WhatsApp è sicuramente l’app per la messaggistica istantanea più diffusa ed utilizzata (può vantare 900 milioni di utenti attivi ogni mese; largamente cresciuti rispetto ai 430 milioni circa di gennaio 2014). Il punto di forza di WhatsApp è proprio la sua popolarità: toccando l’icona Selez. contatto nella parte superiore della sua schermata, è possibile sapere – istantaneamente – quali tra i contatti presenti nella rubrica sono utenti di WhatsApp. Installando WhatsApp, quindi, ci sono ottime probabilità che buona parte dei propri contatti facciano uso dell’applicazione.
Nell’articolo Ecco le alternative a WhatsApp: comparativa con Hangouts, WeChat, LINE, Telegram e Viber abbiamo presentato e paragonato le principali alternative a WhatsApp.
Citata en passant nell’articolo App messaggistica più sicure: lo studio di EFF come alternativa a WhatsApp è possibile oggi valutare anche l’ottima TextSecure.
Sviluppata da Moxie Marlinspike – noto ed apprezzato crittografo – ed, in particolare, dalla sua Open Whisper Systems, azienda con la quale la stessa WhatsApp ha stretto un accordo per la realizzazione del sistema di cifratura end-to-end usato dall’applicazione, TextSecure nasce come alternativa a WhatsApp per coloro che desiderano scambiarsi messaggi e SMS con in massimo livello di sicurezza.
Diversamente rispetto a WhatsApp, infatti, TextSecure può sostituire l’applicazione di default usata per la gestione degli SMS o comunque quella sviluppata da terze parti.
Dotata di un’interfaccia essenziale ma pratica da usare TextSecure consente di inviare messaggi e SMS evitando che eventuali malintenzionati o semplici “spioni” possano leggerne il contenuto.
Nel caso del meccanismo di cifratura end-to-end usato da TextSecure le chiavi private usate per decodificare i messaggi sono mantenute sui dispositivi di ciascun utente. Ciò significa che neppure i tecnici di Open Whisper possono risalirne al contenuto.
La cifratura end-to-end, ossia da mittente a destinatario (e viceversa), si verifica nel momento in cui le chiavi crittografiche vengono conservate lato utente e non sui server responsabili del funzionamento dell’applicazione di messaggistica (nell’articolo Crittografare email da web con Mailvelope abbiamo ulteriormente approfondito questo argomento).
Con TextSecure si sarà sicuri che i propri messaggi non possano essere letti da parte di terzi non autorizzati ma solo dal destinatario. Anche immagini, video ed altri contenuti multimediali saranno scambiati in forma ugualmente cifrata.
L’unico problema è che, al momento, TextSecure non è compatibile con i tablet ed in generale con i dispositivi mobili dotati di schermi più grandi.
Dopo aver avviato TextSecure, si dovrà confermare il proprio numero mobile che, come accade con molte altre app, sarà utilizzato come identificativo per il login.
Dapprima, TextSecure chiederà se s’intenda o meno sostituire l’app attualmente usata per la gestione degli SMS inviati e ricevuti.
Successivamente, toccando l’icona in basso a destra nella schermata principale di TextSecure, si potranno controllare i contatti che usano TextSecure e coi quali si possono subito scambiare messaggi sicuri.
Viceversa, toccando il nome di un contatto che non ha installato l’app TextSecure, verrà visualizzato il messaggio Invia SMS non cifrato.
Di default TextSecure non permette di effettuare screenshot del contenuto di una qualunque sua schermata e consente eventualmente anche di impostare una password per l’utilizzo dell’app.
Per variare queste regolazioni, è sufficiente accedere alle impostazioni di TextSecure quindi toccare Privacy.
Dalla stessa schermata delle impostazioni, è possibile variare le preferenze legate alla gestione di SMS e MMS (quindi far sì, ad esempio, che TextSecure diventi l’app di default).
Su Android l’app realizzata da Open Whisper si chiama appunto TextSecure mentre su piattaforma Apple iOS viene “pubblicizzata” col nome di Signal:
– Download TextSecure per Android
– Download TextSecure per iOS
TextSecure e Signal hanno ottenuto la valutazione massima da parte di EFF (Electronic Frontier Foundation; vedere quest’analisi).
Le due applicazioni, infatti, sono tra le poche che non soltanto usano la crittografia end-to-end (con la conservazione della chiavi lato utente e non lato server) ma offrono codice aperto liberamente analizzabile da parte di chiunque. Inoltre, nel caso di TextSecure e Signal, il funzionamento degli algoritmi crittografici impiegati è adeguatamente documentato.
L’impiego del meccanismo forward secrecy, inoltre, impedisce ad un aggressore di decodificare il traffico dati cifrato in precedenza nel momento in cui dovesse essere sottratta la chiave privata a protezione della connessione.