Che tu stia condividendo informazioni riservate o scambiando idee per film con un amico, le persone si rivolgono ad app di messaggistica privata che offrono crittografia end-to-end per proteggere i contenuti delle loro conversazioni.

Quando i dati vengono condivisi su Internet, spesso attraversano una serie di reti per raggiungere la loro destinazione. App come WhatsApp, di proprietà del gigante dei social media Meta (ex Facebook), forniscono un livello di privacy che sfida persino le agenzie governative ad accedere alle conversazioni crittografate.

Tuttavia, con le app che cambiano costantemente le loro politiche di sicurezza e privacy, i messaggi sono ancora al sicuro dalla decifrazione?

Nel maggio 2021, la disapprovazione della comunità online con le modifiche alla politica sulla privacy di WhatsApp per le entità aziendali che utilizzano la piattaforma, ha visto molti utenti passare ad altre app di messaggistica privata come Signal e Telegram.

L'esperto di sicurezza informatica, il dott. Arash Shaghaghi della UNSW School of Computer Science and Engineering e dell'UNSW Institute for Cyber ​​Security, confronta la crittografia con una conversazione segreta tra te e un'altra persona.

"Per tenere le nostre informazioni lontane da occhi indiscreti, ci affidiamo ad algoritmi crittografici per crittografare i nostri dati. La crittografia implica la conversione di testo in chiaro leggibile dall'uomo in un formato codificato e i dati possono essere letti solo dopo essere stati decifrati", afferma.

"La crittografia implica l'utilizzo di una chiave per bloccare un messaggio, mentre la decrittografia utilizza una chiave per sbloccare un messaggio.

"In teoria, se un estraneo osservasse una conversazione crittografata, non potrebbe darle un senso e avrà bisogno della chiave appropriata per decrittografarla.

"È interessante notare che con alcuni protocolli di crittografia end-to-end, come Signal, anche se qualcuno ruba le chiavi di crittografia e tocca la connessione, non può decifrare i messaggi già inviati. In gergo crittografico, questo è definito come segretezza in avanti."

I nostri messaggi sono completamente sicuri?

I moderni algoritmi di crittografia sono stati testati in battaglia e hanno dimostrato di non avere vulnerabilità note. Sebbene ciò non significhi che sia impossibile da decifrare, il processo richiede ampi poteri di elaborazione e potrebbe richiedere molto tempo per essere eseguito. I computer quantistici, se maturi a sufficienza, saranno in grado di decifrare gran parte della crittografia odierna.

Gli aggressori di solito prendono di mira gli endpoint e le loro vulnerabilità. Questo è molto più semplice della crittoanalisi, che è il processo utilizzato per violare i sistemi di sicurezza crittografica.

Ad esempio, l'anno scorso, gli aggressori hanno preso di mira una vulnerabilità relativa alla funzionalità di filtro delle immagini di WhatsApp che è stata attivata quando un utente ha aperto un allegato contenente un file immagine dannoso. Sono state segnalate vulnerabilità più gravi e meno complicate rivolte ai client WhatsApp in esecuzione su iOS e Android.

Il Dr. Shaghaghi afferma che quando esegui il backup dei tuoi messaggi su alcune piattaforme di messaggistica, i tuoi messaggi vengono inviati al cloud. Ciò significa che tutti i tuoi messaggi sono ora archiviati sul computer di qualcun altro.

"L'implementazione della crittografia end-to-end da parte del provider di servizi svolge un ruolo significativo nella sicurezza e nella privacy di un'app di messaggistica contro il provider e gli aggressori", afferma.

"WhatsApp conservava un backup dei messaggi in un formato non crittografato su iCloud per gli utenti Apple e Google Drive per coloro che utilizzavano WhatsApp in Android. Anche se WhatsApp ha adottato un modello di crittografia end-to-end nel 2016, i backup non crittografati erano vulnerabili a richieste del governo, pirateria informatica di terze parti e divulgazione da parte di dipendenti Apple o Google."

Nel 2021, WhatsApp ha lanciato un'opzione per consentire agli utenti di abilitare la crittografia end-to-end dei loro backup. Sebbene questo sia stato accolto come un positivo passo avanti, dovrebbe essere l'impostazione predefinita per tutti gli utenti, non offerto come opzione, afferma il dottor Shaghaghi.

"Gli utenti preoccupati per la sicurezza e la privacy dei propri dati devono assicurarsi di abilitare il backup della crittografia end-to-end per WhatsApp e altre piattaforme di messaggistica."

E per quanto riguarda Signal e Telegram?

A differenza di WhatsApp e Signal, Telegram non ha la crittografia end-to-end abilitata per impostazione predefinita. Solo quando la funzione "chat sicura" è abilitata, Telegram applica il protocollo MTProto, un protocollo open source e sviluppato su misura dal provider di messaggistica.

"Per quanto ne sappiamo, Signal, Telegram e WhatsApp sono sicuri nel fornire la crittografia end-to-end, se l'opzione è abilitata", afferma il dottor Shaghaghi.

"Tuttavia, Signal è costruito con la privacy e la sicurezza come motivazione principale. Il codice sorgente dell'endpoint di Signals è anche disponibile al pubblico, questo consente a chiunque di ispezionare il codice e identificare le vulnerabilità.

"Credo che il consenso sia che Signal sia una soluzione di messaggistica più sicura e rispettosa della privacy rispetto a WhatsApp, Telegram o Facebook Messenger."

Con così tante piattaforme di messaggistica disponibili sul mercato, il Dr. Shaghaghi afferma che ci sono alcuni semplici passaggi da compiere per salvaguardare la privacy di un utente.

"Le piattaforme di messaggistica contengono molte informazioni private, quindi vale la pena garantire che la piattaforma che utilizziamo abbia una buona reputazione per garantire la sicurezza e la privacy dei suoi utenti", afferma.

"Vale anche la pena dedicare qualche minuto in più per abilitare alcune delle funzionalità di sicurezza più avanzate offerte da queste piattaforme, come la crittografia del backup end-to-end o l'autenticazione a più fattori.

"E qualunque sia la piattaforma che decidi di utilizzare, è buona norma assicurarci di utilizzare la versione più recente delle app ed evitare di scaricare app da store di terze parti."

Moderazione dei contenuti scambiati su piattaforme di messaggistica crittografate end-to-end

Ci sono state forti richieste da parte di diverse organizzazioni governative affinché queste app includano backdoor che forniscano l'accesso ai dati quando ritenuto richiesto dalle autorità.

Recenti fughe di notizie dal Federal Bureau of Investigation (FBI) degli Stati Uniti hanno dimostrato che anche con una citazione in giudizio, potenti entità governative hanno un accesso limitato ai messaggi scambiati tramite app che utilizzano la crittografia end-to-end.

Questo argomento è particolarmente preoccupante per molti utenti preoccupati che sia il primo passo per allontanarsi dai solidi principi di crittografia su cui fanno affidamento per garantire la sicurezza e la privacy dei propri dati.

Ci sono stati dibattiti in corso in Australia e all'estero su questo argomento.

"Dal punto di vista dell'ingegneria della sicurezza, l'implementazione di una backdoor non è mai una buona idea", afferma il dott. Shaghaghi.

"Non vi è alcuna garanzia che anche gli hacker malintenzionati non scoprano queste backdoor e le sfruttino.

"Tuttavia, coloro che sono a favore di una soluzione che consenta l'accesso alle forze dell'ordine sostengono che hanno bisogno dell'accesso dato il crescente utilizzo di queste piattaforme da parte dei criminali."

Alcuni provider di messaggistica e società tecnologiche hanno risposto apportando modifiche alle funzionalità della piattaforma.

"Per soddisfare i requisiti normativi, WhatsApp ora consente agli utenti di contrassegnare un messaggio per essere rivisto dai loro moderatori. Questo deve essere avviato da un utente e quando un messaggio viene segnalato, i pochi messaggi prima che vengano inoltrati anche ai moderatori di WhatsApp", afferma Dott. Shaghaghi.

"Apple ha promosso la messaggistica crittografata in tutto il suo ecosistema e ha respinto le forze dell'ordine in cerca di record.

"Nel 2021, hanno annunciato funzionalità di sicurezza dei bambini che includono il rilevamento di immagini sessualmente esplicite su iMessage, un'altra piattaforma che utilizza la crittografia end-to-end. Per implementare questa funzionalità, Apple prevede di implementare il rilevamento sul dispositivo e non tramite una backdoor di crittografia.

"Penso che possiamo bilanciare la necessità di moderare i contenuti criminali e i requisiti di sicurezza e privacy scomponendo il problema in casi d'uso più specifici e sviluppando soluzioni innovative". + Esplora ulteriormente

Rilevata falla di sicurezza in WhatsApp, Telegram:ricercatori