Perché devi smettere di usare Whatsapp
@sergiobhLibera traduzione del post di Pavel Durov del 15 maggio 2019 a seguito del problema di sicurezza di Whatsapp (https://telegra.ph/Why-WhatsApp-Will-Never-Be-Secure-05-15)
rivista e corretta da me (fonte: https://www.macitynet.it/whatsapp-non-sara-mai-app-sicura/)
Pavel Durov ceo di telegram
“Il mondo sembra essere sconvolto dalla notizia che WhatsApp ha trasformato qualsiasi telefono in uno strumento spyware. Tutto sul tuo telefono, incluse foto, e-mail e testi, è stato accessibile ai possibili spioni solo perché WhatsApp è stato installato [1].
Questa notizia non mi ha sorpreso: l’anno scorso, WhatsApp ha dovuto ammettere di aver avuto un problema molto simile: una singola videochiamata poteva bastare ad un hacker per ottenere l’accesso ai dati dell’intero telefono [2].
Ogni volta che WhatsApp corregge una vulnerabilità critica nella propria app, ecco apparirne una nuova . Tutti i loro problemi di sicurezza, guarda caso, sembrano pensati per la sorveglianza, ed hanno un funzionamento simile alle backdoor (falle lasciate volontariamente aperte per permettere l'accesso senza autorizzazione - ndr).
A differenza di Telegram, WhatsApp non è open source (le istruzioni con cui è scritto il programma sono disponibili a tutti -ndr), quindi non c’è modo per un ricercatore di sicurezza di controllare facilmente se esistono backdoor nel suo codice. Non solo WhatsApp non pubblica il suo codice, ma fa esattamente l’opposto: oscura deliberatamente il codice binario delle proprie app (il codice che viene eseguito dal dispositivo - ndr) per assicurarsi che nessuno sia in grado di studiarlo a fondo.
WhatsApp e la sua società madre Facebook potrebbero persino essere obbligati a implementare backdoor – tramite processi segreti come le ordinanze restrittive dell’FBI [3]. Non è facile eseguire un’applicazione di comunicazione protetta negli Stati Uniti. Nella settimana nella quale il nostro team è rimasto negli Stati Uniti nel 2016, ha subito tre tentativi di infiltrazione da parte dell’FBI [4] [5]. Immagina che pressioni e richieste può ricevere un’azienda americana, in 10 anni, in quell’ambiente.
Capisco che i servizi di sicurezza giustifichino l’inserimento di backdoor nell’ambito di iniziative per sforzi anti-terrorismo. Il problema è che queste backdoor possono essere usate anche da criminali e governi autoritari. Non c’è da meravigliarsi se i dittatori sembrano amare WhatsApp. La sua mancanza di sicurezza consente loro di spiare il loro popolo, quindi WhatsApp continua a essere liberamente disponibile in luoghi come Russia o Iran, dove Telegram è stato bandito dalle autorità [6].
Infatti, ho iniziato a lavorare su Telegram come risposta diretta alla pressione personale delle autorità russe. All’epoca, nel 2012, WhatsApp trasferiva ancora in chiaro i messaggi (senza crittografia, non protetti - ndr). Una cosa da pazzi. Non solo i governi o gli hacker, ma anche i gestori di telefonia mobile e gli amministratori di reti wi-fi potevano avere accesso a tutti i testi di WhatsApp [7] [8].
Successivamente WhatsApp ha aggiunto un po’ di crittografia, elemento che si è rivelato rapidamente uno stratagemma di marketing: la chiave per decodificare i messaggi era disponibile per diversi governi, inclusi i russi [9]. Poi, mentre Telegram iniziava a guadagnare popolarità, i fondatori di WhatsApp vendettero la loro azienda a Facebook e dichiararono che “la privacy era nel loro DNA” [10]. Se fosse stato vero, doveva essere un gene dormiente o recessivo.
Tre anni fa WhatsApp ha annunciato di aver implementato la crittografia end-to-end in modo che “nessuna terza parte possa accedere ai messaggi”. Ha coinciso con una spinta aggressiva che invitava tutti gli utenti ad eseguire il backup delle chat nel cloud (Google drive/iCLoud). Quando ha spinto verso questa scelta, WhatsApp non ha comunicato agli utenti che, una volta eseguito il backup, i messaggi non sarebbero più stati protetti dalla crittografia end-to-end, ma sarebbero stati accessibili agli hacker e alle forze dell’ordine. Per un marketing brillante, alcune persone ingenue ora stanno scontando pene in prigione [11].
Quelli abbastanza intelligenti da non farsi abbindolare dai pop-up continui che dicono loro di eseguire il backup delle loro chat possono ancora essere tracciati con una serie di trucchi: dall’accesso ai backup dei loro contatti alle modifiche invisibili della chiave di crittografia [12]. I metadati generati dai log di utenti di WhatsApp che descrivono con chi e quando chattano, sono stati trasferiti ad ogni tipo di agenzia in grandi quantità, direttamente dalla società madre di WhatsApp [13]. Oltre a ciò, c’è un mix di vulnerabilità critiche che si susseguono l’una dopo l’altra.
WhatsApp ha una storia coerente – dalla crittografia nulla all’inizio fino a una serie di problemi di sicurezza stranamente adatti a scopi di sorveglianza. Guardando indietro, non c’è stato un solo giorno nel percorso di 10 anni di WhatsApp in cui questo servizio sia stato sicuro. Ecco perché non penso che solo l’aggiornamento dell’app mobile di WhatsApp possa renderla sicura. Perché WhatsApp diventi un servizio orientato alla privacy, deve rischiare di perdere interi mercati e scontrarsi con le autorità del proprio paese d’origine. Non sembrano essere pronti per tutto ciò [14].
L’anno scorso i fondatori di WhatsApp hanno lasciato l’azienda per le preoccupazioni sulla privacy degli utenti [15]. Sono sicuramente vincolati da accordi di non divulgazione o NDA (accordo di non divulgazione), quindi non sono in grado di parlare apertamente delle backdoor presenti, senza rischiare di perdere patrimoni e la loro libertà. Hanno ad ogni modo ammesso di aver “venduto la privacy dei loro utenti” [16].
Capisco la riluttanza dei fondatori di WhatsApp a fornire maggiori dettagli: non è facile mettere a repentaglio il proprio confort. Diversi anni fa ho dovuto lasciare il mio paese dopo aver rifiutato di ottemperare alle richieste del governo, che mi chiedeva di violare la privacy degli utenti di VKontakte [17]. Non è stato piacevole. Lo rifarei? Volentieri. Prima o poi tutti muoiamo, ma noi, come specie, resteremo per un po’. Ecco perché penso che accumulare denaro, fama o potere sia irrilevante. Servire l’umanità è l’unica cosa che conta davvero nel lungo periodo.
Eppure, nonostante le nostre intenzioni, sento che deluderemo l’umanità con tutta questa storia di spyware su WhatsApp. Un sacco di persone non possono smettere di usare WhatsApp, perché i loro amici e la loro famiglia lo utilizza. Significa che noi di Telegram abbiamo non abbiamo fatto un buon lavoro nel persuadere le persone a cambiare.
Negli ultimi cinque anni abbiamo attirato centinaia di milioni di utenti ma questo non è abbastanza. La maggior parte degli utenti di Internet sono ancora tenuti in ostaggio dall’impero Facebook / WhatsApp / Instagram.
Molti di coloro che usano Telegram sono anche su WhatsApp, ovvero i loro telefoni sono ancora vulnerabili. Lo sono anche quelli che hanno abbandonato WhatsApp completamente, ma che utilizzando Facebook o Instagram: entrambi le app pensano che vada bene memorizzare le password in chiaro, non crittografate [18] [19] : non riesco ancora a credere che un’azienda tecnologica possa fare qualcosa del genere e ottenere accesso ai dati degli utenti con uno stratagemma simile.
In quasi 6 anni di esistenza, Telegram non ha avuto alcuna perdita di dati o problemi di sicurezza: in WhatsApp si verifica puntualmente a distanza di qualche mese. Negli stessi 6 anni, Telegram ha fornito zero byte di dati a terze parti, mentre Facebook/WhatsApp hanno condiviso praticamente tutto, con tutti coloro che sostenevano di lavorare per il governo [13].
Poche persone al di fuori della community dei fan di Telegram comprendono che la maggior parte delle nuove funzionalità dei messaggi appaiono per la prima volta su Telegram e successivamente copiati su WhatsApp. Di recente stiamo assistendo al tentativo di Facebook di prendere in prestito l’intera filosofia di Telegram, con Zuckerberg che, improvvisamente, dichiara l’importanza della privacy e della velocità, citando praticamente la descrizione dell’app di Telegram parola per parola nel suo discorso a F8 (la conferenza degli sviluppatori di Facebook n.d.r.).
Ma lamentarsi dell’ipocrisia di FB e della mancanza di creatività non aiuta. Dobbiamo ammetterlo: Facebook sta portando avanti una strategia efficiente. Guardate cosa hanno fatto a Snapchat [20].
Noi di Telegram dobbiamo riconoscere la nostra responsabilità nel determinare il futuro. Ci siamo noi contro il monopolio di Facebook. È una scelta tra libertà e privacy o tra avidità e ipocrisia. La nostra squadra è stata in competizione con Facebook negli ultimi 13 anni. Li abbiamo già battuti una volta, nel mercato dei social network dell’Europa orientale [21]. Li batteremo ancora dentro il mercato globale della messaggistica. Dobbiamo farlo.
Non sarà facile. Il reparto marketing di Facebook è enorme. Noi di Telegram facciamo zero marketing. Non vogliamo pagare giornalisti e ricercatori per raccontare al mondo cosa fa Telegram.
Per questo, ci affidiamo a te, ai milioni di nostri utenti. Se Telegram ti piace abbastanza, dillo ai tuoi amici. E se ogni utente di Telegram convince tre dei suoi amici a cancellare WhatsApp e spostarsi permanentemente su Telegram, Telegram sarà già più popolare di WhatsApp. L’epoca dell’avidità e dell’ipocrisia finirà. Inizierà un’era di libertà e privacy. È molto più vicino di quanto sembri."
Riferimenti
[1] Business Insider WhatsApp was hacked and attackers installed spyware on people’s phones – May 15, 2019
[2] Security Today WhatsApp Bug Allowed Hackers to Hijack Accounts – October 12, 2018
[3] Wikipedia Gag order – United States
[4] Neowin FBI asked Durov and developer for Telegram backdoor – September 19, 0271
[5] The Baffler The Crypto-Keepers – September 17, 2017
[6] New York Times What Is Telegram, and Why Are Iran and Russia Trying to Ban It? – May 2, 2019
[7] YourDailyMac Whatsapp leaks usernames, telephone numbers and messages – May 19, 2011
[8] The H Security Sniffer tool displays other people’s WhatsApp messages – May 13, 2012
[9] FilePerms WhatsApp is broken, really broken – September 12, 2012
[10] International Business Times Respect for Privacy Is Coded Into WhatsApp’s DNA: Founder Jan Koum – March 18, 2014
[11] Slate https://slate.com/technology/2018/06/paul-manafort-how-did-fbi-access-whatsapp-messages.html – June 5, 2018
[12] AppleInsider WhatsApp backdoor defeats end-to-end encryption, potentially allows Facebook to read messages – January 13, 2017
[13] Forbes Forget About Backdoors, This Is The Data WhatsApp Actually Hands To Cops– January 22, 2017
[14] New York Times Facebook Said to Create Censorship Tool to Get Back Into China – November 22, 2016
[15] The Verge WhatsApp co-founder Jan Koum is leaving Facebook after clashing over data privacy – April 30, 2018
[16] CNET WhatsApp co-founder: ‘I sold my users’ privacy’ with Facebook acquisition – September 25, 2018
[17] New York Times Once celebrated in Russia, programmer Pavel Durov chooses exile – December 2, 2014
[18] TechCrunch Facebook admits it stored ‘hundreds of millions’ of account passwords in plaintext – March 21, 2019
[19] Engadget Facebook stored millions of Instagram passwords in plain text – 18 April, 2019
[20] Vanity Fair Snapchat is doing so badly, the feds are getting involved – November 14, 2018
[21] HuffPost Vkontakte, Facebook Competitor In Russia, Dominates – October 26, 2012″