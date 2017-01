Quando lo scorso anno WhatsApp ha introdotto la funzionalità di cifratura robusta end-to-end usando il protocollo Signal, la decisione è stata acclamata da tecnici e paladini della privacy. All’epoca, gli occhi delle persone sensibili al tema della privacy erano tutti puntati sulla lotta tra Apple e l’FBI per la rivelazione del contenuto dell’iPhone appartenuto al killer di San Bernardino, in California.

Una vulnerabilità scoperta dal ricercatore di sicurezza Tobias Boelter dell’Università di Berkeley (WhatsApp Retransmission Vulnerability), potrebbe però consentire a chi gestisce la piattaforma di intercettare e leggere le comunicazioni senza che il destinatario possa rendersene conto, e all’insaputa anche del mittente, se questi non ha attivato la ricezione degli avvisi di sicurezza sulla cifratura.

Si tratta di una cosa ben diversa dal metodo segnalato da alcuni ricercatori italiani e che sfrutta in realtà una vulnerabilità delle segreterie telefoniche poco sicure.

Il metodo prevede di modificare la chiave di sicurezza e forzare il reinvio di un messaggio. La cifratura end-to-end di WhatsApp è basata sulla generazione di chiavi di sicurezza univoche, usando il protocollo Signal, per garantire che la comunicazione sia sicura lungo tutto il tragitto.

WhatsApp, tuttavia, ha la possibilità di forzare l’utilizzo di nuove chiavi di cifratura per gli utenti che si trovino offline al momento dell’invio, e fare in modo che il mittente cifri con le nuove chiavi e reinvii tutti i messaggi che non sono stati segnalati come “ricevuti”.

Il problema è enfatizzato dal comportamento standard di WhatsApp, che invia automaticamente tutti i messaggi non consegnati senza alcuna autorizzazione da parte dell’utente.

Boelter afferma di aver notificato all’azienda la vulnerabilità già nell’Aprile 2016, ottenendo come risposta solo che “questo era esattamente il comportamento atteso per la funzionalità”, e nessun aggiornamento successivo di WhatsApp ha risolto il problema o introdotto avvisi o richiesta di conferma per i nuovi invii dei messaggi non recapitati. Questo atteggiamento ha spinto Boetler a dubitare che si tratti di una backdoor piazata intenzionalmente, e non di una vulnerabilità.

Non vi sono prove che suggeriscano che Facebook abbia usato questa falla per intercettare messaggi WhatsApp, ma l’azienda continua ad affermare che nessuno, nemmeno i dipendenti di Facebook, è in grado di intercettare i messaggi di WhatsApp. E questa affermazione potrebbe non poggiare più su gambe così solide.