Pavel Durov, imprenditore russo noto per aver inventato il software di messaggistica Telegram, ha colto al balzo il caso relativo all’incidente occorso a WhatsApp durante le ultime settimane (vedere l’articolo Vulnerabilità in WhatsApp permetteva il monitoraggio degli smartphone) per sparare a zero sulla concorrenza.
Secondo Durov, nonostante l’utilizzo di un algoritmo di cifratura dei dati end-to-end, WhatsApp non potrà mai essere un’applicazione sicura.
Una o più vulnerabilità (secondo le prime analisi sembra che gli aggressori abbiano sfruttato più falle zero-day…) insite in WhatsApp hanno permesso di installare uno spyware sugli smartphone di soggetti ben precisi, evidentemente bersaglio di servizi di intelligence o organi governativi di alcuni Paesi.
Durov stigmatizza l’accaduto evidenziando che la tipologia di aggressione recentemente scoperta è davvero subdola e ha permesso, instaurando una semplice chiamata vocale WhatsApp, di usare il client di messaggistica per estrarre dagli altrui telefoni email, testi, foto e così via.
“La notizia non mi ha sorpreso“, ha osservato Durov, “perché lo scorso anno WhatsApp ha dovuto ammettere la presenza di una lacuna di sicurezza molto simile“.
Ne avevamo parlato anche noi nell’articolo Aggiornare WhatsApp è importante: un problema di sicurezza può esporre i propri dati.
“Diversamente rispetto a Telegram, WhatsApp non è un software opensource: i ricercatori esperti in materia di sicurezza non hanno modo di analizzarne puntualmente il codice sorgente e mettersi alla ricerca di vulnerabilità“, continua ancora Durov che spiega come non soltanto la società controllata da Facebook si astenga dal pubblicare il codice dell’applicazione ma, addirittura, utilizzi tecniche di offuscamento dei file binari in modo da renderne più complessa l’analisi.
Mentre Edward Snowden, Thomas Ptacek e Moxie Marlinspike (sviluppatore che ha realizzato Signal e ha fornito a WhatsApp lo stesso algoritmo crittografico utilizzato in forma leggermente modificata) avevano a suo tempo stigmatizzato Telegram osservando che soggetti terzi possono forzare gli sviluppatori a fornire le chiavi crittografiche, conservate lato server, e usate per proteggere il contenuto dei messaggi scambiati (fatta eccezione per le cosiddette chat segrete di Telegram; vedere anche Telegram Web, i trucchi per utilizzarlo al meglio).
Durov, da parte sua, mette in evidenza che WhatsApp potrebbe dover sottostare ad eventuali ordini imposti dalle autorità, FBI in primis. Come riassunto anche su Wikipedia, WhatsApp potrebbe addirittura essere indotta a inserire delle backdoor che permettano di controllare soggetti ben precisi.
“Non è facile gestire un’applicazione di messaggistica negli Stati Uniti. In una settimana che il nostro team ha speso negli USA, esso ha subìto tre tentativi di infiltrazione da parte dell’FBI“, scrive nero su bianco Durov. “Immaginate cosa possa succedere a un’azienda che da 10 anni esercita il suo business negli States“.
L’ideatore di Telegram ammette che le agenzie che si occupano di sicurezza nazionale spesso si muovono con il preciso obiettivo di porre in essere azioni anti-terroristiche. Il problema, però, è che le stesse backdoor possono essere sfruttate da regimi totalitari e criminali informatici.
“La mancanza di sicurezza di WhatsApp continua a mettere di monitorare gli individui“, scrive ancora Durov. “Proprio per questo motivo WhatsApp continua ad essere utilizzabile in nazioni come l’Iran e la Russia quando Telegram è stato messo al bando“.
Durov si riferisce alla crittografia di WhatsApp come una enorme manovra a livello di marketing. Limitandosi solo ai periodi più recenti, l’imprenditore osserva che “quando gli utenti utilizzano le funzionalità di backup dell’applicazione i loro dati non vengono più salvati utilizzando lo stesso algoritmo crittografico“. Ne avevamo parlato anche noi qualche mese addietro: Backup WhatsApp su Google Drive: utile ma le informazioni non sono crittografate.
“I metadati generati da WhatsApp sono inoltre utilizzati da ogni genere di agenzia facendo leva sulla casa madre (leggasi Facebook, n.d.r.). Per non parlare delle vulnerabilità che, con continuità, emergono nel client di messaggistica“.
Durov sottolinea che in 6 anni di vita Telegram non ha mai sofferto di alcun problema di sicurezza. “Nello stesso periodo di tempo abbiamo condiviso zero byte di dati con terze parti” mentre WhatsApp si sarebbe comportata in modo diametralmente opposto.
Usando parole al vetriolo Durov conclude sostenendo che l’era dell’ipocrisia e dell’avidità prima o poi finirà. È scontro totale con WhatsApp e Facebook, contro un modo di fare affari – a detta di Durov – che non mette mai al primo posto gli utenti e i loro diritti inalienabili. “Non sarà facile ma abbiamo già battuto i nostri concorrenti nei mercati estremo-orientali. Senza fare operazioni di marketing“. Durov punta il dito contro Mark Zuckerberg accusandolo addirittura di aver copiato parola per parola il “manifesto” di Telegram in materia di tutela della privacy, riportandolo pari pari in occasione dell’ultima conferenza F8 organizzata da Facebook. “Facebook sta promuovendo una strategia di marketing davvero vincente. Guardate che cosa sono riusciti a fare con Snapchat“, ha commentato ancora Durov dichiarandosi però certo che alla fine gli utenti capiranno il valore di Telegram e le garanzie che l’applicazione riesce a offrire.
L’intera analisi pubblicata dal fondatore di Telegram è pubblicata a questo indirizzo.