Mirko Zago

La crittografia nei gruppi di WhatsApp fa cilecca

Un gruppo di ricercatori ha segnalato all'azienda che le comunicazioni protette dalla crittografia end-to-end dei gruppi sarebbero a rischio. Ma per opportunismo commerciale forse la situazione rimarrà così

Roma - La crittografia end-to-end introdotta nei primi mesi del 2016 potrebbe non bastare a garantire la privacy nelle comunicazioni in WhatsApp. A causa di un bug infatti sarebbe possibile per occhi indiscreti intromettersi nelle chat di gruppo. A scoprirlo sono stati alcuni ricercatori  della Ruhr University Bochum che hanno presentato lo studio durante la conferenza Real World Crypto tenutasi a Zurigo nei giorni scorsi. Durante i loro test è stato accertato infatti che chiunque abbia diritti d'accesso e controllo sui server di "sostituirsi" alla figura di amministratore del gruppo avendo la possibilità di accedere a tutte le comunicazioni scambiate all'interno del gruppo stesso.


Whatsapp

Solo criminali informatici esperti possono quindi mettere in piedi un attacco simile, oppure dipendenti dell'azienda con doppi fini (o Governi interessati ad esercitare il loro potere per carpire informazioni sui cittadini giustificandosi con la prevenzione al terrorismo). Casi remoti che non per questo giustificano la vulnerabilità. WhatsApp avrebbe già confermato l'effettiva validità della scoperta rassicurando però che gli utenti, nel caso di intromissione e sostituzione dell'amministratore, verrebbero avvisati con un messaggiooffrendo quindi l'opportunità di chiudere le conversazioni. E va da sé che sono in corso misure per risolvere la questione (il team sicurezza di WhatsApp è stato informato del problema già da luglio).

Ma nel frattempo è bene esserne a conoscenza e considerare gli eventuali rischi. Chi ha accesso ai server infatti potrebbe anche ricorrere ad un blocco selettivo dei messaggi e avvisi nel gruppo, così come tacere i singoli componenti del gruppo: l'intromissione sarebbe così molto più difficile da scoprire (nonostante le comunicazioni one to one non sarebbero inficiate).
Non è la prima volta che la crittografia adottata da WhatsApp presenta lacune. Già nel mese di gennaio del 2017 era stata evidenziata una carenza nel sistema di cui l'App si avvale, ovvero Signal, sviluppato da Open Whisper System. Ad ogni utente che chatta viene associata una determinata chiave che deve necessariamente trovare corrispondenza con quella contenuta nel messaggio pena la mancata ricezione. Ma quel è stato scoperto è che le chiavi potrebbero essere contemporaneamente rigenerate e i messaggi in questo caso riconsegnati in maniera forzata ai nuovi intrusi. In tale occasione era stata sottolineata una carenza propria dell'architettura dell'App di difficile risoluzione.

Tornando alla vulnerabilità recentemente scoperta secondo gli esperti, dovrebbe esserne affetta anche l'app Signal (e forse Telegram e Threema) che con WhatsApp condividono lo stesso sistema di crittografia. Migrare al concorrente non dovrebbe quindi offrire vantaggi in termini di sicurezza.

La soluzione più semplice sarebbe di aggiungere un meccanismo di autenticazione per gli inviti ad unirsi al gruppo. La chiave segreta dovrebbe essere posseduta in maniera esclusiva dall'amministratore. Ciò renderebbe meno facile l'invito immediato ad unirsi al gruppo da parte di altri partecipanti. La maggior sicurezza andrebbe quindi contro le maggiori opportunità commerciali e di utilizzo.

Ricordiamo che WhatsApp gestisce da qualche tempo numerosi dati sensibili dell'utente, come ad esempio i suoi spostamenti. Dati al quanto appetibili per i criminali informatici.

Mirko Zago
fonte immagine

Notizie collegate
16 Commenti alla Notizia La crittografia nei gruppi di WhatsApp fa cilecca
Ordina
  • Non è la prima volta che la crittografia adottata da WhatsApp presenta lacune. Già nel mese di gennaio del 2017 era stata evidenziata una carenza nel sistema di cui l'App si avvale, ovvero Signal, sviluppato da Open Whisper System.

    Falso. Il problema non era Signal, il problema era l'implementazione di Facebook del protocollo di Signal.
    non+autenticato
  • - Scritto da: 02298f8475c

    > Falso. Il problema non era Signal, il problema
    > era l'implementazione di Facebook del protocollo
    > di
    > Signal.
    Quindi basta togliere Facebook per fare funzionare whatsapp?
    non+autenticato
  • - Scritto da: Panda Assassino
    > - Scritto da: 02298f8475c
    >
    > > Falso. Il problema non era Signal, il
    > problema
    > > era l'implementazione di Facebook del
    > protocollo
    > > di
    > > Signal.
    > Quindi basta togliere Facebook per fare
    > funzionare
    > whatsapp?
    fai prima a passare direttamente a signal, no?
    non+autenticato
  • [...] oppure dipendenti dell'azienda con doppi fini [...] Casi remoti che non per questo giustificano la vulnerabilità.

    Questa è una delle balle più colossali che si potevano mettere nell'articolo. Con amministratori pagati quattro soldi mentre lavorano da remoto da paesi tipo l'India, le Filippine o la Bulgaria l'incentivo a vendersi i dati sul mercato nero è veramente forte.
    non+autenticato
  • Non ho capito:
    "Tornando alla vulnerabilità recentemente scoperta secondo gli esperti, dovrebbe esserne affetta anche l'app Signal (e forse Telegram e Threema) che con WhatsApp condividono lo stesso sistema di crittografia."

    Ma Telegram non usava MTProto, sviluppato dallo stesso Durev, ed era criticata proprio perché MTProto non aveva lo stesso livello di scrutinio pubblico di Signal?

    Cosa vuol dire che "condividono lo stesso sistema di crittografia"?
    non+autenticato
  • > Ma Telegram non usava MTProto, sviluppato dallo
    > stesso Durev, ed era criticata proprio perché
    > MTProto non aveva lo stesso livello di scrutinio
    > pubblico di
    > Signal?

    Non proprio, Durev aveva trafugato una parte del codice da Firefox il Panda, per questo era stato criticato. E' cosa piuttosto nota.
    non+autenticato
  • Nel momento in cui NSA o altre agenzie sono in grado di accedere alle comunicazioni che gli utenti considerano private, allora la crittografia e tutto il sistema stanno funzionando benissimo, come da specifiche governative e a norma di legge.
  • - Scritto da: panda rossa
    > Nel momento in cui NSA o altre agenzie sono in
    > grado di accedere alle comunicazioni che gli
    > utenti considerano private, allora la
    > crittografia e tutto il sistema stanno
    > funzionando benissimo, come da specifiche
    > governative e a norma di
    > legge.

    non vedo che problemi ti fai visto che adesso passa tutto da facebook
    non+autenticato
  • - Scritto da: Barista
    > - Scritto da: panda rossa
    > > Nel momento in cui NSA o altre agenzie sono in
    > > grado di accedere alle comunicazioni che gli
    > > utenti considerano private, allora la
    > > crittografia e tutto il sistema stanno
    > > funzionando benissimo, come da specifiche
    > > governative e a norma di
    > > legge.
    >
    > non vedo che problemi ti fai visto che adesso
    > passa tutto da
    > facebook

    E il tipico gioco dei bottoni, si fanno vedere tutta una serie di bottoni, piccoli, medi, grandi, e si racconta che chiudono la patta per bene, ma nello stesso tempo tengono nascosta una grande cerniera aperta.Sorpresa
    non+autenticato
  • oddio e dentro che c'è?

    cmq se gli hacker leggono il contenuto dei gruppi whatsapp vanno in depressione. rischia di essere il bug meno sfruttato della storia
    - Scritto da: Il Fuddaro
    > - Scritto da: Barista
    > > - Scritto da: panda rossa
    > > > Nel momento in cui NSA o altre agenzie sono in
    > > > grado di accedere alle comunicazioni che gli
    > > > utenti considerano private, allora la
    > > > crittografia e tutto il sistema stanno
    > > > funzionando benissimo, come da specifiche
    > > > governative e a norma di
    > > > legge.
    > >
    > > non vedo che problemi ti fai visto che adesso
    > > passa tutto da
    > > facebook
    >
    > E il tipico gioco dei bottoni, si fanno vedere
    > tutta una serie di bottoni, piccoli, medi,
    > grandi, e si racconta che chiudono la patta per
    > bene, ma nello stesso tempo tengono nascosta una
    > grande cerniera aperta.
    >Sorpresa
    non+autenticato
  • - Scritto da: Fabrizio
    > oddio e dentro che c'è?
    >
    > cmq se gli hacker leggono il contenuto dei gruppi
    > whatsapp vanno in depressione. rischia di essere
    > il bug meno sfruttato della
    > storia
    > - Scritto da: Il Fuddaro
    > > - Scritto da: Barista
    > > > - Scritto da: panda rossa
    > > > > Nel momento in cui NSA o altre agenzie sono
    > in
    > > > > grado di accedere alle comunicazioni che gli
    > > > > utenti considerano private, allora la
    > > > > crittografia e tutto il sistema stanno
    > > > > funzionando benissimo, come da specifiche
    > > > > governative e a norma di
    > > > > legge.
    > > >
    > > > non vedo che problemi ti fai visto che adesso
    > > > passa tutto da
    > > > facebook
    > >
    > > E il tipico gioco dei bottoni, si fanno vedere
    > > tutta una serie di bottoni, piccoli, medi,
    > > grandi, e si racconta che chiudono la patta per
    > > bene, ma nello stesso tempo tengono nascosta una
    > > grande cerniera aperta.
    > >Sorpresa

    Dipende da persona a persona. Ad esempio a certe persone c'è un fornucolo piccino, piccino, molti di questi passano per questo immondezzaio chiamato forum.
    adesso seguite pure o voi che vi sentite toccati nell'animo foruncolo!
    non+autenticato
  • - Scritto da: Fabrizio
    > oddio e dentro che c'è?
    Non lo so, ma senza il panda noi tutti saremmo persi.

    Io spero tanto che si candidi al posto di Casaleggio e Maio.
    Mi sentirei più sicuro.
    non+autenticato
  • - Scritto da: Barista
    > - Scritto da: panda rossa
    > > Nel momento in cui NSA o altre agenzie sono in
    > > grado di accedere alle comunicazioni che gli
    > > utenti considerano private, allora la
    > > crittografia e tutto il sistema stanno
    > > funzionando benissimo, come da specifiche
    > > governative e a norma di
    > > legge.
    >
    > non vedo che problemi ti fai visto che adesso
    > passa tutto da
    > facebook

    Io nessuno.
    Per le mie comunicazioni riservate preferisco usare lo spray sul muro lato strada.
    E' molto piu' sicuro.
  • > > non vedo che problemi ti fai visto che adesso
    > > passa tutto da
    > > facebook
    > Io nessuno.
    Menomale, ma sotto dicono che Facebook dà problemi a whatsapp.
    Dici che riguarda anche Xiaomi?

    > Per le mie comunicazioni riservate preferisco
    > usare lo spray
    Che marca?
    non+autenticato
  • - Scritto da: panda rossa

    Panda, aiutaci tu, cosa dobbiamo fare?

    Siamo nelle tue mani.
    non+autenticato