Perché WhatsApp non sarà mai sicuro
Pavel DurovData: 15 maggio, 2019
Tradotto da fpoi.org
Il mondo sembra essere sconvolto dalla notizia che WhatsApp ha trasformato qualsiasi telefono in uno spyware. Tutto sul tuo telefono, incluse foto, e-mail e testi, potrebbe essere stato accessibile agli aggressori solo perché WhatsApp è stato installato [1].
Questa notizia non mi ha sorpreso. L’anno scorso WhatsApp ha dovuto ammettere di aver avuto un problema molto simile, una singola videochiamata poteva bastare ad un hacker per ottenere l’accesso ai dati dell’intero telefono [2].
Ogni volta che WhatsApp corregge una vulnerabilità critica nella propria applicazione, ecco apparirne una nuova. Tutti i loro problemi di sicurezza, guarda caso, sembrano pensati per la sorveglianza e hanno un funzionamento simile alle backdoor (porta sul retro).
A differenza di Telegram, WhatsApp non è open source (sorgente aperto), quindi non c’è modo per un ricercatore di sicurezza di controllare facilmente se esistono backdoor nel suo codice. Non solo WhatsApp non pubblica il suo codice, ma fa esattamente l’opposto: oscura deliberatamente il codice binario delle proprie applicazioni per assicurarsi che nessuno sia in grado di studiarlo a fondo.
WhatsApp e la sua società madre Facebook potrebbero persino essere obbligati a implementare backdoor, tramite processi segreti come le ordinanze restrittive dell’FBI [3]. Non è facile eseguire un’applicazione di comunicazione protetta negli Stati Uniti. Nella settimana nella quale il nostro team è rimasto negli Stati Uniti nel 2016, ha subito tre tentativi di infiltrazione da parte dell’FBI [4] [5]. Immagina che pressioni e richieste può ricevere un’azienda americana, in 10 anni, in quell'ambiente.
Le agenzie di sicurezza usano l'antiterrorismo per giustificare l'inserimento di backdoor. Il problema è che queste backdoor possono essere usate anche da criminali e governi autoritari. Non c’è da meravigliarsi se i dittatori sembrano amare WhatsApp: la sua mancanza di sicurezza consente loro di spiare il loro popolo, quindi WhatsApp continua a essere liberamente disponibile in luoghi come Russia o Iran, dove Telegram è stato bandito dalle autorità [6].
Infatti, ho iniziato a lavorare su Telegram come risposta diretta alla pressione personale delle autorità russe. All’epoca, nel 2012, WhatsApp trasferiva ancora in chiaro i messaggi. Una cosa da pazzi. Non solo i governi o gli hacker, ma anche i gestori di telefonia mobile e gli amministratori di reti WiFi potevano avere accesso a tutti i testi di WhatsApp [7] [8].
Successivamente WhatsApp ha aggiunto un po' di crittografia, elemento che si è rivelato rapidamente uno stratagemma di marketing: la chiave per decodificare i messaggi era disponibile per diversi governi, inclusi i russi [9]. Poi, mentre Telegram iniziava a guadagnare popolarità, i fondatori di WhatsApp vendettero la loro azienda a Facebook e dichiararono che “la riservatezza era nel loro DNA” [10]. Se fosse stato vero, doveva essere un gene dormiente o recessivo.
3 anni fa WhatsApp ha annunciato di aver implementato la crittografia end-to-end in modo che “nessuna terza parte possa accedere ai messaggi”. Questo ha coinciso con una spinta aggressiva che invitava tutti gli utenti ad eseguire il backup delle chat nel cloud. Quando ha spinto verso questa scelta, WhatsApp non ha comunicato agli utenti che, una volta eseguito il backup, i messaggi non sarebbero più stati protetti dalla crittografia end-to-end, ma sarebbero stati accessibili agli hacker e alle forze dell’ordine [11]. Per un marketing brillante, alcune persone ingenue ora stanno scontando pene in prigione [12].
Gli utenti di WhatsApp abbastanza resistenti da non farsi abbindolare dai popup continui che dicono loro di eseguire il backup delle loro chat possono ancora essere tracciati con una serie di trucchi, dall'accesso ai backup dei loro contatti alle modifiche invisibili della chiave di crittografia [13]. I metadati generati dagli utenti di WhatsApp, registri che descrivono chi chatta con chi e quando, vengono fatti trapelare a tutti i tipi di agenzie in grandi volumi dalla società madre di WhatsApp [14].
WhatsApp ha una storia coerente, da nessuna crittografia all'inizio fino a una serie di problemi di sicurezza stranamente adatti a scopi di sorveglianza. Guardando indietro, non c’è stato un solo giorno nel percorso di 10 anni di WhatsApp in cui questo servizio sia stato sicuro. Ecco perché non penso che solo l’aggiornamento dell’applicazione mobile di WhatsApp possa renderla sicura. Perché WhatsApp diventi un servizio orientato alla riservatezza, deve rischiare di perdere interi mercati e scontrarsi con le autorità del proprio paese d’origine. Non sembrano essere pronti per tutto ciò [15].
L’anno scorso i fondatori di WhatsApp hanno lasciato l’azienda per le preoccupazioni sulla privacy degli utenti [16]. Sono sicuramente vincolati da accordi di non divulgazione o NDA (accordo di non divulgazione), quindi non sono in grado di parlare apertamente delle backdoor senza rischiare di perdere la loro fortuna e la loro libertà. Hanno ad ogni modo ammesso di aver “venduto la privacy dei loro utenti” [17].
Capisco la riluttanza dei fondatori di WhatsApp a fornire maggiori dettagli, non è facile mettere a repentaglio la proprio comodità. Diversi anni fa ho dovuto lasciare il mio paese dopo aver rifiutato di ottemperare alle richieste del governo che mi chiedeva di violare la privacy degli utenti di VK [18]. Non è stato piacevole. Lo rifarei? Volentieri. Ognuno di noi prima o poi morirà, ma noi, come specie, resteremo per un po'. Ecco perché penso che accumulare denaro, fama o potere sia irrilevante. Servire l’umanità è l’unica cosa che conta davvero nel lungo periodo.
Eppure, nonostante le nostre intenzioni, sento che abbiamo deluso l'umanità in tutta questa faccenda dello spyware WhatsApp. Molte persone non possono smettere di usare WhatsApp, perché i loro amici e la loro famiglia ci sono ancora dentro. Questo significa che noi di Telegram abbiamo fatto un pessimo lavoro nel convincere le persone a cambiare. Anche se abbiamo attirato centinaia di milioni di utenti negli ultimi cinque anni, questo non è stato sufficiente. La maggior parte degli utenti di Internet è ancora tenuta in ostaggio dall'impero di Facebook/WhatsApp/Instagram. Molti di coloro che usano Telegram sono anche su WhatsApp, questo significa che i loro telefoni sono ancora vulnerabili. Anche quelli che hanno abbandonato completamente WhatsApp probabilmente stanno ancora usando Facebook o Instagram, entrambi pensano che sia giusto memorizzare le password in chiaro [19] [20] (non riesco ancora a credere che una società tecnologica possa fare una cosa del genere e farla franca).
In quasi 6 anni di esistenza, Telegram non ha avuto grandi fughe di dati o difetti di sicurezza del tipo che WhatsApp dimostra ogni pochi mesi. Negli stessi 6 anni, abbiamo rivelato esattamente zero byte di dati a terzi, mentre Facebook/WhatsApp ha condiviso praticamente tutto con tutti coloro che sostenevano di lavorare per un governo [13].
Poche persone al di fuori della comunità dei fan di Telegram si rendono conto che la maggior parte delle nuove funzionalità di messaggistica appaiono prima su Telegram e poi vengono copiate da WhatsApp fino ai minimi dettagli. Più recentemente stiamo assistendo al tentativo di Facebook di prendere in prestito l'intera filosofia di Telegram, con Zuckerberg che improvvisamente dichiara l'importanza della privacy e della velocità, praticamente citando parola per parola la descrizione dell'app di Telegram nel suo discorso F8.
Tuttavia, lamentarsi dell'ipocrisia e della mancanza di creatività di Facebook non aiuterà. Dobbiamo ammettere che Facebook sta attuando una strategia efficiente. Guardate cosa hanno fatto a Snapchat [21].
Noi di Telegram dobbiamo riconoscere la nostra responsabilità nel determinare il futuro. Siamo noi contro il monopolio di Facebook. È una scelta tra libertà e privacy o tra avidità e ipocrisia. La nostra squadra è in competizione con Facebook da 13 anni. Li abbiamo già battuti una volta, nel mercato dei social network dell'Europa dell'Est [22]. Li batteremo di nuovo nel mercato globale della messaggistica. Dobbiamo farlo.
Non sarà facile. Il reparto marketing di Facebook è enorme. Noi di Telegram, invece, facciamo zero marketing. Non vogliamo pagare giornalisti e ricercatori per raccontare al mondo Telegram. Per questo, ci affidiamo a voi, milioni dei nostri utenti. Se ti piace abbastanza Telegram, lo racconterai ai tuoi amici. E se ogni utente di Telegram convince 3 dei suoi amici a cancellare WhatsApp e a passare definitivamente a Telegram, Telegram sarà già più popolare di WhatsApp.
L'era dell'avidità e dell'ipocrisia finirà. Inizierà un'era di libertà e privacy. È molto più vicino di quanto sembri.
Riferimenti
[1] Business Insider WhatsApp was hacked and attackers installed spyware on people’s phones – 15 maggio, 2019
[2] Security Today WhatsApp Bug Allowed Hackers to Hijack Accounts – 12 ottobre, 2018
[3] Wikipedia Gag order – United States
[4] Neowin FBI asked Durov and developer for Telegram backdoor – 19 settembre, 2017
[5] The Baffler The Crypto-Keepers – 17 settembre, 2017
[6] New York Times What Is Telegram, and Why Are Iran and Russia Trying to Ban It? – 2 maggio, 2018
[7] YourDailyMac Whatsapp leaks usernames, telephone numbers and messages – 19 maggio, 2011
[8] The H Security Sniffer tool displays other people's WhatsApp messages – 13 maggio, 2012
[9] FilePerms WhatsApp is broken, really broken – 12 settembre, 2012
[10] International Business Times Respect for Privacy Is Coded Into WhatsApp's DNA: Founder Jan Koum – 18 marzo, 2014
[11] Independent WhatsApp Update Brings Backups That Are Not Encrypted and So Could Allow People to Read Messages – 28 agosto, 2018
[12] Slate How Did the FBI Access Paul Manafort’s Encrypted Messages? – 5 giugno, 2018
[13] AppleInsider WhatsApp backdoor defeats end-to-end encryption, potentially allows Facebook to read messages – 13 gennaio, 2017
[14] Forbes Forget About Backdoors, This Is The Data WhatsApp Actually Hands To Cops – 22 gennaio, 2017
[15] New York Times Facebook Said to Create Censorship Tool to Get Back Into China – 22 novembre, 2016
[16] The Verge WhatsApp co-founder Jan Koum is leaving Facebook after clashing over data privacy – 30 aprile, 2018
[17] CNET WhatsApp co-founder: 'I sold my users' privacy' with Facebook acquisition – 25 settembre, 2018
[18] New York Times Once celebrated in Russia, programmer Pavel Durov chooses exile – 2 dicembre, 2014
[19] TechCrunch Facebook admits it stored ‘hundreds of millions’ of account passwords in plaintext – 21 marzo, 2019
[20] Engadget Facebook stored millions of Instagram passwords in plain text – 18 aprile, 2019
[21] Vanity Fair Snapchat is doing so badly, the feds are getting involved – 14 novembre, 2018
[22] HuffPost Vkontakte, Facebook Competitor In Russia, Dominates – 26 ottobre, 2012