perché whatsapp non sarà mai sicuro

Come un fulmine a ciel sereno, Pavel Durov, in un lunghissimo post su telegra.ph ha spiegato perché WhatsApp non sarà mai sicuro.
Pavel Durov, nonché il papà di Telegram, ha scelto di dedicare un pochino di tempo per spiegare il motivo per cui WhatsApp, per sua natura, non potrà mai essere un app sicura.

Nel suo post, che abbiamo provato a tradurre e che vi proponiamo di seguito, uno dei creatori di Telegram, visto che dietro alla realizzazione di questo progetto c’è anche il fratello Nikolai Durov, viene evidenziato come la recente vulnerabilità scoperta sia perfettamente coerente con tutta la storia dell’applicazione WhatsApp.

Quindi mettetevi comodi e andiamo a vedere che cosa è successo e che cosa ha detto Pavel Durov.

WhatsApp e la sua vulnerabilità

Partiamo con il dire che la vulnerabilità scoperta e poi risolta con l’ultimo aggiornamento dell’applicazione, poteva essere sfruttata da malintenzionati per installare uno spyware e rubare quasi tutti i dati più importati presenti sullo smartphone della vittima. Il tutto sfruttando semplicemente la funzione chiamata di WhatsApp. La cosa particolare è che l’attaccante poteva portare a buon fine il attacco, anche nel caso in cui la chiamata non riceveva una risposta da parte della vittima.

Fa anche ridere il changelog che hanno comunicato agli utenti le novità presenti nella nuova versione di WhatsApp, che in realtà sistemava questo bug:

whatsapp non sarà mai sicuro
Screen preso in prestito da: Patryk Rzucidlo (PTKDev) — Cit Patryk: Belle queste note di rilascio eh, io avrei scritto qualcosa come: – Ci hanno bucato l’app gli israeliani e possono accedere al vostro iPhone come se fosse loro. Abbiamo inserito un malware blocker in questa versione. Mortacci vostra…

Però ritorniamo alla vulnerabilità di WhatsApp. Sostanzialmente la vittima non sarebbe mai stata in grado di venire a conoscenza dell’intrusione all’interno del proprio smartphone da parte di un malintenzionato, poiché lo spyware che veniva installato andava a cancellare le informazioni sulle chiamate in arrivo dai log per operare in modo furtivo.

Non andiamo oltre e non entriamo in tecnicismi sul come i malintenzionati poteva sfruttare questa vulnerabilità di WhatsApp, perché non è il luogo e soprattutto non è di questo che vogliamo parlarvi.

Perché WhatsApp non sarà mai sicuro: secondo Pavel Durov!

Pavel Durov, come fondatore del progetto Telegram, si è cimentato nella spiegazione del perché WhatsApp non sarà mai sicuro. Patendo con il dire, che è per sua natura WhatsApp non potrà mai essere un’app sicura. Questo perché ogni volta che viene risolta una vulnerabilità, ne viene scoperta una nuova.

Qualcuno dirà: genio hai scoperto l’acqua calda.
Quel qualcuno potrebbe avere ragione, ma si dimentica un piccolo particolare al contrario di Telegram, WhatsApp non è open source e qualunque cybercriminale che individua una falla, mette a rischio la privacy di milioni di persone.

Non solo quando una vulnerabilità viene scoperta in un’applicazione o progetto mobile, si trovano cybercriminali disposti a pagare anche 1 milione di dollari per una vulnerabilità di WhatsApp che permette l’esecuzione di codice remoto.

Perché WhatsApp non sarà mai sicuro: traduzione del post!

Mettetevi comodi perché la traduzione del post originale è molto lunga.

Il mondo sembra essere sconvolto dalla notizia che WhatsApp ha trasformato qualsiasi telefono in uno strumento spyware. Tutto sul tuo telefono, incluse foto, e-mail e testi, è stato accessibile ai possibili spioni solo perché WhatsApp è stato installato [1].

Questa notizia non mi ha ad ogni modo sorpreso: l’anno scorso WhatsApp ha dovuto ammettere di aver avuto un problema molto simile: una singola videochiamata tramite WhatsApp poteva bastare ad un hacker per ottenere l’accesso ai dati dell’intero telefono [2].

Ogni volta che WhatsApp corregge una vulnerabilità critica nella propria app, ecco apparirne una nuova . Tutti i loro problemi di sicurezza, guarda caso, sembrano pensati per la sorveglianza, e sembrano presentarsi e funzionare molto come backdoor.

A differenza di Telegram, WhatsApp non è open source, quindi non c’è modo per un ricercatore di sicurezza di controllare facilmente se esistono backdoor nel suo codice. Non solo WhatsApp non pubblica il suo codice, ma fa esattamente l’opposto: WhatsApp oscura deliberatamente il codice binario delle proprie app per assicurarsi che nessuno sia in grado di studiarli a fondo.

WhatsApp e la sua società madre Facebook potrebbero persino essere obbligati a implementare backdoor – tramite processi segreti come le ordinanze restrittive dell’FBI [3]. Non è facile eseguire un’applicazione di comunicazione protetta dagli Stati Uniti. In una settimana che il nostro team ha trascorso negli Stati Uniti nel 2016 ha portato a tre tentativi di infiltrazione da parte dell’FBI [4] [5]. Immagina cosa possa ricevere in 10 anni in quell’ambiente un’azienda americana.

Capisco che i servizi di sicurezza giustifichino l’inserimento di backdoor nell’ambito di iniziative per sforzi anti-terrorismo. Il problema è che queste backdoor possono essere usate anche da criminali e governi autoritari. Non c’è da meravigliarsi se i dittatori sembrano amare WhatsApp. La sua mancanza di sicurezza consente loro di spiare il loro popolo, quindi WhatsApp continua a essere liberamente disponibile in luoghi come Russia o Iran, dove Telegram è invece bandito dalle autorità [6].

In effetti, ho iniziato a lavorare su Telegram come risposta diretta alla pressione personale delle autorità russe. All’epoca, nel 2012, WhatsApp trasferiva ancora in chiaro i messaggi in transito. Una cosa da pazzi. Non solo i governi o gli hacker, ma anche i gestori di telefonia mobile e gli amministratori di reti wi-fi potevano avere accesso a tutti i testi di WhatsApp [7] [8].

Successivamente WhatsApp ha aggiunto un po’ di crittografia, elemento che si è rivelato rapidamente uno stratagemma di marketing: la chiave per decodificare i messaggi era disponibile per diversi governi, inclusi i russi [9]. Poi, mentre Telegram iniziava a guadagnare popolarità, i fondatori di WhatsApp vendettero la loro azienda a Facebook e dichiararono che “la privacy era nel loro DNA” [10]. Se fosse stato vero, doveva essere un gene dormiente o recessivo.

Tre anni fa WhatsApp ha annunciato di aver implementato la crittografia end-to-end in modo che “nessuna terza parte possa accedere ai messaggi”. Ha coinciso con una spinta aggressiva che inviatava tutti gli utenti per eseguire il backup delle chat nel cloud. Quando ha spinto verso questa scelta, WhatsApp non ha comunicato agli utenti che, una volta eseguito il backup, i messaggi non erano più protetti dalla crittografia end-to-end ma erano accessibili agli hacker e alle forze dell’ordine. Per un marketing brillante, alcune persone ingenue ora stanno scontando pene in prigione [11].

Quelli abbastanza intelligenti da non farsi abbindolare dai pop-up continui che dicono loro di eseguire il backup delle loro chat possono ancora essere tracciati da una serie di trucchi: dall’accesso ai backup dei loro contatti alle modifiche invisibili della chiave di crittografia [12]. I metadati generati dai log di utenti di WhatsApp che descrivono con chi e quando chattano – sono trapelati a tutti i tipi di agenzie in grandi quantità dalla società madre di WhatsApp [13]. Oltre a ciò, c’è un mix di vulnerabilità critiche che si susseguono l’una dopo l’altra.

WhatsApp ha una storia coerente – dalla crittografia nulla all’inizio fino a una serie di problemi di sicurezza stranamente adatti a scopi di sorveglianza. Guardando indietro, non c’è stato un solo giorno nel percorso di 10 anni di WhatsApp in cui questo servizio sia stato sicuro. Ecco perché non penso che solo l’aggiornamento dell’app mobile di WhatsApp possa renderla sicuro per chiunque. Perché WhatsApp diventi un servizio orientato alla privacy, deve rischiare di perdere interi mercati e scontrarsi con le autorità del proprio paese d’origine. Non sembrano essere pronti per tutto ciò [14].

L’anno scorso i fondatori di WhatsApp hanno lasciato l’azienda per lle preoccupazioni sulla privacy degli utenti [15]. Sono sicuramente obbligati da accordi di non divulgazione o NDA, quindi non sono in grado di discutere apertamente le backdoor senza rischiare di perdere patrimoni e la loro libertà. Hanno ad ogni modo ammesso di aver “venduto la privacy dei loro utenti” [16].

Capisco la riluttanza dei fondatori di WhatsApp a fornire maggiori dettagli: non è facile mettere a repentaglio il proprio comfort. Diversi anni fa ho dovuto lasciare il mio paese dopo aver rifiutato di ottemperarae a sanzioni del governo per le violazioni della privacy degli utenti VKontakte [17]. Non è stato piacevole. Ma farei qualcosa di simile di nuovo? Volentieri. Prima o poi ognuno tutti moriremo, ma noi, come specie, resteremo per un po’. Ecco perché penso che accumulare denaro, fama o potere sia irrilevante. Servire l’umanità è l’unica cosa che conta davvero nel lungo periodo.

Eppure, nonostante le nostre intenzioni, sento che deluderemo l’umanità con tutta questa storia di spyware su WhatsApp.

Un sacco di persone non possono smettere di usare WhatsApp, perché i loro amici e la famiglia è ancora lì. Significa che noi di Telegram abbiamo fatto un brutto lavoro nel persuadere le persone a cambiare.

Negli ultimi cinque anni abbiamo attirato centinaia di milioni di utenti ma questo non è abbastanza. La maggior parte degli utenti di Internet sono ancora tenuti in ostaggio dall’impero Facebook/WhatsApp/Instagram.

Molti di coloro che usano Telegram sono anche su WhatsApp, ovvero i loro telefoni sono ancora vulnerabili. Lo sono anche quelli che hanno abbandonato WhatsApp completamente, utilizzando Facebook o Instagram, entrambi le app pensano che sia OK memorizzare le password in testo non crittografato [18] [19] : non riesco ancora a credere che un’azienda tecnologica possa fare qualcosa del genere e ottenere accesso con uno stratagemma simile.

In quasi 6 anni di esistenza, Telegram non ha avuto alcuna perdita di dati o sicurezza: un problema che in WhatsApp si verifica puntualmente a distanza di qualche mese. Negli stessi 6 anni, Telegram ha fornito esattamente zero byte di dati a terze parti, mentre Facebook/WhatsApp hanno condiviso praticamente tutto con tutti coloro che sostenevano di aver lavorato per il governo [13].

Poche persone al di fuori della community dei fan di Telegram comprendono che la maggior parte delle nuove funzionalità dei messaggi appaiono per la prima volta su Telegram e successivamente copiati su WhatsApp. Di recente stiamo assistendo al tentativo di Facebook di prendere in prestito l’intera filosofia di Telegram, con Zuckerberg che improvvisamente dichiara l’importanza della privacy e della velocità, citando praticamente la descrizione dell’app di Telegram parola per parola nel suo discorso a F8 (la conferenza degli sviluppatori di Facebook n.d.r.).

Ma lamentarsi dell’ipocrisia di FB e della mancanza di creatività non aiuta. Dobbiamo ammetterlo: Facebook sta portando avanti una strategia efficiente. Guardate cosa hanno fatto a Snapchat [20].

Noi di Telegram dobbiamo riconoscere la nostra responsabilità nel determinare il futuro. Ci siamo noi contro il monopolio di Facebook. È una scelta tra libertà e privacy o tra avidità e ipocrisia. La nostra squadra è stata in competizione con Facebook negli ultimi 13 anni. Li abbiamo già battuti una volta, nel mercato dei social network dell’Europa orientale [21]. Li batteremo ancora dentro il mercato globale della messaggistica. Dobbiamo farlo.

Non sarà facile. Il reparto marketing di Facebook è enorme. Noi di Telegram, tuttavia, facciamo zero marketing. Non vogliamo pagare giornalisti e ricercatori per raccontare al mondo cosa fa Telegram.

Per questo, ci affidiamo a te, ai milioni di nostri utenti. Se Telegram ti piace abbastanza, dillo ai tuoi amici. E se ogni utente di Telegram convince tre dei suoi amici a cancellare WhatsApp e spostarsi permanentemente su Telegram, Telegram sarà già più popolare di WhatsApp. L’epoca dell’avidità e dell’ipocrisia finirà. Inizierà un’era di libertà e privacy. È molto più vicino di quanto sembri.

Riferimenti

[1] Business Insider WhatsApp was hacked and attackers installed spyware on people’s phonesMay 15, 2019
[2] Security Today WhatsApp Bug Allowed Hackers to Hijack AccountsOctober 12, 2018
[3] Wikipedia Gag order – United States
[4] Neowin FBI asked Durov and developer for Telegram backdoor – September 19, 0271
[5] The Baffler The Crypto-Keepers – September 17, 2017
[6] New York Times What Is Telegram, and Why Are Iran and Russia Trying to Ban It? – May 2, 2018
[7] YourDailyMac Whatsapp leaks usernames, telephone numbers and messages – May 19, 2011
[8] The H Security Sniffer tool displays other people’s WhatsApp messages – May 13, 2012
[9] FilePerms WhatsApp is broken, really broken – September 12, 2012
[10] International Business Times Respect for Privacy Is Coded Into WhatsApp’s DNA: Founder Jan Koum – March 18, 2014
[11] Slate How Did the FBI Access Paul Manafort’s Encrypted Messages? – June 5, 2018
[12] AppleInsider WhatsApp backdoor defeats end-to-end encryption, potentially allows Facebook to read messages – January 13, 2017
[13] Forbes Forget About Backdoors, This Is The Data WhatsApp Actually Hands To Cops – January 22, 2017
[14] New York Times Facebook Said to Create Censorship Tool to Get Back Into China – November 22, 2016
[15] The Verge WhatsApp co-founder Jan Koum is leaving Facebook after clashing over data privacy – April 30, 2018
[16] CNET WhatsApp co-founder: ‘I sold my users’ privacy’ with Facebook acquisition – September 25, 2018
[17] New York Times Once celebrated in Russia, programmer Pavel Durov chooses exile – December 2, 2014
[18] TechCrunch Facebook admits it stored ‘hundreds of millions’ of account passwords in plaintext – March 21, 2019
[19] Engadget Facebook stored millions of Instagram passwords in plain text – 18 April, 2019
[20] Vanity Fair Snapchat is doing so badly, the feds are getting involved – November 14, 2018
[21] HuffPost Vkontakte, Facebook Competitor In Russia, Dominates – October 26, 2012

Conclusione

Questo è tutto quello che possiamo dirvi su questo argomento, adesso la parola passa a voi utenti e utilizzatori di Telegram. Quindi lasciate un commento qui sotto. Poi come al solito, vi aspettiamo sul nostro canale ufficiale su Telegram, ma anche nel supergruppo InsideTelegramLab e nel canale InsiDevCode.

 

Perché WhatsApp non sarà mai sicuro? Pavel Durov ci spiega il perché!