Pericolo sicurezza su WhatsApp, la crittografia end-to-end che dovrebbe proteggere gli iscritti viene meno, almeno in parte. Ecco cosa succede: nella fase di invio di un messaggio tra gli utenti, la compagnia americana, parte del gruppo Facebook, può sfruttare una chiave crittografia alternativa, ponendosi come ricevente temporaneo così da prelevare la comunicazione e tradurla. Per quale motivo? Ufficialmente per non lasciare che i contenuti condivisi (testo, foto, video, audio) vadano persi nell’etere digitale, a causa di problemi ed errori tecnici; in questo modo può sempre reindirizzare quanto inviato, senza bloccare lo scambio. Ma come fanno notare i difensori della privacy e gli esperti di sicurezza, questo trucchetto potrebbe benissimo essere usato per spiare le persone, eventualmente anche sotto minaccia e invito dei governi.
Cosa succede
Il panorama è quello di un classico attacco “man-in-the-middle”, in cui l’aggressore si finge utente validato di un interscambio comunicativo (come può accadere tra host di posta e account personale) per valicare le misure di protezione di una piattaforma e rubare informazioni private. La falla è stata scoperta dal ricercatore tedesco Tobias Boelter, che l’aveva fatta presente al team di WhatsApp nell’aprile del 2016, in concomitanza con il lancio della crittografia end-to-end, che prevede la condivisione di una chiave (più una personale, conservata sul dispositivo) tra il mittente e il destinatario di una chat, utile per leggere in chiaro il contenuto di un messaggio. Un modo per rendere il servizio più sicuro c’è, ed è quello di bloccare l’invio e la ricezione quando la chiave validata tra due soggetti cambia. Ogni iscritto può infatti recarsi nelle impostazioni dell’app e scegliere di ricevere un avviso in caso di cambiamento della cifratura della key condivisa. Il problema è che, anche nel caso di nuova chiave (magari perché l’altra persona ha cambiato smartphone), la chat continua a funzionare, invitando solo l’utente a verificare la corrispondenza del codice alfanumerico con l’amico dall’altra parte dello schermo. Applicazioni simili, come Signal, quando evidenziano l’insorgere di una nuova chiave crittografica bloccano la comunicazione, chiedendo all’utilizzatore di verificarla all’istante prima di tornare a usare l’app.
