WhatsApp è bucato, una backdoor permette di leggere i messaggi protetti

Un ricercatore scopre una backdoor nella crittografia di Whatsapp che permette a Facebook di leggere i messaggi. Alla richiesta di spiegazioni Facebook risponde «Nessuna falla, è previsto che funzioni proprio così»

whatsapp crittografia backdoor
A Whatsapp App logo is seen behind a Samsung Galaxy S4 phone that is logged on to Facebook in the central Bosnian town of Zenica, February 20, 2014. Facebook Inc will buy fast-growing mobile-messaging startup WhatsApp for $19 billion in cash and stock in a landmark deal that places the world's largest social network closer to the heart of mobile communications and may bring younger users into the fold. REUTERS/Dado Ruvic (BOSNIA AND HERZEGOVINA - Tags: BUSINESS)

«I messaggi che invii in questa chat e le chiamate sono ora protetti con la crittografia end-to-end, il che significa che WhatsApp e terze parti non possono leggerli o ascoltarli». E’ il messaggio che viene mostrato in tutte le chat di Whatsapp a partire dal 6 aprile scorso, giorno in cui la società ha attivato la crittografia end-to-end all’interno del proprio servizio di messaggistica.

Con il caso di San Bernardino e tutte le questioni legate alla privacy degli utenti, in balia dei propri dispositivi digitali, che si sono susseguite nel corso degli ultimi anni, l’avviso di WhatsApp dovrebbe far dormire sonni tranquilli, se non fosse per il recente avvertimento di Tobias Boelter, un ricercatore di sicurezza che ha scoperto una importante falla nel sistema.

In base a quanto riporta The Guardian una backdoor presente nel sistema di crittografia end-to-end di WhatsApp permetterebbe a Facebook, ricordiamo proprietaria del servizio da febbraio 2014, di leggere i messaggi inviati, rendendo così possibile all’azienda di rispettare eventuali ordinanze del tribunale qualora venisse richiesto di rendere accessibili determinati messaggi agli enti governativi.

«WhatsApp – spiega il ricercatore – sarebbe in grado di forzare la chiave di cifratura quando l’utente è offline, permettendo così di intercettare e leggere i messaggi scambiati tramite il servizio. Con le impostazioni predefinite dell’app, né il mittente né il destinatario dei messaggi vengono notificati dell’accaduto, mentre il mittente, nel caso in cui abbia attivato l’interruttore “Mostra notifiche di sicurezza” nel pannello Impostazioni > Sicurezza, sarà informato del cambiamento, ma soltanto dopo che i messaggi in uscita sono stati inviati con la nuova chiave.

whatsapp crittografia backdoor

Si potrebbe pensare a un bug visto che WhatsApp si basa sullo stesso protocollo usato anche dall’app Signal sviluppata da Open Whisper Systems, dove tale vulnerabilità però non sembra esistere. Qui, infatti, se viene modificata la chiave di sicurezza, un messaggio in uscita non viene consegnato e il mittente viene notificato della modifica, senza che il messaggio venga re-inviato automaticamente.

Tuttavia – spiega il ricercatore – nel caso di WhatsApp non si tratta di un bug. Boelter avrebbe infatti segnalato il comportamento del sistema a Facebook nell’aprile dello scorso anno e, in quella occasione, la società confermò che si trattava di un «comportamento previsto». Questa backdoor, conferma The Guardian, esiste ancora oggi.

In merito si è espresso anche il professore Kirstie Ball, fondatore e co-direttore del Centre for Research into Information, Surveillance and Privacy, definendo la backdoor installata volutamente nella crittografia di WhatsApp «Una miniera d’oro per le agenzie di sicurezza» oltre che «un enorme tradimento nella fiducia degli utenti».

Facebook era già finita nel mirino proprio per la raccolta dei dati degli utenti di WhatsApp a seguito dell’acquisizione del servizio. Al momento la società non ha rilasciato dichiarazioni in merito: sarebbe interessante – oltre che giusto per gli utenti – capire se ad oggi la backdoor è mai stata usata per accedere ai messaggi, o se ad esempio è stata installata su richiesta degli enti governativi.

whatsapp crittografia backdoor