In questi giorni si sta tenendo, a Zurigo, la conferenza “Real World Crypto” in cui diversi esperti e sviluppatori stanno ragionando sull’impiego della crittografia in contesti reali (come servizi internet, cloud, messaggistica, device hardware). L’evento si concluderà solo il 12 Gennaio, eppure è già emerso un allarme piuttosto serio in merito a WhatsApp, i cui gruppi privati sarebbero a rischio infiltrazioni.
Il rapporto che ha posto il problema della scarsa blindatura effettiva dei gruppi privati su WhatsApp è stato proposto dall’istituto per che si occupa di “IT Security Chair for Network and Data Security” presso l’università tedesca della Ruhr, a Bochum. Secondo i ricercatori, basta assumere il controllo di uno dei server di WhatsApp, per poter aggiungere ai gruppi privati delle persone esterne, come se si disponesse dei relativi poteri amministrativi: in questo modo, il neo entrato – pur non invitato – dal momento del suo ingresso potrà leggere tutti i nuovi messaggi, acquisendo dati sensibili altamente identificativi, potrà scrutare l’elenco dei contatti di cui si compone il gruppo, ed annotarsi i vari nomi. Non il massimo, ad esempio, per quegli attivisti politici che usano WhatsApp per eludere la censura e le sanzioni dei loro paesi natali.
WhatsApp, chiamata in causa da tale notizia, presto propagata online dai colleghi di Wired, ha inteso minimizzare il problema, spiegando che le policy di sicurezza della piattaforma impediscono a chi entra di poter leggere anche quello che ci si è detti prima e che, al suo ingresso, una notifica avvertirà comunque tutti i partecipanti al gruppo privato ed alle relative conversazioni (cosa che, però, non tutti potrebbero notare).
In realtà, la vera garanzia che dovrebbe rassicurare gli utenti dell’app in verde sta nel fatto che sfruttare una tal vulnerabilità,ufficialmente ammessa dallo staff di Jan Koum, non è affatto facile e, anzi, richiede grandi capacità tecniche, che possono essere messe in campo o da hacker molto esperti, o dall’intelligence di alcuni paesi, o da “dipendenti infedeli” di Menlo Park.
Quello che è certo, hanno sottolineato i ricercatori (e, tra questi, Paul Roesler in particolare), è che quando in un gruppo privato entra una persona che non vi è stata invitata, in virtù della sua capacità di leggere tutti i nuovi messaggi, cessa la riservatezza che, in teoria, dovrebbe essere garantita dalla tanto sbandierata crittografia end-to-end, introdotta in WhatsApp nel 2016. Sotto tale punto di vista, se nessun’app può dirsi esente da criticità (neppure Signal o Threema), quelle presenti nell’app in verde di Mark Zuckerberg sono decisamente tante e significative.