Come sappiamo WhatsApp consente di memorizzare i backup dei messaggi e degli allegati su Google Drive oppure su Apple iCloud a seconda che si utilizzi un dispositivo mobile Android o iOS.
A suo tempo avevamo sottolineato che mentre è attiva la crittografia end-to-end tra utenti quindi i messaggi scambiati non possono essere né letti né modificati da parte di terzi (e nemmeno da WhatsApp o Facebook, tranne che in un’importante eccezione), i backup conservati su Google Drive e Apple iCloud non sono criptati.
Tant’è vero che vi avevamo presentato una procedura per recuperare la chiave crittografica di WhatsApp da Google Drive.
Mark Zuckerberg ha anticipato che nelle prossime settimane ci sarà un cambiamento rilevante: chi lo vorrà potrà impostare una password personale per proteggere gli archivi conservati su Google Drive ed Apple iCloud. In alternativa si potrà creare e salvare una chiave crittografica da 64 byte che verrà utilizzata a protezione dei backup memorizzati sul cloud.
Facebook, azienda che detiene la proprietà di WhatsApp, conserverà sui suoi sistemi (all’interno di appositi hardware security module o HSM dislocati a livello di data center) una chiave associata alla password o alla chiave crittografica utilizzata da ogni singolo utente per proteggere il backup.
Quando l’accesso a HSM viene sbloccato comunicando la password corretta Facebook fornirà la chiave crittografica che porterà alla decodifica in ambito locale, quindi solamente sul dispositivo dell’utente, degli archivi di backup conservati sui server di Google o di Apple.
In questo modo Google ed Apple non potranno più in alcun modo accedere al contenuto dei backup di WhatsApp e il ripristino delle informazioni risulterà impossibile se l’utente dovesse digitare per più volte in modo errato la password o la chiave da 64 byte.
Il sistema di protezione del contenuto dei backup proposto da Facebook e WhatsApp è progettato in maniera tale da garantire che nessun soggetto al di fuori del legittimo proprietario dell’account possa accedere a un backup. WhatsApp saprà solo che esiste una chiave conservata in un HSM detenuto da Facebook ma non conoscerà né la chiave né la password associata.
Will Cathcart, CEO di WhatsApp, ha dichiarato che l’obiettivo è rafforzare la protezione dei dati degli utenti e tutelare la riservatezza delle informazioni scambiate attraverso il client di messaggistica, anche andando contro alle richieste dei governi di molti Paesi che vorrebbero utilizzare backdoor o pretenderebbero di accedere ai dati degli utenti in caso di necessità.
Cathcart ha anche lanciato una critica ad Apple: iMessage permette la cifratura dei messaggi ma le chiavi di decodifica sono note all’azienda di Cupertino.
A quanto sembra l’attivazione della nuova funzionalità di protezione dei backup su Google Drive ed Apple iCloud dovrà essere attivata manualmente dagli utenti non appena verrà resa disponibile per tutti: ci vorrà presumibilmente ancora qualche settimana.