WhatsApp, secondo le recenti statistiche di diffusione, è l’applicazione di messaggistica più diffusa al mondo, tanto che – oggi – può vantare oltre 1 miliardo di utenti attivi al mese. A partire dallo scorso anno, poi, grazie all’introduzione della crittografia automatica end-to-end, tutto ciò che viene detto e scambiato attraverso le sue linee è a prova di intercettazione: o, almeno, è così che si credeva. Secondo Tobias Boelter, ricercatore di sicurezza presso l’università californiana di Berkeley, vi sarebbe una falla, nelle chat criptate di WhatsApp, che ne metterebbe a repentaglio la sicurezza.
WhatsApp, tempo fa, ha mutuato il protocollo di criptazione di “Open Whisper System”, già integrato in “Signal” (pronuncia: sig-nal), l’applicazione di messaggistica ritenuta più sicura al mondo persino da Edward Snowden, il noto informatico statunitense ex CIA. Secondo questo protocollo, quando due persone si scambiano un messaggio, quest’ultimo viene criptato con una chiave che è a disposizione solo delle 2 parti in questione: in questo modo, chiunque riuscisse a intercettare un messaggio, si troverebbe in mano una sequenza incomprensibile di bit.
Il problema, però, sta nel modo in cui WhatsApp ha deciso di implementare questo protocollo, lasciandovi – consapevolmente – una backdoor: circostanza, questa, verificata anche dagli esperti della European-Bahraini Organisation for Human Rights, che si occupa di sicurezza e sorveglianza digitale. Nello specifico, quando due contatti sono online, il messaggio che passa dal primo al secondo è effettivamente criptato in modo sicuro. Tuttavia, basta che il destinatario non sia online, perché in una zona irraggiungibile, senza traffico dati, o con lo smartphone scarico, perché – proprio in quel range temporale – WhatsApp possa intervenire a cambiare la chiave di criptazione, in modo del tutto invisibile per il ricettore della comunicazione.
Boelter, appurato che la falla in oggetto esiste ancora, ha subito informato Facebook – proprietaria dell’app fondata nel 2009 da Jan Koum (attuale CEO della società) – della circostanza, attendendo una risposta che non ha tardato ad arrivare.
Secondo i programmatori di Menlo Park, quella segnalata da Boelter non sarebbe una falla, ma una feature di sistema (!) prevista dal network per i casi in cui un utente dovesse cambiare (o perdere) uno smartphone, o dovesse sostituirne la SIM: in queste fattispecie, si perderebbero tutti i messaggi che – in questo lasso temporale – fossero stati inviati all’utente, senza che quest’ultimo sapesse nemmeno della loro giacenza in attesa. Grazie alla possibilità, arrogatasi da WhatsApp di cambiare le chiavi criptografiche, in questi frangenti, invece, tutti i messaggi verranno – comunque – recapitati a destinazione.
Premura apprezzabile. Non fosse che, in questo modo, le agenzie di sicurezza, o i governi che praticano la censura, potranno – comunque – chiedere (ed ottenere) da Facebook l’accesso a talune conversazioni, mettendo in pericolo, per esempio, i tanti attivisti che, per comunicare, usano proprio WhatsApp.
Con tali premesse, l’unica cosa che l’utente può fare è, o passare a Signal (o Telegram, o Threema), o (seguendo i consigli del team stesso di Zuckerberg) recarsi in “Impostazioni > Account > Sicurezza”, ed attivare le notifiche che si riceveranno ogni qualvolta un nostro contatto modifichi le chiavi crittografiche di sicurezza (sperando, appunto, sia per un cambio di SIM, o di smartphone).