperabile. Se è un iPhone, invece, il backup (su iCloud) lo è.

Se preferite un’alternativa che raccolga molti meno metadati, c’è Signal: è open source, è gratuito (sostenuto dalle donazioni), è slegato dalle logiche di sorveglianza commerciale e raccoglie soltanto il vostro numero di telefonino e il giorno (non l’ora) della vostra ultima connessione ai loro server.

L’unico difetto di Signal è che tutti usano invece WhatsApp, ed è inutile avere un’app blindatissima se poi non la usa nessuno dei vostri amici. Però potreste provare a convincerli a usare entrambi.

7 commenti:

Christian Franzone ha detto...

C'è un sito di giornalismo investigativo che per le segnalazioni da smartphone accetta messaggi provenienti anche da Signal (e da WhatsApp stranamente).
https://www.icij.org/leak/

Anonimo ha detto...

Segnalo l'altrettanto interessante alternativa opensource a Whatsapp:
https://kontalk.org/

AmiC ha detto...

Paolo, come leggi la donazione che Brian Acton ha elargito alla Signal Foundation?

Luke ha detto...

Quattro pensieri/domande:
1) Dal punto di vista strettamente teorico, io potrei fare causa alla stragrande maggioranza delle persone che hanno il mio numero in rubrica in quanto non le ho mai autorizzate a dare il mio numero a Whatsapp.
2) Non essendoci motivazioni prettamente tecniche, ma solo di "comodità", Whatsapp potrebbe benissimo rendere facoltativo (e disabilitato all'installazione) l'invio di tutti i numeri ai loro server. Penso infatti che nessuno degli utenti Whatsapp abbia mai chiesto l'autorizzazione ai "non-whatsapp-user" per inviare il loro numero alla stessa Whatsapp, cosa obbligatoria in quanto per il trattamento del dato riservato (il numero di telefono) è necessario il consenso dell'interessato, almeno in Italia.
3) Bisognerebbe vedere poi quanto sia legale mettere l'informativa "L'utente conferma di essere autorizzato a fornirci tali numeri [ndr: quelli della propria rubrica]" sotto la sezione "Informazioni sull'account dell'utente", visto che la rubrica non costituisce informazione sullo speifico account utente...
4) Chi mi garantisce che Whatsapp prenda solo il numero e non anche le altre informazioni, e che non se le tenga da qualche parte per poterle utilizzare quando più le pare?

Qualcuno sa se c'è mai stata una class-action o qualche causa in cui fosse imputata Whatsapp?

Guido Pisano ha detto...

Paolo ma quanta ragione hai?
Io ho signal telegram e whatsapp...
Devo dire che signal lo usano DUE miei contatti?
Su telegram va un pochino meglio, arrivo a 20 ma per il resto wa la fa da padrone.
Purtroppo o faccio l'orso o mi adeguo...

Enio ha detto...

Telegram tantissimi..wz tanti, signal pochi.. ma disistallerò ex quindi chi vorrà parlarmi o usa uno dei due o ciao

J.N. ha detto...

è da tempo che sto pensando di tornare agli SMS. Ormai nei piani tariffari vengono inclusi a migliaia. L'unica cosa che mi frena è che al lavoro usiamo un gruppo whatsapp per comunicare...