Pavel Durov, imprenditore russo fondatore del servizio di messaggistica istantanea Telegram, è tornato di nuovo a puntare il dito su WhatsApp dopo le dichiarazioni al vetriolo di maggio 2019: WhatsApp non potrà mai essere un’app sicura: parola dell’ideatore di Telegram.
Durov rincara la dose facendo riferimento al grave problema di sicurezza scoperto in WhatsApp a novembre 2019: come abbiamo spiegato nell’articolo Vulnerabilità in WhatsApp: un video MP4 può portare all’esecuzione di codice pericoloso, la gestione di un contenuto video dannoso da parte delle versioni non aggiornate di WhatsApp poteva portare all’esecuzione di codice arbitrario in modalità remota.
L’inventore di Telegram osserva che WhatsApp, di proprietà di Facebook, gettò immediatamente acqua sul fuoco sostenendo che non vi erano prove circa lo sfruttamento della vulnerabilità da parte dei criminali informatici.
In realtà, la scorsa settimana è emerso che un personaggio di spicco come Jeff Bezos, numero uno di Amazon e uomo più ricco al mondo, è stato preso di mira proprio sfruttando quella stessa vulnerabilità di WhatsApp. Obiettivo degli aggressori (probabilmente finanziati da un governo straniero) sottrarre dati personali e informazioni riservate dallo smartphone di Bezos.
“Nel mio post di novembre, avevo previsto che ciò sarebbe accaduto“, scrive Durov che aggiunge: “le Nazioni Unite ora raccomandano ai propri funzionari di rimuovere WhatsApp dai loro dispositivi mentre alle persone vicine a Donald Trump è stato consigliato di cambiare i loro telefoni. Poiché l’attacco nei confronti di Bezos sembrava provenire da un Paese straniero, è probabile che siano stati presi di mira innumerevoli altri imprenditori e leader di governo“.
Durov ha inoltre affermato che “vista la gravità della situazione ci si aspetterebbero delle scuse da parte di Facebook/WhatsApp oltre all’impegno di rimuovere ogni backdoor dal loro software. Invece le due società hanno addossato le responsabilità ad Apple scaricando la colpa su iOS e non su WhatsApp“.
Secondo Durov le cose non stanno affatto in questi termini perché la vulnerabilità legata alla scorretta gestione di contenuti video danneggiati da parte di WhatsApp non era presente solo su iOS ma anche su dispositivi Android e persino Windows Phone.
Il bug di sicurezza, inoltre, non era presente in altre applicazioni di messaggistica su iOS: “se Jeff Bezos si fosse affidato a Telegram invece che a WhatsApp, non sarebbe stato ricattato dai soggetti che hanno potuto spiare le sue comunicazioni private“, prosegue Durov.
L’utilizzo della cifratura end-to-end verrebbe presentato da Facebook e WhatsApp, sempre secondo Durov, come la panacea per tutti i mali, “come un incantesimo magico che da solo dovrebbe rendere automaticamente sicure tutte le comunicazioni“. In realtà la crittografia end-to-end da sola non può affatto garantire privacy assoluta. Essa deve essere parte integrante di un sistema progettato per tutelare la sicurezza delle comunicazioni.
Gli utenti non vogliono perdere le loro chat quando cambiano dispositivo quindi sono soliti affidarsi a strumenti per il backup dei dati sul cloud. Apple iCloud, però, non crea una copia crittografata delle conversazioni e la Mela è in grado non solo di leggere i dati altrui ma anche di trasferirli ad altri soggetti, ad esempio a fronte di una richiesta formale. “È uno dei motivi per cui Telegram non si affida mai ai backup in cloud di terze parti e le chat segrete non vengono mai sottoposte a backup da nessuna parte“: Telegram e l’autodistruzione dei messaggi: cosa c’è da sapere.
Da più parti, inoltre, viene costantemente richiesto l’inserimento di backdoor nei software di messaggistica. Esse sono camuffate da falle di sicurezza “accidentali”.
“Solo nell’ultimo anno, 12 di questi “difetti” sono stati trovati in WhatsApp. Sette di queste erano critiche, come quella che ha colpito Jeff Bezos. (…) Telegram, applicazione usata da centinaia di milioni di persone, tra cui capi di stato e grandi aziende, non ha avuto problemi di questa gravità negli ultimi 6 anni“, si legge nella nota pubblicata da Durov.
L’esperto russo fa poi riferimento ai difetti nell’implementazione della crittografia. “Come si può essere sicuri che la crittografia che WhatsApp dichiara di utilizzare sia quella effettivamente implementata nelle proprie applicazioni? Il loro codice sorgente è nascosto e i binari delle app sono offuscati, rendendole difficili da analizzare“.
E precisa che le app di Telegram sono opensource e la crittografia utilizzata è completamente documentata dal 2013: Telegram permette di creare versioni riproducibili partendo dal codice sorgente.
Nessun’altra app di messaggistica mette a disposizione degli utenti il codice per verificare che le versioni compilate corrispondano esattamente al sorgente. “E ci si potrebbe chiedere il perché“, ha osservato ancora Durov.