Quando ha introdotto la crittografia end-to-end, WhatsApp ha annunciato tutta orgogliosa di aver messo per sempre al riparo da occhi indiscreti i messaggi che i suoi utenti si scambiano.

Il ricercatore Tobias Boelter, dell'Università della California Berkeley, ha però scoperto che nella popolare app esiste da tempo una falla che permette di intercettare le comunicazioni.

Boelter, secondo quanto riporta il Guardian, non esita a parlare di backdoor e a commentare: «Se un'agenzia governativa chiedesse a WhatsApp di rivelare i messaggi, questa potrebbe fornire l'accesso».

Ti raccomandiamo anche:

WhatsApp, i messaggi crittografati non sono poi così privati

Cellebrite attacca Signal, il creatore di Signal rende tossico Cellebrite

Allarme per messaggi-truffa su WhatsApp

UE: ''Facebook ci ha mentito su WhatsApp''

Il problema sta nel modo in cui WhatsApp gestisce la chiavi usate per la crittografia.

L'app ha infatti la capacità di imporre a un dispositivo offline la generazione di nuove chiavi, ma senza segnalarlo all'utente. Quando poi il dispositivo torna online, i messaggi non spediti vengono nuovamente crittografati con le nuove chiavi, e quindi rispediti.

È questa attività automatica e silenziosa di ripetizione della criptazione e di ri-invio che, secondo Boelter, permette di intercettare i messaggi.

Boelter aveva già segnalato il problema a Facebook nello scorso aprile, ma le sue preoccupazioni erano state ignorate spiegando che quello di WhatsApp era esattamente il comportamento previsto.

Il motivo, come Facebook stessa ha ammesso, sta nella volontà di semplificare la vita degli utenti.

Signal, che usa il sistema crittografico sul quale quello di WhatsApp è basato, si comporta in modo diverso: se per qualche motivo cambiano le chiavi crittografiche mentre si è offline, i messaggi non spediti non vengono ri-criptati e ri-spediti automaticamente quando si torna online. Invece, detti messaggi vengono bloccati e un avviso segnala al mittente quanto è successo.

Facebook lascia però intendere che chi usa WhatsApp potrebbe spaventarsi scoprendo che certi messaggi non sono stati spediti e che sullo schermo c'è un avviso che informa del cambio di chiavi. Così è stato introdotto l'automatismo di ri-criptazione e ri-invio e, con esso, la backdoor.

La necessità di cambiare le chiavi d'altra parte non è tanto rara: oltre alla possibilità che capiti quando si è offline, essa si verifica ogni volta che si cambia il telefono o si reinstalla WhatsApp, situazioni che - come spiega Facebook - «in molte parti del mondo si verificano frequentemente».

«In questi casi, vogliamo essere sicuri he i messaggi siano spediti, e non vengano persi nella transizione» afferma ancora Facebook.

Per evitare di costringere gli utenti a ridigitare un messaggio che, se WhatsApp si comportasse come Signal, andrebbe perso oppure a leggere un avviso in cui si comunica che le chiavi sono cambiate, Facebook ha deciso di creare una piattaforma con una vulnerabilità degna della Morte Nera: un pertugio da cui chi sia dotato di sufficienti abilità e determinazione può fare seri danni, quantomeno alla privacy.

«Oltre un miliardo di persone usa WhatsApp perché è semplice, veloce, affidabile e sicuro» si difende l'azienda. «Quando abbiamo introdotto caratteristiche come la crittografia end-to-end, ci siamo concentrati sulla volontà di mantenere la semplicità del prodotto e abbiamo tenuto in considerazione il modo in cui è usato ogni giorno in tutto il mondo».

Tante parole, insomma, che in sostanza significano It's not a bug, it's a feature.

Ti invitiamo a leggere la pagina successiva di questo articolo:
Allarme WhatsApp, messaggi intercettabili? Un momento