Un ricercatore esperto di sicurezza informatica afferma di aver scoperto una backdoor in WhatsApp che permetterebbe, se sfruttata, di leggere tutte le conversazioni degli utenti.
Facebook e WhatsApp, quindi, nonostante l’implementazione della crittografia end-to-end (Crittografia end to end su WhatsApp, come funziona) avrebbero la possibilità di risalire ai messaggi degli utenti ed eventualmente metterli a disposizione delle autorità, su loro richiesta.
Secondo Tobias Boelter, crittografo e ricercatore presso l’Università della California, l’implementazione della cifratura end-to-end, così come adottata, soffrirebbe di una grave vulnerabilità.
Boelter spiega che WhatsApp può forzare la modifica delle chiavi crittografiche quando un client si trova offline, quindi non collegato al network.
Ogni messaggio WhatsApp non ancora trasmesso verrebbe automaticamente inviato, al successivo collegamento da parte del destinatario, con la nuova chiave crittografica. Né il mittente né il destinatario della comunicazione – sulla base delle attuali impostazioni di default di WhatsApp – possono rendersi conto dell’accaduto.
Questa nuova cifratura e il nuovo invio delle chiavi può consentire a WhatsApp di intercettare e leggere i messaggi degli utenti.
È piuttosto curioso è che Signal, app di messaggistica considerata super-sicura (Edward Snowden ha più volte ammesso di utilizzarla) e sviluppata da Moxie Marlinspike, non integra la medesima vulnerabilità. Lo stesso protocollo usato in Signal è stato infatti abbracciato da WhatsApp e non è dato sapere quando e come la lacuna di sicurezza è entrata nel client di messaggistica di proprietà di Facebook.
Boelter osserva che in Signal allorquando la chiave crittografica dovesse essere modificata dal destinatario di un messaggio mentre l’utente è offline, la comunicazione semplicemente non viene presa in carico e il mittente viene informato circa l’accaduto.
La vulnerabilità esiste tutt’oggi e Boelter, quando ad aprile 2015 ha segnalato il problema ai tecnici di Facebook, si è sentito rispondere: “si tratta di una funzionalità prevista“.
I buoi sono ora usciti dalla stalla: Facebook e WhatsApp dovranno nei prossimi giorni certamente affrontare una forte ondata di critiche.