Cyril Cattiaux, hacker già noto alla scena per aver sviluppato un jailbreak per iOS, sostiene che il protocollo di comunicazione via messaggio di iMessagge non sia a prova di bomba: qualunque cosa dica Apple , la possibilità di intercettare le comunicazioni esiste e Apple stessa, o una agenzia governativa, potrebbe ficcare il naso nelle comunicazioni degli utenti. Da Cupertino smentiscono tutto: senza negare la possibilità, ma giurando che non è questo il modo in cui iMessagge funziona.
Nella sua lunga trattazione , Cattiaux di fatto espone la seguente tesi: sebbene le comunicazioni via iMessage viaggino cifrate dal mittente al destinatario, Apple possiede le chiavi della cifratura e quindi in teoria potrebbe agire da man-in-the-middle per tenere traccia (intercettare) il testo inviato. Se NSA, o qualunque agenzia federale o forza di polizia, avesse interesse a leggere i messaggi di qualcuno potrebbe farlo. In teoria . La buona notizia è che, ammette lo stesso hacker, l’implementazione della cifratura del protocollo è adeguata: senza l’aiuto di Apple, chiunque volesse intercettare i messaggi dovrebbe faticare parecchio .
Da parte sua Apple non smentisce Cattiaux, ma ci tiene a precisare : la possibilità illustrata nel whitepaper è teorica, presuppone delle modifiche al protocollo iMessagge che Cupertino non ha intenzione di attuare. Dunque sebbene Apple potrebbe, di fatto non intercetta alcunché: questo, naturalmente, impone a tutti di fidarsi della parola di Tim Cook e compagni , confidando nella fedeltà alla parola data e all’assenza di backdoor nel servizio di cui non possono parlare per via del segreto loro imposto per legge. Le voci di corridoio dicono comunque che Apple, per scelta, cerchi di tenere sui propri server il minimo indispensabile delle informazioni necessarie al funzionamento di iMessage: niente archivio dei messaggi scambiati, così da minimizzare la quantità e la qualità di informazioni che i federali potrebbero chiedere anche con il mandato di un giudice.
Il panorama dunque è il seguente: iMessage è un protocollo proprietario, secondo gli addetti ai lavori ben fatto, ma essendo in natura poco trasparente nel suo funzionamento potrebbe avere delle controindicazioni per la privacy degli utenti fin qui sconosciute. Le comunicazioni dovrebbero viaggiare abbastanza sicure su questi canali: chi avesse da scambiarsi informazioni sensibili farebbe bene a usare piattaforme alternative, preferibilmente open source, che tengano la chiave della cifratura lontana dalle mani dell’intermediario che si occupa di trasferire i dati dal mittente al destinatario.
Luca Annunziata
Ti potrebbe interessare
22 ott 2013