Backdoor in WhatsApp, il Guardian ha sbagliato

Circa 10 giorni fa, il Guardian aveva pubblicato un articolo su una presunta backdoor scoperta in WhatsApp. Sia l’azienda che Open Whisper Systems (sviluppatore della tecnologia di crittografia end-to-end) hanno smentito la sua esistenza, dichiarando che si tratta di una scelta di design implementata per semplificare l’uso del servizio. Oltre 70 esperti di sicurezza hanno scritto una lettera aperta ai redattori del quotidiano britannico, chiedendo di rettificare le sue affermazioni, in quanto ritenute irresponsabili e pericolose.

Il funzionamento descritto nell’articolo del Guardian è un compromesso tra sicurezza e usabilità. WhatsApp invia i messaggi non consegnati anche quando il codice di sicurezza del destinatario è cambiato, in seguito all’uso di un’altra SIM o alla reinstallazione dell’app su un nuovo smartphone. Questo comportamento evita la perdita dei messaggi in coda sul server. Il mittente riceverà una notifica (se l’opzione è stata attivata nelle impostazioni), sebbene ciò avvenga dopo la consegna del messaggio al destinatario.

Il protocollo usato da WhatsApp è lo stesso di Signal, ma nel caso del servizio di Open Whisper Systems, l’invio dei messaggi viene bloccato finché l’utente non conferma di aver ricevuto la notifica relativa al cambio della chiave cifrata. Gli esperti di sicurezza affermano che l’eventualità di un attacco contro WhatsApp è molto remota, in quanto riguarda solo i messaggi non consegnati e comunque può avvenire solo nell’intervallo di tempo tra il cambio della chiave e la ricezione della notifica. Un cybercriminale dovrebbe inoltre accedere al server per intercettare e leggere i messaggi.

Teoricamente, gli utenti potrebbero scegliere Signal, ma questa app è stata sviluppata per un ristretto numero di persone che cercano la sicurezza assoluta. La maggioranza degli utenti utilizza il servizio più popolare, evitando app che possono “ostacolare” la comunicazione con un numero eccessivo di warning. Secondo gli esperti, l’articolo del Guardian potrebbe convincere gli utenti ad utilizzare soluzioni meno sicure di WhatsApp.

Il quotidiano britannico dovrebbe spiegare in modo chiaro che non esiste nessuna backdoor, che la probabilità di un attacco è molto bassa e che esiste la possibilità di attivare le notifiche. Un portavoce del Guardian ha dichiarato che l’articolo è stato modificato, sostituendo il termine “backdoor” con “vulnerabilità” nel titolo, ma in un altro articolo viene ancora consigliato l’uso di Signal.