WhatsApp e la privacy di un miliardo di utenti

whatsapp crittografia

A cura di Gary Newe, Technical Director di F5 Networks

La scorsa settimana, molti di voi avranno notato il messaggio di WhatsApp apparso su ogni conversazione; accanto all’icona con il lucchetto, un testo recitava: “I messaggi che invii in questa chat e le chiamate sono ora protetti con la crittografia end-to-end. Tocca per maggiori informazioni”. Un aggiornamento dell’applicazione apparentemente semplice di cui però si è parlato molto e che ha causato un enorme sconvolgimento in tutto il settore.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

La novità è che WhatsApp garantisce ora a oltre un miliardo di utenti in tutto il mondo che né WhatsApp né le terze parti possano ascoltare o leggere qualsiasi cosa sia inviata da un utente a un altro, quindi messaggi, foto, video, messaggi vocali, documenti o chiamate.
Per WhatsApp non avere più accesso a questi dati potrebbe rappresentare un problema e molti si sono chiesti se questa mossa non fosse una reazione al caso scoppiato tra Apple e l’FBI a febbraio. Lo ritengo improbabile perché una crittografia end-to-end a questo livello deve avere per forza affrontato una fase di sviluppo e testing durata diverso tempo. Una modifica su questa scala, infatti, non può essere stata realizzata senza avere effettuato molte prove e progettazioni necessarie a escludere qualsiasi impatto negativo su una base utenti enorme.

Quali saranno le conseguenze per gli utenti?

La crittografia è molto comune su Internet; quando un utente effettua un acquisto online o apre normalmente Google, nel browser compare un lucchetto e il protocollo HTTPS, il che significa che i dati inviati attraverso Internet sono crittografati o nascosti a chiunque possa tentare di intercettare o rubare le informazioni, come ad esempio il numero della carta di credito.

Leggi anche:  ESET scopre una vulnerabilità zero-day in WPS Office e rivela una seconda falla di sicurezza

WhatsApp ha portato tutto questo molto oltre perché è la più grande applicazione di messaggistica multi-piattaforma al mondo e funziona su una serie di dispositivi e sistemi differenti; si è trattato quindi di una mossa audace. La crittografia end-to-end è come la differenza tra spedire una cartolina in cui chiunque – compreso il postino – è in grado di leggere il messaggio o chiuderla in una busta in modo che solo chi l’ha scritta e chi la riceve possano leggerla. Quando si utilizza una “end to end encryption” solo gli interlocutori sono in possesso della chiave di crittografia dei messaggi che vengono inviati.

Un messaggio inviato attraverso WhatsApp ora è quindi crittografato dal momento in cui lascia il dispositivo di chi lo ha scritto fino al momento in cui viene prelevato dal destinatario. Nessuno in mezzo, nemmeno WhatsApp, può visualizzare il contenuto, anche se viene catturato durante il transito. Gli utenti non percepiranno alcuna differenza evidente durante l’utilizzo ma ora possono essere certi che i messaggi e le chiamate sono al sicuro rispetto a chiunque cerchi di intercettarli.

Perché se ne parla così tanto?

Il fatto che nemmeno WhatsApp possa visualizzare i messaggi o ascoltare le chiamate significa che se l’azienda riceve una richiesta legale di accesso ad alcuni dati personali o a particolari messaggi, non sarà in grado di soddisfarla. Per come WhatsApp ha implementato la crittografia, sarà molto difficile per le forze dell’ordine e gli enti governativi ottenere l’accesso legale a dati che potrebbero essere importanti per supportare le proprie indagini. Sarà interessante vedere cosa succederà anche rispetto alla sentenza che la Corte europea dei diritti dell’uomo (CEDU) ha emesso a gennaio stabilendo che le aziende hanno il diritto di leggere i messaggi privati dei lavoratori nel caso ritengano sia stata violata una policy sul posto di lavoro. Anche questo aspetto sarà molto difficile da verificare con i messaggi cifrati di WhatsApp.

Leggi anche:  Le organizzazioni sanitarie perdono il 20% dei loro dati sensibili in ogni attacco ransomware

Come potrebbero reagire i governi?

Si discute molto di come le agenzie governative potrebbero bloccare questo aggiornamento, ma credo sarà molto difficile che lo facciano. Vietare la crittografia potrebbe causare enormi danni all’economia digitale. Abbiamo bisogno della crittografia per mantenere i nostri dati personali al sicuro, ma abbiamo anche bisogno di trovare un equilibrio in cui le forze dell’ordine possano ottenere un accesso lecito ai dati a supporto delle indagini.

Siamo in un momento complesso, in equilibrio tra la grande libertà di gestione dei nostri dati personali e della loro condivisione online (aspetto di cui i cybercriminali stanno approfittando) e la ricerca di garanzie rispetto al non essere indebitamente controllati e perdere la nostra privacy. Se altri servizi di messaggistica come Viber, Facebook Messenger e Snapchat reagiranno allo stesso modo di WhatsApp, potremmo trovarci davanti a una vera e propria rivoluzione crittografica.