WhatsApp sta chiudendo una lacuna di sicurezza importante e spesso trascurata: le comunicazioni fatte con questo sistema di messaggistica, che è di proprietà di Facebook, sono protette contro le intercettazioni abusive dalla crittografia end-to-end, ma i backup di queste comunicazioni non lo sono affatto.
Questo consente di recuperare le comunicazioni se si riesce a mettere le mani su uno di questi backup, salvati per esempio su Google Drive per i dispositivi Android o su iCloud per i dispositivi Apple. Se qualcuno vi ruba le password dell’account Google o iCloud, ha accesso a tutto quello che avete scritto su WhatsApp, se l’avete salvato in questi backup in cloud, come WhatsApp chiede insistentemente di fare.
La settimana scorsa Mark Zuckerberg ha
annunciato
su Facebook che gli utenti prossimamente potranno scegliere di crittografare
anche questi backup. Ha anche precisato che Facebook ha pubblicato un
white paper, un documento tecnico intitolato
Security of End-To-End Encrypted Backups, che descrive dettagliatamente come è stata realizzata questa funzione.
Cybersecurity360 spiega (in italiano) il funzionamento di questi backup cifrati: WhatsApp chiederà di “salvare una chiave di crittografia a 64 bit o di creare una password associata alla chiave”. La chiave verrà memorizzata “in un modulo fisico di sicurezza hardware (HSM, Hardware Security Module) che agisce come una cassetta di sicurezza e può essere sbloccato solo utilizzando la password corretta. WhatsApp sa solo che esiste una chiave in un HSM, non la chiave stessa o la password associata per sbloccarla.”
The Register nota che non è la prima volta che WhatsApp offre crittografia dei backup: lo aveva già fatto anni fa per i backup su iCloud, ma il metodo usato aveva un difetto che lo rendeva attaccabile usando una SIM avente lo stesso numero di quella della vittima.
Vedremo come andranno le cose questa volta, ma bisogna ricordare che ogni comunicazione ha almeno due partecipanti, e questo vuol dire che voi potete essere diligentissimi nella protezione dei vostri messaggi, ma se uno solo dei vostri interlocutori non è altrettanto diligente, è tutto inutile e i messaggi saranno comunque accessibili a un aggressore sufficientemente deciso. La cosa più semplice, in molti, casi, è semplicemente non avere backup di messaggi. Meglio ancora, non usare queste applicazioni per comunicazioni riservate.
Nessun commento:
Posta un commento
Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.