Crittografia di WhatsApp Ora è il messenger istantaneo più sicuro (o è?)
WhatsApp è facilmente il servizio di messaggistica istantanea più diffuso per telefoni e tablet. Fondato nel 2009, il servizio è ora esploso a più di 700 milioni di utenti attivi: quasi 250 milioni in più rispetto all'altra alternativa, la Cina WeChat. Da quando è stato acquisito da Facebook per 19 miliardi di dollari da dodici mesi fa, l'azienda è stata costretta a ripulire il suo approccio alla sicurezza e alla privacy, che ha portato le notizie lo scorso anno a introdurre nuove misure di crittografia. TrueCrypt Is Dead: 4 Alternative di crittografia disco per Windows TrueCrypt non funziona: 4 alternative di crittografia disco per Windows TrueCrypt non esiste più, ma fortunatamente esistono altri programmi di crittografia utili. Anche se potrebbero non essere esatte sostituzioni, dovrebbero soddisfare le tue esigenze. Leggi di più .
Qual'era il problema?
WhatsApp ha subito innumerevoli imbarazzi ed esposizioni per la loro scarsa sicurezza. I problemi sono iniziati già nel maggio 2011, quando è stato scoperto un difetto di sicurezza che consentiva agli account degli utenti di subire il sequestro della sessione (ottenendo accesso non autorizzato alle informazioni sfruttando una sessione di utilizzo valida) e il loro traffico intercettato e registrato da un pacchetto sniffer. È stata rilasciata una nuova versione dell'app, ma i dati hanno continuato a essere inviati e ricevuti in testo semplice.
Le loro difficoltà sono continuate anche nel 2012. All'inizio dell'anno un hacker ha pubblicato WhatsAppStatus.net, che permetteva alle persone di cambiare lo stato di qualsiasi utente di WhatsApp, e gli sviluppatori dell'app erano lenti a rispondere - inizialmente affermando che il difetto era stato corretto quando in realtà avevano semplicemente bloccato l'indirizzo IP del sito web. Non sorprende che presto siano spuntati strumenti simili, e l'azienda è stata costretta a rispondere in modo più solido. Entro la fine della primavera, WhatsApp ha finalmente smesso di utilizzare il testo in chiaro per i dati, ma la sua sostituzione, un metodo crittografico, è stata ampiamente criticata per essere stata interrotta al momento del lancio.
Alla fine del 2013, un ricercatore di sicurezza in Olanda ha affermato che chiunque avesse una conoscenza tecnica sufficiente poteva decodificare le comunicazioni inviate all'interno dell'app, grazie a diverse “lunghe lacune documentate” - principalmente il fatto che WhatsApp utilizzava la stessa chiave di crittografia su entrambi i lati di una conversazione. Thijs Alkemade, lo studente dell'Università di Utrecht che ha scoperto il difetto, ha detto “Dovresti dare per scontato che chiunque sia in grado di intercettare la tua connessione WhatsApp sia in grado di decifrare i tuoi messaggi, con sufficiente sforzo“. Aggiunta, “Non c'è nulla che un utente di WhatsApp possa fare su questo ... tranne per smettere di usarlo finché gli sviluppatori non lo possono aggiornare“.
Recentemente, nel novembre 2014, WhatsApp ha ottenuto solo due su sette sulla scorecard sicura della messaggistica di Electronic Frontier Foundation - punti perdenti grazie al fatto che utilizzava una crittografia a cui il provider aveva la chiave, non c'era modo di verificare l'identità di un utente, e il suo design di sicurezza non era ben documentato.
Qual è stata la risposta?
Il 18 novembre dello scorso anno, i nuovi proprietari di WhatsApp, Facebook, hanno deciso che basterebbe. Sebbene Facebook non sia esattamente ben considerato in termini di trasparenza sulla privacy e sulla sicurezza, non ha voluto mettere a repentaglio la loro costosa nuova acquisizione e rischia di perdere utenti in servizi rivali come Viber o Tango Tango: un'alternativa in erba in erba Per Android, iOS e Windows Tango: un'alternativa in erba per Android, iOS e Windows Il mondo di Voice over IP si sta espandendo rapidamente e stiamo ricevendo sempre più opzioni per chiamare i nostri amici senza pagare i provider di cellulari. Il contendente più forte e più conosciuto in questo settore è ovviamente ... Leggi altro .
Di conseguenza, hanno annunciato una nuova partnership con Open Whisper Systems in un accordo che avrebbe finalmente portato la crittografia end-to-end al servizio, sperando di bandire i gremlins dei precedenti tre anni. Open Whisper ha detto che la nuova crittografia sarebbe la più grande del suo genere in qualsiasi parte del mondo e userebbe TextSecure, un servizio che utilizza una chiave crittografica unica per i singoli dispositivi, per proteggere la sua gigantesca base di utenti. Gli esperti sono stati subito colpiti, poiché Wired ha affermato che la soluzione era “praticamente non incrinabile“, e il Wall Street Journal ha dichiarato che “la crittografia è così solida che persino le forze dell'ordine non saranno in grado di decifrare i messaggi di WhatsApp“.
Come funziona?
Anziché archiviare le chiavi per decodificare la crittografia su un server centralizzato di proprietà e gestito dagli sviluppatori di WhatsApp, la crittografia end-to-end funziona invece memorizzando solo le chiavi sul dispositivo dell'utente. Quando combinato con TextSecure, che utilizza un protocollo chiamato “inoltrare il segreto” per rilasciare una nuova chiave per ogni nuovo messaggio, è facile capire perché il CEO di WhatsApp, Jan Koum, ha affermato di aver avuto “ora hai creato WhatsApp con l'obiettivo di conoscere il meno possibile su di te ... Il rispetto per la tua privacy è codificato nel nostro DNA“.
La crittografia ora utilizzata dal servizio differisce enormemente da quella utilizzata da simili applicazioni di messaggistica istantanea Dimenticate WhatsApp: 6 App di comunicazione sicura che probabilmente non avete mai sentito dimenticare di WhatsApp: 6 App di comunicazione sicura che probabilmente non avete mai sentito di Electronic Frontier Foundation ( EFF) è un gruppo di lobby dedicato a "difendere le libertà civili nel mondo digitale". Mantengono la Secure Messaging Scorecard, che rende la lettura preoccupante per gli appassionati di messaggistica istantanea. Ulteriori informazioni e social network, che per lo più conservano le chiavi sui propri server e sul dispositivo di una persona. Ciò significa che le aziende e i governi possono accedere ai contenuti dei tuoi messaggi e dati su richiesta, oltre a rendere più facile agli hacker l'accesso a informazioni private e personali.
In realtà, la mossa di WhatsApp è parte di un movimento più ampio verso una maggiore privacy da parte delle principali aziende tecnologiche, anche se non tutti sono felici. Quando Apple e Google hanno entrambi espanso i loro servizi di crittografia Google End-to-End Encryption, Slender Man Tentativo di omicidio [Tech News Digest] Google End-to-End Encryption, Slender Man Tentativo di omicidio [Tech News Digest] Google va end-to-end , Kickstarter ammorbidisce le regole della campagna, Sony uccide la PSP, Chrome va a 64-bit, l'omicidio tentato da Slender Man, Todoist For Business e gli adolescenti che reagiscono a Internet degli anni '90. Per saperne di più in vista dell'annuncio di WhatsApp, il direttore dell'FBI James Comey ha criticato la mossa, sostenendo che “il pendolo post-Snowden ha [ora] oscillato troppo lontano“.
Tutti i problemi sono risolti?
Fornire una sicurezza efficace non è facile. Mentre WhatsApp era chiaramente molto lontano dal gioco all'inizio del decennio, l'ultimo aggiornamento del 2014 sembra interamente a prova di hacker. Purtroppo, questo è raro il caso, e negli ultimi giorni è emersa una stampa negativa per l'azienda con sede a Mountain View.
Anche se il contenuto del messaggio di un utente sembra rimanere al sicuro, è stato rilasciato un semplice software che può essere utilizzato dagli hacker per circumnavigare varie impostazioni della privacy, dando così modo di vedere se un utente è online o offline, un modo per monitorare immagine del profilo di una persona, un modo per vedere lo stato di un utente e la possibilità di vedere le impostazioni sulla privacy personalizzate di qualcuno.
Il software, chiamato WhatsSpy Public, è stato creato da uno sviluppatore olandese e può rivelare la cronologia dello stato online di un utente monitorato, anche se l'utente ha i controlli di privacy più rigorosi Tutto quello che c'è da sapere sulle impostazioni della privacy di WhatsApp Tutto ciò di cui hai bisogno Informazioni sulle impostazioni della privacy di WhatsApp Come per tutti gli strumenti di comunicazione, la privacy è della massima importanza. Ecco come proteggere la tua privacy quando utilizzi WhatsApp. Leggi altro abilitato. “Potresti pensare che ora hai impostato tutte le opzioni su "nessuno" che sei al sicuro, per quanto riguarda la privacy, ma tuttavia posso ancora monitorare le tue mosse su WhatsApp” ha detto il progettista del software Maikel Zweerink. La buona notizia per gli utenti è che il software è difficile da configurare e sarà in grado di tracciare gli utenti solo su Android androidi o iPhone bloccati, quindi se utilizzi un “vaniglia” OS dovresti essere ok.
WhatsApp non ha ancora risposto ufficialmente alle accuse, anche se una mossa interna per minimizzare la violazione quando ha detto ai media britannici che “Questo non è un hack ... in sostanza ha costruito un programma che registra e monitora le informazioni a cui ha accesso in ogni caso“.
Nonostante ciò, data la cattiva reputazione di WhatApp, è improbabile che i suoi utenti prendano molto conforto nella dichiarazione. Qualunque sia la verità, la questione indica semplicemente il fatto prioritario che la sicurezza nell'era digitale non può mai essere data per scontata; anche quando pensi di essere protetto puoi essere certo che c'è un hacker o un criminale che cerca il prossimo bug o difetto con cui comprometterti.
Cosa pensi?
Usi Whatsapp? La sua povera storia ti ha mai allontanato dal servizio? Hai provato qualche alternativa di messaggistica ma ti ritrovi sempre attirato dall'app ubiquitaria? La privacy generalmente ti riguarda o ti iscrivi alla mentalità di “niente da nascondere, niente da temere”?
Ci piacerebbe sentirti. Fateci sapere i vostri pensieri nei commenti qui sotto.
Scopri di più su: client di chat, privacy online, sicurezza online, whatsapp.