Perché WhatsApp non sarà mai sicuro


Pavel Durov (May 15, 2019) – traduzione di A.Solinas

Il mondo sembra essere scioccato dalla notizia che WhatsApp abbia trasformato qualsiasi telefono in uno spyware. Tutto ciò che è presente sul tuo telefono, comprese foto, e-mail e testi, è accessibile agli hacker solo perché hai installato WhatsApp [1].

Questa notizia non mi ha sorpreso, però. L’anno scorso WhatsApp ha dovuto ammettere che aveva un problema molto simile: una singola videochiamata tramite WhatsApp era tutto quello che un hacker necessitava per ottenere l’accesso a tutti i dati del telefono [2].

Ogni volta che WhatsApp deve risolvere una vulnerabilità critica nella loro app, una nuova sembra prendere il suo posto. Tutti i loro problemi di sicurezza sono efficacemente adatti per la sorveglianza, sembrando e lavorando molto, come backdoor.

A differenza di Telegram, WhatsApp non è open source, quindi non c’è modo per i ricercatori sulla sicurezza di verificare facilmente se ci sono backdoor nel suo codice. WhatsApp non solo non pubblica il suo codice, ma fa esattamente l’opposto: WhatsApp oscura deliberatamente i binari della sua app per assicurarsi che nessuno sia in grado di studiarli a fondo.

WhatsApp e la sua società madre Facebook potrebbero persino essere obbligati a implementare backdoor – tramite processi segreti come gli ordini di aprire bocca dell’FBI [3]. Non è facile eseguire un’applicazione di comunicazione protetta dagli Stati Uniti. La nostra squadra ha passato una singola settimana negli Stati Uniti nel 2016 procurandosi tre tentativi di infiltrazione da parte dell’FBI [4] [5]. Immagina cosa possono fare 10 anni in quell’ambiente in un’azienda americana.

Le agenzie di sicurezza usano gli sforzi anti-terrorismo per giustificare l’impianto di backdoor. Il problema è che tali backdoor possono essere utilizzate anche da criminali e governi autoritari. Non c’è da stupirsi che i dittatori sembrino adorare WhatsApp: la sua mancanza di sicurezza consente loro di spiare la propria gente, quindi WhatsApp continua a essere liberamente disponibile in posti come la Russia o l’Iran, dove Telegram è bandito dalle autorità [6].

In effetti, ho iniziato a lavorare su Telegram come risposta diretta alla pressione personale delle autorità russe. Allora, nel 2012, WhatsApp stava ancora trasferendo messaggi in plaintext (ndr, testo semplice). Era folle. Non solo governi o hacker, ma i provider di telefonia mobile e gli amministratori WiFi avevano accesso a tutti i testi di WhatsApp [7] [8].

Successivamente WhatsApp ha aggiunto un po ‘di crittografia, che si è rivelata rapidamente uno stratagemma di marketing: la chiave per decodificare i messaggi era disponibile per diversi governi, incluso quello russo [9]. Poi, mentre Telegram iniziava a guadagnare popolarità, i fondatori di WhatsApp vendettero la loro azienda a Facebook e dichiararono che “La privacy era nel loro DNA” [10]. Se fosse vero, doveva essere in un gene dormiente o recessivo.

3 anni fa WhatsApp ha annunciato di aver implementato la crittografia end-to-end in modo che “nessun terzo possa accedere ai messaggi”. Questo ha coinciso con una spinta aggressiva per tutti i suoi utenti a eseguire il backup delle chat nel cloud. Quando ha effettuato questa operazione, WhatsApp non ha comunicato ai propri utenti che, una volta eseguito il backup, i messaggi non erano più protetti dalla crittografia end-to-end e dunque accessibili agli hacker e alle forze dell’ordine [11]. Un marketing brillante per il quale alcune persone ingenue stanno ancora scontando il loro tempo in prigione come risultato [12].

Gli utenti di WhatsApp abbastanza resilienti da non cadere ai pop-up costanti che dicono loro di eseguire il backup delle loro chat possono ancora essere tracciati da una serie di altri trucchi: dall’accesso ai backup dei loro contatti alle modifiche invisibili della chiave di crittografia [13]. I metadati generati dagli utenti di WhatsApp – tracce che descrivono chi chatta con chi e quando – vengono divulgati a tutti i tipi di agenzie, in grandi volumi dalla società madre di WhatsApp [14].

WhatsApp ha una storia consistente – dalla crittografia zero all’inizio, fino a una serie di problemi di sicurezza stranamente adatti a scopi di sorveglianza. Guardando indietro, non c’è stato un solo giorno nel tragitto di 10 anni di WhatsApp, in cui il servizio è stato sicuro. Ecco perché non penso che solo l’aggiornamento dell’app mobile di WhatsApp, possa renderlo sicuro per chiunque. Perché WhatsApp diventi un servizio orientato alla privacy, deve rischiare di perdere interi mercati e scontrarsi con le autorità nel suo paese d’origine. Non sembrano essere pronti per quello [15].

L’anno scorso, i fondatori di WhatsApp hanno lasciato la società a causa delle preoccupazioni sulla privacy degli utenti [16]. Sono sicuramente legati da ordini di bavaglio o NDA (accordo di non divulgazione, ndr), quindi non sono in grado di discutere apertamente sulle backdoor, senza rischiare la loro fortuna e libertà. Sono stati in grado di ammettere, tuttavia, che “hanno venduto la privacy dei loro utenti” [17].

Riesco a capire la riluttanza dei fondatori di WhatsApp a fornire maggiori dettagli: non è facile mettere a repentaglio il tuo comfort. Diversi anni fa ho dovuto lasciare il mio paese dopo aver rifiutato di conformarmi alle violazioni della privacy degli utenti di VK sanzionate dal governo [18]. Non è stato piacevole. Farei qualcosa di simile di nuovo? Con piacere. Alla fine ognuno di noi morirà, ma noi, come specie, resteremo per un po ‘. Ecco perché penso che accumulare denaro, fama o potere sia irrilevante. Servire l’umanità è l’unica cosa che conta davvero nel lungo periodo.

Eppure, nonostante le nostre intenzioni, sento di deludere l’umanità in questa faccenda dello spyware di WhatsApp. Un sacco di persone non possono smettere di usare WhatsApp, perché i loro amici e familiari sono ancora lì. Ciò significa che noi di Telegram abbiamo fatto un brutto lavoro nel persuadere le persone a passare. Mentre abbiamo attirato centinaia di milioni di utenti negli ultimi cinque anni, non era abbastanza. La maggior parte degli utenti di Internet è ancora in ostaggio dall’impero Facebook / WhatsApp / Instagram. Molti di coloro che usano Telegram sono anche su WhatsApp, il che significa che i loro telefoni sono ancora vulnerabili. Anche chi ha abbandonato completamente WhatsApp probabilmente sta ancora usando Facebook o Instagram, entrambi pensano che sia OK archiviare le password in chiaro [19] [20] (Non riesco ancora a credere che un’azienda tecnologica possa fare qualcosa del genere e farla franca con esso).

Nei suoi quasi 6 anni di esistenza, Telegram non ha avuto perdite di dati o falle di sicurezza del tipo che WhatsApp dimostra ogni pochi mesi. Negli stessi 6 anni, abbiamo rivelato esattamente zero byte di dati a terze parti, mentre Facebook / WhatsApp hanno condiviso praticamente tutto con tutti coloro che hanno affermato di aver lavorato per un governo [13].

Poche persone al di fuori della community dei fan di Telegram si rendono conto che la maggior parte delle nuove funzionalità di messaggistica vengono visualizzate per la prima volta su Telegram e quindi vengono copiate in carta carbone da WhatsApp fino ai minimi dettagli. Più recentemente stiamo assistendo al tentativo di Facebook di prendere in prestito l’intera filosofia di Telegram, con Zuckerberg che improvvisamente dichiara l’importanza della privacy e della velocità, citando praticamente la descrizione dell’app di Telegram parola per parola nel suo discorso F8.

Ma lamentarsi dell’ipocrisia di Facebook e della mancanza di creatività non aiuterà. Dobbiamo ammettere che Facebook sta attuando una strategia efficiente. Guarda cosa hanno fatto a Snapchat [21].

Noi di Telegram dobbiamo riconoscere la nostra responsabilità nel formare il futuro. Siamo noi o il monopolio di Facebook. È o libertà e privacy o avidità e ipocrisia. Il nostro team ha gareggiato con Facebook negli ultimi 13 anni. Li abbiamo già battuti una volta, nel mercato dei social network dell’Europa orientale [22]. Li batteremo di nuovo nel mercato globale della messaggistica. Dobbiamo farlo.

Non sarà facile. Il reparto commerciale di Facebook è enorme. Noi di Telegram, invece, facciamo zero marketing. Non vogliamo pagare giornalisti e ricercatori per dire al mondo di Telegram. Per questo, ci affidiamo a te, ai milioni di nostri utenti. Se ti piace abbastanza Telegram, lo dirai ai tuoi amici. E se ogni utente di Telegram persuade 3 dei propri amici a cancellare WhatsApp e a spostarsi permanentemente su Telegram, Telegram sarà già più popolare di WhatsApp.

L’epoca dell’avidità e dell’ipocrisia finirà. Inizia un’era di libertà e privacy. È molto più vicino di quanto sembri.

References

[1] Business Insider WhatsApp was hacked and attackers installed spyware on people’s phonesMay 15, 2019

[2] Security Today WhatsApp Bug Allowed Hackers to Hijack AccountsOctober 12, 2018

[3] Wikipedia Gag order – United States

[4] Neowin FBI asked Durov and developer for Telegram backdoor – September 19, 0271

[5] The Baffler The Crypto-Keepers – September 17, 2017

[6] New York Times What Is Telegram, and Why Are Iran and Russia Trying to Ban It? – May 2, 2018

[7] YourDailyMac Whatsapp leaks usernames, telephone numbers and messages – May 19, 2011

[8] The H Security Sniffer tool displays other people’s WhatsApp messages – May 13, 2012

[9] FilePerms WhatsApp is broken, really broken – September 12, 2012

[10] International Business Times Respect for Privacy Is Coded Into WhatsApp’s DNA: Founder Jan Koum – March 18, 2014

[11] Independent WhatsApp Update Brings Backups That Are Not Encrypted and So Could Allow People to Read Messages – August 28, 2018

[12] Slate How Did the FBI Access Paul Manafort’s Encrypted Messages? – June 5, 2018

[13] AppleInsider WhatsApp backdoor defeats end-to-end encryption, potentially allows Facebook to read messages – January 13, 2017

[14] Forbes Forget About Backdoors, This Is The Data WhatsApp Actually Hands To Cops – January 22, 2017

[15] New York Times Facebook Said to Create Censorship Tool to Get Back Into China – November 22, 2016

[16] The Verge WhatsApp co-founder Jan Koum is leaving Facebook after clashing over data privacy – April 30, 2018

[17] CNET WhatsApp co-founder: ‘I sold my users’ privacy’ with Facebook acquisition – September 25, 2018

[18] New York Times Once celebrated in Russia, programmer Pavel Durov chooses exile – December 2, 2014

[19] TechCrunch Facebook admits it stored ‘hundreds of millions’ of account passwords in plaintext – March 21, 2019

[20] Engadget Facebook stored millions of Instagram passwords in plain text – 18 April, 2019

[21] Vanity Fair Snapchat is doing so badly, the feds are getting involved – November 14, 2018

[22] HuffPost Vkontakte, Facebook Competitor In Russia, Dominates – October 26, 2012

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *