Perché è pericoloso utilizzare WhatsApp
Pavel DurovData: 30 gennaio, 2020
Tradotto da fpoi.org
Qualche mese fa ho scritto a proposito di una backdoor (porta di servizio) di WhatsApp che permetteva agli hacker di accedere a tutti i dati su qualsiasi telefono con WhatsApp [1]. Facebook, la sua società madre, sosteneva all'epoca di non avere alcuna prova che il difetto fosse mai stato usato dagli aggressori [2].
La settimana scorsa è diventato chiaro che questa backdoor era stata sfruttata per estrarre le comunicazioni private e le foto di Jeff Bezos, la persona più ricca del pianeta, che purtroppo si è affidato a WhatsApp [3]. Poiché l'attacco sembrava provenire da un governo straniero, è probabile che siano stati presi di mira innumerevoli altri imprenditori e leader di governo [4].
Nel mio messaggio di novembre avevo previsto che sarebbe successo [5]. Adesso, le Nazioni Unite raccomandano ai propri funzionari di rimuovere WhatsApp dai loro dispositivi [6], mentre è stato consigliato di cambiare i propri telefoni alle persone vicine a Donald Trump [7].
Data la gravità della situazione, ci si aspetterebbe che Facebook/WhatsApp si scusasse e si impegnasse a non inserire backdoor nelle loro applicazioni in futuro. Invece, hanno annunciato che la colpa è di Apple, non di WhatsApp. Il vice presidente di Facebook ha affermato che iOS, piuttosto che WhatsApp, era stato violato da un hacker [8].
Se seguite il mio blog, sapete che non sono esattamente un fanboy della Apple [9]. I dispositivi iOS hanno un sacco di problemi legati alla privacy. Ma questo non era uno di loro, per due motivi:
1) La vulnerabilità "video corrotto" di WhatsApp era presente non solo su iOS, ma anche su dispositivi Android e persino Windows Phone. Cioè, su tutti i dispositivi mobili con WhatsApp installato.
2) Questo difetto di sicurezza non era presente in altre applicazioni di messaggistica su iOS. Se Jeff Bezos si fosse affidato a Telegram invece che a WhatsApp, non sarebbe stato ricattato da persone che hanno compromesso le sue comunicazioni [10].
Di conseguenza, il problema non era specifico di iOS, ma di WhatsApp.
Nel loro marketing, WhatsApp usa le parole "cifratura end-to-end" come un incantesimo magico che da solo dovrebbe rendere automaticamente sicure tutte le comunicazioni [11]. Tuttavia, questa tecnologia non è la chiave di volta che può garantire da sola la privacy assoluta.
Telegram ha attivito la crittografia end-to-end per la comunicazione di massa anni prima che WhatsApp seguisse l'esempio, e abbiamo tenuto conto non solo dei punti di forza, ma anche dei limiti di questa tecnologia. Altri aspetti di un'applicazione di messaggistica possono rendere inutile la crittografia end-to-end. Di seguito sono riportati tre esempi di ciò che può andare storto.
Primo, ci sono i backup. Gli utenti non vogliono perdere le loro chat quando cambiano dispositivo, quindi fanno il backup delle chat in servizi come iCloud, spesso senza rendersi conto che i loro backup non sono cifrati. Il fatto che Apple sia stata costretta dall'FBI ad abbandonare i piani di cifratura per iCloud è una conferma [12]. Questo è uno dei motivi per cui Telegram non si affida mai ai backup in cloud di terze parti, e le chat segrete non vengono mai sottoposte a backup da nessuna parte.
Secondo, ci sono delle backdoor. Le agenzie di sicurezza non sono troppo contente della crittografia e costringono gli sviluppatori di applicazioni a installare segretamente le vulnerabilità nelle loro applicazioni. Lo so perché siamo stati contattati da alcuni di loro e ci siamo rifiutati di collaborare. Di conseguenza, Telegram è proibito in alcuni paesi dove WhatsApp non ha problemi con le autorità, soprattutto in Russia e Iran [13].
Le backdoor sono di solito camuffate da difetti di sicurezza "accidentali". Solo nell'ultimo anno, 12 di questi difetti sono stati trovati in WhatsApp. Sette di queste erano critiche, come quella che ha colpito Jeff Bezos [14]. Qualcuno potrebbe dirvi che WhatsApp è ancora "molto sicuro" nonostante abbia 7 backdoor esposte negli ultimi 12 mesi, ma questo è statisticamente improbabile. Telegram, un'applicazione usata da centinaia di milioni di persone, tra cui capi di stato e grandi aziende, non ha avuto problemi di questa gravità negli ultimi 6 anni.
Terzo, ci sono difetti nell'implementazione della crittografia. Come si può essere sicuri che la crittografia che WhatsApp dichiara di utilizzare sia quella effettivamente implementata nelle proprie applicazioni? Il loro codice sorgente è nascosto e i binari delle applicazioni sono offuscati, rendendole difficili da analizzare. Al contrario, le applicazioni Telegram sono open source (sorgente aperto) e la loro crittografia è completamente documentata dal 2013. Telegram supporta le build verificabili sia per iOS che per Android - il che significa che chiunque può assicurarsi che il codice sorgente su GitHub e l'applicazione Telegram che si scarica siano la stessa cosa [15]. Nessun altra applicazione di messaggistica lo sta facendo per entrambi i sistemi operativi mobili e ciascuno potrebbe iniziare a chiedersi il motivo.
Non lasciatevi ingannare dall'equivalente tecnologico dei maghi del circo, che vorrebbero concentrare la vostra attenzione su un aspetto isolato, mentre eseguono i loro trucchi altrove. Vogliono che pensiate alla crittografia end-to-end come l'unica cosa che dovete guardare per la privacy. La realtà è molto più complicata.
Qualcuno potrebbe dire che, come fondatore di un'app rivale, posso essere di parte quando critico WhatsApp. Certo che lo sono. Naturalmente considero le chat segrete di Telegram molto più sicure di qualsiasi altro mezzo di comunicazione concorrente - per quale altro motivo dovrei sviluppare e utilizzare Telegram?
Tuttavia, le affermazioni di questo messaggiot si basano su fatti, non su preferenze personali. E, proprio come il codice delle applicazioni Telegram, questi fatti sono verificabili e ulteriormente supportati dalle fonti di terze parti qui sotto. Quando si tratta di sicurezza, nessuno dovrebbe dare per scontata la parola di qualcuno.
Fonti
[1] Techspot: Hackers can use a WhatsApp flaw in the way it handles video to take control of your phone – 19 novembre, 2019
[2] ZDNet: Attackers using WhatsApp MP4 video files vulnerability can remotely execute code – 18 novembre, 2019
[3] Popular Mechanics: How Jeff Bezos Got Hacked on WhatsApp—and How It Could Happen to You – 26 gennaio 26, 2020
[4] Forbes: If Jeff Bezos’ iPhone Can Be Hacked Over WhatsApp, So Can Yours – 22 gennaio, 2020
[5] Pavel Durov: A New Backdoor Was Quietly Found In WhatsApp – 20 novembre, 2019
[6] Reuters: U.N. says officials barred from using WhatsApp since June 2019 over security – 23 gennaio, 2020
[7] CNN: UN expert recommends Kushner change his phone after suspected Saudi hack – 23 gennaio, 2020
[8] Gizmodo: Facebook Gives Unintelligible Response to Jeff Bezos Hack, Deciding to Blame iOS – 26 gennaio, 2020
[9] Pavel Durov: iCloud Is Now Officially a Surveillance Tool – 21 gennaio, 2020
[10] Jeff Bezos: No thank you, Mr. Pecker – 7 febbraio, 2020
[11] BBC Radio 4: We're as sure as you can be that the technology of end-to-end encryption cannot be hacked into: Facebook’s Nick Clegg – 24 gennaio, 2020
[12] Reuters: Apple dropped plan for encrypting backups after FBI complained – 21 gennaio, 2020
[13] (a) The Verge: Russia orders immediate block of Telegram messaging app – 13 aprile, 2018
(b) New York Times: Russian Court Bans Telegram App After 18 Minute Hearing – 13 aprile, 2018
[14] Business Insider: WhatsApp disclosed 12 security flaws last year, including 7 classified as 'critical,' after Jeff Bezos phone was reportedly hacked – 28 gennaio, 2020
[15] Telegram: Verifiable Builds, New Theme Editor, Send When Online and So Much More – 31 dicembre, 2019