La backdoor in WhatsApp che permette di intercettare i messaggi

Ma per Facebook non è un bug: è una feature.



[ZEUS News - www.zeusnews.it - 13-01-2017]

whatsapp backdoor falla crittografia

Quando ha introdotto la crittografia end-to-end, WhatsApp ha annunciato tutta orgogliosa di aver messo per sempre al riparo da occhi indiscreti i messaggi che i suoi utenti si scambiano.

Il ricercatore Tobias Boelter, dell'Università della California Berkeley, ha però scoperto che nella popolare app esiste da tempo una falla che permette di intercettare le comunicazioni.

Boelter, secondo quanto riporta il Guardian, non esita a parlare di backdoor e a commentare: «Se un'agenzia governativa chiedesse a WhatsApp di rivelare i messaggi, questa potrebbe fornire l'accesso».

Il problema sta nel modo in cui WhatsApp gestisce la chiavi usate per la crittografia.

L'app ha infatti la capacità di imporre a un dispositivo offline la generazione di nuove chiavi, ma senza segnalarlo all'utente. Quando poi il dispositivo torna online, i messaggi non spediti vengono nuovamente crittografati con le nuove chiavi, e quindi rispediti.

È questa attività automatica e silenziosa di ripetizione della criptazione e di ri-invio che, secondo Boelter, permette di intercettare i messaggi.

Boelter aveva già segnalato il problema a Facebook nello scorso aprile, ma le sue preoccupazioni erano state ignorate spiegando che quello di WhatsApp era esattamente il comportamento previsto.

Il motivo, come Facebook stessa ha ammesso, sta nella volontà di semplificare la vita degli utenti.

Signal, che usa il sistema crittografico sul quale quello di WhatsApp è basato, si comporta in modo diverso: se per qualche motivo cambiano le chiavi crittografiche mentre si è offline, i messaggi non spediti non vengono ri-criptati e ri-spediti automaticamente quando si torna online. Invece, detti messaggi vengono bloccati e un avviso segnala al mittente quanto è successo.

Sondaggio
Quale tra queste tecniche diffusamente utilizzate dagli hacker ti sembra la più pericolosa?
1. Violazione di password deboli: l'80% dei cyberattacchi si basa sulla scelta, da parte dei bersagli, di password deboli, non conformi alle indicazioni per scegliere una password robusta.
2. Attacchi di malware: un link accattivante, una chiave USB infetta, un'applicazione (anche per smartphone) che non è ciò che sembra: sono tutti sistemi che possono installare malware nei PC.
3. Email di phishing: sembrano messaggi provenienti da fonti ufficiali o personali ma i link contenuti portano a siti infetti.
4. Il social engineering è causa del 29% delle violazioni di sicurezza, con perdite per ogni attacco che vanno dai 25.000 ai 100.000 dollari e la sottrazione di dati.
5. Ransomware: quei programmi che "tengono in ostaggio" i dati dell'utente o un sito web finché questi non paga una somma per sbloccarli.

Mostra i risultati (2131 voti)
Leggi i commenti (7)

Facebook lascia però intendere che chi usa WhatsApp potrebbe spaventarsi scoprendo che certi messaggi non sono stati spediti e che sullo schermo c'è un avviso che informa del cambio di chiavi. Così è stato introdotto l'automatismo di ri-criptazione e ri-invio e, con esso, la backdoor.

La necessità di cambiare le chiavi d'altra parte non è tanto rara: oltre alla possibilità che capiti quando si è offline, essa si verifica ogni volta che si cambia il telefono o si reinstalla WhatsApp, situazioni che - come spiega Facebook - «in molte parti del mondo si verificano frequentemente».

«In questi casi, vogliamo essere sicuri he i messaggi siano spediti, e non vengano persi nella transizione» afferma ancora Facebook.

Per evitare di costringere gli utenti a ridigitare un messaggio che, se WhatsApp si comportasse come Signal, andrebbe perso oppure a leggere un avviso in cui si comunica che le chiavi sono cambiate, Facebook ha deciso di creare una piattaforma con una vulnerabilità degna della Morte Nera: un pertugio da cui chi sia dotato di sufficienti abilità e determinazione può fare seri danni, quantomeno alla privacy.

«Oltre un miliardo di persone usa WhatsApp perché è semplice, veloce, affidabile e sicuro» si difende l'azienda. «Quando abbiamo introdotto caratteristiche come la crittografia end-to-end, ci siamo concentrati sulla volontà di mantenere la semplicità del prodotto e abbiamo tenuto in considerazione il modo in cui è usato ogni giorno in tutto il mondo».

Tante parole, insomma, che in sostanza significano It's not a bug, it's a feature.

Ti invitiamo a leggere la pagina successiva di questo articolo:
Allarme WhatsApp, messaggi intercettabili? Un momento

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Allarme per messaggi-truffa su WhatsApp
UE: ''Facebook ci ha mentito su WhatsApp''
WhatsApp: cancellare i messaggi già spediti
Alternative a WhatsApp: Signal, ora anche su computer
WhatsApp attiva la crittografia ovunque

Commenti all'articolo (ultimi 5 di 13)

Da quello che capisco non si può nemmeno considerare un errore progettuale bensì una scelta legata ad una valutazione rischio/beneficio - opinabile quanto si vuole - ma comunque esaminata dai progettisti e da chi gestisce il prodotto che ha fatto una scelta che presenta una potenziale criticità a fronte di una semplificazione per la... Leggi tutto
22-1-2017 15:12

Ho omesso il fatto che la coppia di chiavi pubblica/privata viene usata solo inizialmente per scambiare su canale sicuro una terza chiave: la chiave simmetrica condivisa. Da quel momento in poi ogni messaggio in entrambe le direzioni sarà criptato con la chiave simmetrica e decriptato con la medesima (per questo si chiama simmetrica).... Leggi tutto
18-1-2017 08:48

@colemar Grazie 1k della spiegazione Quindi il titolo dell'articolo è "sbagliato" in quanto non è stata scoperta nessuna backdoor (che comunque non è da escludere, ma come hai già detto tu non è possibile controllare i sorgenti) P.s. Non l'ho scritto prima, e me ne scuso, ma personalmente non uso WhatsApp; ho chiesto lumi per... Leggi tutto
17-1-2017 19:48

@Cesco67 Proverò a speigarlo con parole mie. Premessa: hai un amico Mario Rossi a cui a volte mandi messaggi che preferiresti rimanessero riservati. Nota che tutti i messaggi che mandi a Mario vengono criptati con la sua chiave pubblica, che la tua app ha ricevuto e memorizzato la prima volta che hai aperto una chat con lui. La app di... Leggi tutto
17-1-2017 15:10

@colemar Siccome, purtroppo, non capisco l'inglese, potresti spiegare cosa è scritto nell'articolo che hai linkato? Grazie
17-1-2017 07:50

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Durante un lungo viaggio in treno o in aereo, che cosa preferisci fare?
Ascoltare la musica
Chiacchierare coi vicini
Dormire
Giocare (con il notebook, il tablet, lo smartphone ecc.)
Guardare un film o una serie Tv
Guardare il panorama... o le hostess
Lavorare al computer
Leggere un libro, o un ebook
Navigare su Internet (vale solo in treno)
Telefonare (vale solo in treno)

Mostra i risultati (2410 voti)
Novembre 2019
Falla nell'app fotocamera di Android, milioni di smartphone a rischio
Windows 10, iniziano gli aggiornamenti forzati
Facebook attiva di nascosto la fotocamera dell'iPhone
Apple, deciso in una riunione segreta il dispositivo che sostituirà l'iPhone
Bug in Firefox, truffatori già all'opera
Quattordicenne risolve il problema dei punti ciechi nelle auto
Ottobre 2019
Il grande database della cacca cerca volontari
Google, i domini .new diventano scorciatoie
Wind Tre, con l'anno nuovo aumentano le bollette
Omessa custodia del cellulare, sanzionata l'insegnante del post anti-Arma
Smartphone e batteria, con la modalità scura si risparmia davvero
Il Galaxy S10 si sblocca con qualsiasi impronta
Windows 7 a fine vita, Microsoft importuna coi pop-up
Linux, seria falla nel comando sudo
Il sistema operativo per sopravvivere all'Apocalisse
Tutti gli Arretrati


web metrics