La backdoor in WhatsApp che permette di intercettare i messaggi

Ma per Facebook non è un bug: è una feature.



[ZEUS News - www.zeusnews.it - 13-01-2017]

whatsapp backdoor falla crittografia

Quando ha introdotto la crittografia end-to-end, WhatsApp ha annunciato tutta orgogliosa di aver messo per sempre al riparo da occhi indiscreti i messaggi che i suoi utenti si scambiano.

Il ricercatore Tobias Boelter, dell'Università della California Berkeley, ha però scoperto che nella popolare app esiste da tempo una falla che permette di intercettare le comunicazioni.

Boelter, secondo quanto riporta il Guardian, non esita a parlare di backdoor e a commentare: «Se un'agenzia governativa chiedesse a WhatsApp di rivelare i messaggi, questa potrebbe fornire l'accesso».

Il problema sta nel modo in cui WhatsApp gestisce la chiavi usate per la crittografia.

L'app ha infatti la capacità di imporre a un dispositivo offline la generazione di nuove chiavi, ma senza segnalarlo all'utente. Quando poi il dispositivo torna online, i messaggi non spediti vengono nuovamente crittografati con le nuove chiavi, e quindi rispediti.

È questa attività automatica e silenziosa di ripetizione della criptazione e di ri-invio che, secondo Boelter, permette di intercettare i messaggi.

Boelter aveva già segnalato il problema a Facebook nello scorso aprile, ma le sue preoccupazioni erano state ignorate spiegando che quello di WhatsApp era esattamente il comportamento previsto.

Il motivo, come Facebook stessa ha ammesso, sta nella volontà di semplificare la vita degli utenti.

Signal, che usa il sistema crittografico sul quale quello di WhatsApp è basato, si comporta in modo diverso: se per qualche motivo cambiano le chiavi crittografiche mentre si è offline, i messaggi non spediti non vengono ri-criptati e ri-spediti automaticamente quando si torna online. Invece, detti messaggi vengono bloccati e un avviso segnala al mittente quanto è successo.

Sondaggio
Quale tra queste tecniche diffusamente utilizzate dagli hacker ti sembra la più pericolosa?
1. Violazione di password deboli: l'80% dei cyberattacchi si basa sulla scelta, da parte dei bersagli, di password deboli, non conformi alle indicazioni per scegliere una password robusta.
2. Attacchi di malware: un link accattivante, una chiave USB infetta, un'applicazione (anche per smartphone) che non è ciò che sembra: sono tutti sistemi che possono installare malware nei PC.
3. Email di phishing: sembrano messaggi provenienti da fonti ufficiali o personali ma i link contenuti portano a siti infetti.
4. Il social engineering è causa del 29% delle violazioni di sicurezza, con perdite per ogni attacco che vanno dai 25.000 ai 100.000 dollari e la sottrazione di dati.
5. Ransomware: quei programmi che "tengono in ostaggio" i dati dell'utente o un sito web finché questi non paga una somma per sbloccarli.

Mostra i risultati (2227 voti)
Leggi i commenti (7)

Facebook lascia però intendere che chi usa WhatsApp potrebbe spaventarsi scoprendo che certi messaggi non sono stati spediti e che sullo schermo c'è un avviso che informa del cambio di chiavi. Così è stato introdotto l'automatismo di ri-criptazione e ri-invio e, con esso, la backdoor.

La necessità di cambiare le chiavi d'altra parte non è tanto rara: oltre alla possibilità che capiti quando si è offline, essa si verifica ogni volta che si cambia il telefono o si reinstalla WhatsApp, situazioni che - come spiega Facebook - «in molte parti del mondo si verificano frequentemente».

«In questi casi, vogliamo essere sicuri he i messaggi siano spediti, e non vengano persi nella transizione» afferma ancora Facebook.

Per evitare di costringere gli utenti a ridigitare un messaggio che, se WhatsApp si comportasse come Signal, andrebbe perso oppure a leggere un avviso in cui si comunica che le chiavi sono cambiate, Facebook ha deciso di creare una piattaforma con una vulnerabilità degna della Morte Nera: un pertugio da cui chi sia dotato di sufficienti abilità e determinazione può fare seri danni, quantomeno alla privacy.

«Oltre un miliardo di persone usa WhatsApp perché è semplice, veloce, affidabile e sicuro» si difende l'azienda. «Quando abbiamo introdotto caratteristiche come la crittografia end-to-end, ci siamo concentrati sulla volontà di mantenere la semplicità del prodotto e abbiamo tenuto in considerazione il modo in cui è usato ogni giorno in tutto il mondo».

Tante parole, insomma, che in sostanza significano It's not a bug, it's a feature.

Ti invitiamo a leggere la pagina successiva di questo articolo:
Allarme WhatsApp, messaggi intercettabili? Un momento

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Allarme per messaggi-truffa su WhatsApp
UE: ''Facebook ci ha mentito su WhatsApp''
WhatsApp: cancellare i messaggi già spediti
Alternative a WhatsApp: Signal, ora anche su computer
WhatsApp attiva la crittografia ovunque

Commenti all'articolo (ultimi 5 di 13)

Da quello che capisco non si può nemmeno considerare un errore progettuale bensì una scelta legata ad una valutazione rischio/beneficio - opinabile quanto si vuole - ma comunque esaminata dai progettisti e da chi gestisce il prodotto che ha fatto una scelta che presenta una potenziale criticità a fronte di una semplificazione per la... Leggi tutto
22-1-2017 15:12

Ho omesso il fatto che la coppia di chiavi pubblica/privata viene usata solo inizialmente per scambiare su canale sicuro una terza chiave: la chiave simmetrica condivisa. Da quel momento in poi ogni messaggio in entrambe le direzioni sarà criptato con la chiave simmetrica e decriptato con la medesima (per questo si chiama simmetrica).... Leggi tutto
18-1-2017 08:48

@colemar Grazie 1k della spiegazione Quindi il titolo dell'articolo è "sbagliato" in quanto non è stata scoperta nessuna backdoor (che comunque non è da escludere, ma come hai già detto tu non è possibile controllare i sorgenti) P.s. Non l'ho scritto prima, e me ne scuso, ma personalmente non uso WhatsApp; ho chiesto lumi per... Leggi tutto
17-1-2017 19:48

@Cesco67 Proverò a speigarlo con parole mie. Premessa: hai un amico Mario Rossi a cui a volte mandi messaggi che preferiresti rimanessero riservati. Nota che tutti i messaggi che mandi a Mario vengono criptati con la sua chiave pubblica, che la tua app ha ricevuto e memorizzato la prima volta che hai aperto una chat con lui. La app di... Leggi tutto
17-1-2017 15:10

@colemar Siccome, purtroppo, non capisco l'inglese, potresti spiegare cosa è scritto nell'articolo che hai linkato? Grazie
17-1-2017 07:50

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Quale tra queste minacce all'ambiente ritieni che sia quella da affrontare con maggiore urgenza?
La drastica riduzione della biodiversità: alcune stime ritengono che oltre cento specie ogni giorno si estinguano, compromettendo l'ecosistema in maniera irreversibile.
L'assottigliamento della fascia dell'ozono che protegge dagli ultravioletti dannosi: l'utilizzo di certi materiali (come i CFC) assottiglia lo strato di ozono mettendo in pericolo l'intero pianeta.
I cambiamenti climatici: l'aumento della temperatura causato dai gas serra può portare all'innalzamento dei mari e ad altre catastrofi, come inondazioni, siccità e tempeste.
I rifiuti tossici: dai pesticidi agli erbicidi fino alle scorie nucleari, tutti questi scarti hanno effetti dannosi sull'ambiente per molti anni dopo la loro produzione, contaminando acqua, aria e terra (e tutto quanto vi cresce).
L'impoverimento degli oceani: la pesca eccessiva ha decimato la fauna ittica, colpendo in particolare i grandi pesci predatori. A questa si aggiungono i rifiuti (specialmente in plastica) scaricati negli oceani e l'aumento dell'acidità dei mari.

Mostra i risultati (1726 voti)
Settembre 2020
Veicolo autonomo investe e uccide; guidatore accusato di omicidio colposo
Il bug più serio mai scoperto in Windows
Bug in Immuni vanifica l'efficacia dell'app
Facebook ti paga se disattivi l'account
Amazon cancella 20.000 recensioni fake
Samsung brevetta lo smartphone completamente trasparente
L'app che abilita il God Mode in Windows 10
Intel, i Core di undicesima generazione sorpassano Amd
Windows 10 e il bug che deframmenta di continuo gli Ssd
Agosto 2020
Windows 10 rimuoverà automaticamente le app meno utilizzate
Malware negli smartphone a basso costo ruba dati e denaro
Duplicare una chiave col microfono dello smartphone
Chrome, Url troncati per combattere il phishing
Tim e Wind Tre, crescono le tariffe
Il chip nel cervello di Elon Musk
Tutti gli Arretrati


web metrics