Il client di messaggistica Telegram ha fatto della sicurezza del network, della privacy degli utenti e dell’assoluta riservatezza delle conversazioni il suo “marchio di fabbrica”. Non solo. Rispetto ad altre soluzioni concorrenti, Telegram è un software opensource che permette a tutti di esaminarne il funzionamento senza costringere a complesse attività di reverse engineering (che sono tra l’altro proibite e ostacolate da prodotti come WhatsApp).
La soluzione per la messaggistica istantanea ideata dall’imprenditore russo Pavel Durov ha addirittura, di recente, invitato gli utenti a creare le proprie versioni di Telegram partendo dal codice sorgente dell’applicazione: Telegram permette di creare versioni riproducibili partendo dal codice sorgente. In questo modo è possibile verificare autonomamente come le versioni di Telegram pubblicate sui principali store online (ad esempio Google Play Store ed Apple App Store) siano derivate direttamente dal codice sorgente ufficiale, senza l’aggiunta di modifiche a posteriori.
Telegram, di base, non offre un sistema di crittografia end-to-end per tutte le comunicazioni tra gli utenti. In altre parole, i normali messaggi che si scambiano usando Telegram non vengono crittografati usando una coppia di chiavi (pubblica e privata), con le chiavi private che vengono generate sui dispositivi personali degli utenti e dove restano sempre memorizzate. Vedere l’articolo di approfondimento Crittografia: come funziona e perché è fondamentale usarla.
La scelta, come hanno più volte spiegato gli sviluppatori di Telegram, è riconducibile alla volontà di rendere facilmente e contemporaneamente accessibili i messaggi scambiati su tutti i dispositivi dell’utente. Anche se si perdesse un dispositivo, le chat e i materiali condivisi attraverso Telegram risulteranno sempre e comunque accessibili.
L’applicazione di messaggistica utilizza infatti, per impostazione predefinita, la crittografia client-server/server-client: ciò significa che i dati vengono comunque cifrati usando un algoritmo chiamato MTProto (a sua volta basato sull’algoritmo AES a 256 bit; vedere questa pagina) e una chiave memorizzata sui server di Telegram. Alcuni governi e forze di polizia hanno spesso inviato richieste formati a Telegram al fine dell’ottenimento della chiave di decodifica dei messaggi ma i responsabili della piattaforma hanno sempre risposto picche. Durov ha infatti garantito agli utenti di Telegram che la chiave crittografica utilizzabile per la decodifica dei messaggi non sarà mai condivisa con soggetti terzi, in nessun caso e per nessun motivo.
Usando esclusivamente la crittografia end-to-end non sarebbe possibile usare simultaneamente Telegram da più postazioni e su più dispositivi. Basti pensare che, ad esempio, per adoperare Telegram Web quindi inviare e ricevere messaggi, foto e documenti da un normale browser, basta confermare il numero di telefono del dispositivo mobile quindi digitare il codice ivi ricevuto via Telegram: Telegram Web, i trucchi per utilizzarlo al meglio.
Diversamente rispetto a quanto accade ad esempio con WhatsApp Web, Telegram Web può essere utilizzato anche allorquando lo smartphone non fosse collegato alla rete.
Chat segrete in Telegram e messaggi che si autodistruggono
Il fatto che di default Telegram non utilizzi la crittografia end-to-end non significa che non sia possibile farne uso.
Come abbiamo ricordato più volte, selezionando Nuova chat segreta dal menu principale dell’applicazione, sia su Android che su iOS, soltanto il mittente e il destinatario dei messaggi potranno accederne al contenuto. Anche gli sviluppatori di Telegram saranno “tagliati fuori”.
Le chat segrete sono riconoscibili per la presenza di un lucchetto verde a sinistra del nome del contatto. Toccando su una precedente chat segreta si può quindi riprendere il dialogo con un altro utente usando la crittografia end-to-end senza dover selezionare di nuovo la voce Nuova chat segreta.
Toccando i tre puntini in alto a destra su Android quindi scegliendo Timer di autodistruzione oppure usando l’icona raffigurante una piccola sveglia nel campo di composizione del messaggio su iOS, si potrà eventualmente impostare l’autodistruzione dei contenuti inviati da un secondo a una settimana.
Trascorso il lasso di tempo specificato, i messaggi verranno contemporaneamente cancellati sia sul dispositivo del mittente che su quello del ricevente. Il timer per l’autodistruzione verrà innescato non appena i contenuti saranno mostrati sul dispositivo mobile del destinatario.
Se si volessero inviare messaggi in grado di autodistruggersi dopo la visualizzazione da parte del destinatario, bisognerà necessariamente scegliere l’opzione Timer di autodistruzione o toccare l’icona della sveglia prima di inviare messaggi e altri tipi di contenuti come immagini e video.
I contenuti non testuali condivisi per periodi di tempo inferiori al minuto (tempo di autodistruzione breve) potranno essere visualizzati solo selezionandoli. Diversamente, essi appariranno sfocati.
Per i motivi illustrati in precedenza, le chat segrete e l’autodistruzione dei messaggi non saranno utilizzabili da Telegram Web.
Proprio per il fatto di non condividere il sorgente, di essere prono alle richieste degli ordini eventualmente ricevuti dalle autorità e in forza della presenza di vulnerabilità – che proprio per la natura dell’applicazione – periodicamente emergono, Durov ha più volte criticato aspramente la rivale WhatsApp: WhatsApp non potrà mai essere un’app sicura: parola dell’ideatore di Telegram.
Secondo Durov, infatti, l’anima closed-source di WhatsApp ha permesso a criminali informatici e soggetti specializzati nel supporto dei servizi di intelligence e nelle attività di spionaggio, di far leva su vulnerabilità sconosciute sia agli sviluppatori che agli utenti. Stando a quanto dichiarato da Durov, infatti, Telegram non è certo esente da vulnerabilità (come qualunque altro software) ma esse vengono scoperte e risolte tempestivamente prima che possano essere in qualsiasi modo sfruttate.
Durante l’utilizzo delle chat segrete, Telegram disattiva anche la creazione di screenshot. Nulla vieta, comunque, di utilizzare una fotocamera per fare una foto alla schermata della conversazione o effettuare il rooting del telefono e sbloccare tale funzionalità.
Come osserva Telegram, quindi, la condivisione di dati personali e informazioni riservate attraverso le chat segrete (con o senza funzionalità di autodistruzione dei messaggi attiva) dovrebbe essere sempre posta in essere con utenti fidati. Telegram offre protezione nei confronti delle terze parti ma non può nulla, ovviamente, nei confronti di un soggetto destinatario determinato a utilizzare altrove i contenuti dei messaggi impostati come in grado di autodistruggersi.