Nel 2016, WhatsApp ha finalmente abilitato la crittografia end-to-end completa sia per le chat che per le videochiamate per garantire che nessuno, tranne il destinatario previsto, possa decifrare i contenuti delle loro comunicazioni. Sfortunatamente, è emerso che il sistema di WhatsApp è stato afflitto da una grande vulnerabilità che è stata scoperta da Tobias Boelter, un ricercatore di crittografia e sicurezza dell'Università della California, Berkeley.
In un'intervista al quotidiano britannico The Guardian, Boelter ha affermato che la backdoor potrebbe consentire a Facebook di leggere contenuti crittografati end-to-end, il che significa che il social network potrebbe essere rispettato con gli ordini del tribunale di rendere i messaggi decrittati disponibili alle forze dell'ordine e ad altri enti governativi
AGGIORNARE: Abbiamo ricevuto una risposta da WhatsApp in merito alla presunta backdoor.
Un portavoce di WhatsApp ha fornito la seguente dichiarazione a iDownloadBlog, spiegando perché la pretesa di The Guardian sulla sicurezza potenzialmente compromessa è falsa.
Il Guardian ha pubblicato una storia stamattina affermando che una decisione di progettazione intenzionale in WhatsApp che impedisce alle persone di perdere milioni di messaggi è una "backdoor" che consente ai governi di forzare WhatsApp a decrittografare i flussi di messaggi. ** Questa affermazione è falsa. **
WhatsApp non offre ai governi una "backdoor" nei suoi sistemi e combatterebbe qualsiasi richiesta del governo di creare una backdoor. La decisione di progettazione a cui fa riferimento la storia di Guardian previene la perdita di milioni di messaggi e WhatsApp offre alle persone notifiche di sicurezza per avvisarli di potenziali rischi per la sicurezza.
WhatsApp ha pubblicato un white paper tecnico sul suo design di crittografia ed è stato trasparente sulle richieste del governo che riceve, pubblicando i dati su tali richieste nel Rapporto sulle richieste del governo di Facebook. (Https://govtrequests.facebook.com/)
La crittografia utilizzata da WhatsApp si basa sul protocollo Signal di Open Whisper Systems.
La cosa sospetta qui è che la stessa vulnerabilità non è presente nell'app Signal. Boelter ha confermato che la vulnerabilità consente sostanzialmente a WhatsApp di modificare le chiavi di crittografia per gli utenti offline. Di conseguenza, eventuali messaggi non inviati o futuri verranno inviati con una nuova chiave di crittografia senza che il destinatario se ne accorga.
Il mittente viene avvisato solo se ha attivato gli avvisi di crittografia nelle impostazioni di WhatsApp, ma solo dopo che i messaggi sono stati rispediti. Questa nuova crittografia e reindirizzamento consente in modo efficace a WhatsApp di intercettare e leggere i messaggi degli utenti.
Contrastalo con il suddetto sistema di segnalazione che notifica al mittente qualsiasi modifica delle chiavi di sicurezza senza rinviare automaticamente il messaggio. In effetti, un messaggio non verrà recapitato tramite l'app Signal se si verifica una modifica delle chiavi di crittografia.
Boelter ha segnalato il problema a Facebook nell'aprile 2016 solo per sapere che si trattava di un "comportamento previsto", sollevando il sospetto che potesse essere una backdoor creata deliberatamente piuttosto che una supervisione ingegneristica o un bug di qualche tipo.
Ancora più preoccupante, The Guardian ha verificato che la backdoor esiste ancora oggi.
Gli attivisti per la privacy hanno criticato lo sviluppo come una "enorme minaccia alla libertà di parola", affermando che potrebbe essere sfruttato dalle agenzie governative. L'esistenza di una backdoor all'interno della crittografia di WhatsApp è "una miniera d'oro per le agenzie di sicurezza" e "un enorme tradimento della fiducia degli utenti", ha affermato Kristie Ball, condirettrice e fondatrice del Center for Research in Information, Surveillance and Privacy.
In ogni caso, Facebook dovrebbe sicuramente chiarire se la crittografia end-to-end di WhatsApp è stata compromessa o meno. E in tal caso, sorge l'inevitabile domanda: Facebook è stato costretto da una terza parte a costruire una backdoor in WhatsApp?
Facebook ha rifiutato il commento, ma aggiorneremo l'articolo se e quando lo faranno.
Fonte: The Guardian
