QR code per la pagina originale

WhatsApp smentisce la presenza di una backdoor

Quella che il Guardian ha definito backdoor è in realtà una feature: i messaggi non consegnati sono inviati senza l'esplicito consenso dell'utente.

,

Il Guardian ha pubblicato un articolo sulla presenza di una backdoor in WhatsApp che potrebbe consentire l’intercettazione delle conversazioni degli utenti. L’azienda ha categoricamente smentito l’esistenza della vulnerabilità, affermando che si tratta di un funzionamento normale. Open Whisper Systems, sviluppatore della tecnologia crittografica usata da WhatsApp, ha dichiarato che quanto riportato dal quotidiano britannico è assolutamente falso.

Il problema individuato dal ricercatore Tobias Boelter è correlato al modo in cui WhatsApp ha implementato la generazione delle chiavi cifrate che vengono utilizzate durante le conversazioni. Per evitare la perdita dei messaggi, quando il destinatario è offline, WhatsApp ritrasmette i messaggi senza segnalare l’eventuale cambio della chiave. In teoria, un cybercriminale potrebbe eseguire un attacco man-in-the-middle e intercettare i messaggi, ma ciò richiederebbe l’accesso ai server di WhatsApp. Il problema non sussiste invece per i messaggi già consegnati.

Nelle impostazioni dell’app è possibile attivare la ricezione di una notifica, quando cambia il codice di sicurezza (ad esempio, se un contatto sostituisce lo smartphone o reinstalla WhatsApp), ma dato che l’opzione è disattivata per default i messaggi verranno trasmessi senza nessuna warning. WhatsApp avrebbe dovuto implementare un sistema che, in caso di nuove chiavi cifrate, preveda l’invio dei messaggi solo dopo un esplicito consenso degli utenti, come avviene su Signal. Open Whisper Systems sottolinea che quella di WhatsApp è una scelta di design, non una backdoor. Considerato l’enorme numero di utenti del servizio, la decisione di implementare una notifica “non-blocking” è stata ritenuta corretta.

Un portavoce di WhatsApp ha dichiarato che l’azienda non ha concesso una backdoor al governo e che l’implementazione attuale della crittografia end-to-end evita la perdita di milioni di messaggi. In ogni caso esiste la remota possibilità di intercettare le conversazioni. Boelter afferma che le agenzie governative potrebbero teoricamente chiedere a WhatsApp di inserire un codice per leggere tutti i messaggi in chiaro.

Fonte: ArsTechnica • Via: Open Whisper Systems • Notizie su: ,