Falla nella crittografia di WhatsApp: ecco come risolverla

Venerdì 13 è di solito il giorno in cui le persone più superstiziose cercano strani collegamenti tra avvenimenti casuali, come un gatto nero che attraversa la strada o uno specchio che si rompe, e cattivi presagi. Anche se siamo poco superstiziosi, dobbiamo ammettere che alcune cattive notizie possono arrivare proprio in questo ‘sfortunato’ giorno.

Oggi è uno di quei giorni dato The Guardian ha pubblicato una notizia il cui titolo era “WhatsApp backdoor allows snooping on encrypted message” (“Una backdoor di WhatsApp permette di sbirciare tra i messaggi criptati”). La storia tratta infatti di una presunta backdoor scoperta dal ricercatore Tobias Boelter.

Secondo l’esclusiva pubblicata da The Guardian:

La crittografia end-to-end di WhatsApp si basa sulla generazione di chiavi di sicurezza uniche attraverso il protocollo Signal, sviluppato da Open Whisper System. Tali chiavi vengono trasmesse e scambiate nelle chat in modo da permettere agli utenti di decodificare e visualizzare il testo; in questo modo le comunicazioni sono sicure e non posso essere intercettare da soggetti terzi. Il problema emerge nel caso in cui il destinatario del messaggio risultasse offline (solo una spunta): WhatsApp può forzare, all’insaputa del destinatario e mittente del messaggio, la generazione di nuove chiavi crittografiche per un successivo tentativo di invio non appena il contatto ritorni disponibile.

How private is that private messenger really? https://t.co/V7nGJpEikU #mobile #messenger #privacy pic.twitter.com/WPESX5lR16

— Kaspersky (@kaspersky) January 11, 2017

Il ricevente è completamente ignaro di questo cambio nel sistema crittografico; solo il mittente potrebbe accorgersene, ma solo nel caso abbia attivato la ricezione delle notifiche di crittografia tra le impostazioni di WhatsApp, e solo dopo che i messaggi siano stati inviati nuovamente. Tutto questo permetterebbe a WhatsApp di intercettare e leggere i messaggi degli utenti.

It's ridiculous that this is presented as a backdoor. If you don't verify keys, authenticity of keys is not guaranteed. Well known fact.

— Frederic Jacobs (@FredericJacobs) January 13, 2017

Ci sono dubbi sul fatto che si tratti di un vero bug o di un semplice errore, quel che è certo è che si tratta di qualcosa che gli utenti di WhatsApp possono risolvere loro stessi. Per farlo, gli utenti hanno bisogno di fare quanto segue:

Android: cliccate su Account, poi Sicurezza, e poi su Mostra notifiche di sicurezza.

iOS: cliccate sull’icona dell’ingranaggio in basso a destra Account → Sicurezza → Mostra notifiche di sicurezza .

Se ricevete la seguente notifica di sicurezza (screenshot preso da iOS) e state condividendo informazioni “sensibili” e volete essere sicuri che nessuno stia origliano, il modo migliore è aspettare che l’utente sia di nuovo online e poi confermare e abilitare di nuovo la crittografia end-to-end.

Come vi abbiamo ricordato anche nel nostro post sui servizi di messaggistica privati, questi servizi – e la privacy – sono piuttosto complessi. Ad ogni modo, vi consigliamo caldamente di tenere sott’occhio la sicurezza e proteggere i vostri dati. Su Kaspersky Daily vi offriamo continuamente numerosi consigli sulla privacy e sulla sicurezza perciò… rimanete in ascolto!