La crittografia nei gruppi di WhatsApp fa cilecca

La crittografia nei gruppi di WhatsApp fa cilecca

Un gruppo di ricercatori ha segnalato all'azienda che le comunicazioni protette dalla crittografia end-to-end dei gruppi sarebbero a rischio. Ma per opportunismo commerciale forse la situazione rimarrà così
Un gruppo di ricercatori ha segnalato all'azienda che le comunicazioni protette dalla crittografia end-to-end dei gruppi sarebbero a rischio. Ma per opportunismo commerciale forse la situazione rimarrà così

La crittografia end-to-end introdotta nei primi mesi del 2016 potrebbe non bastare a garantire la privacy nelle comunicazioni in WhatsApp. A causa di un bug infatti sarebbe possibile per occhi indiscreti intromettersi nelle chat di gruppo . A scoprirlo sono stati alcuni ricercatori  della Ruhr University Bochum che hanno presentato lo studio durante la conferenza Real World Crypto tenutasi a Zurigo nei giorni scorsi. Durante i loro test è stato accertato infatti che chiunque abbia diritti d’accesso e controllo sui server di “sostituirsi” alla figura di amministratore del gruppo avendo la possibilità di accedere a tutte le comunicazioni scambiate all’interno del gruppo stesso.


Whatsapp

Solo criminali informatici esperti possono quindi mettere in piedi un attacco simile, oppure dipendenti dell’azienda con doppi fini (o Governi interessati ad esercitare il loro potere per carpire informazioni sui cittadini giustificandosi con la prevenzione al terrorismo). Casi remoti che non per questo giustificano la vulnerabilità. WhatsApp avrebbe già confermato l’effettiva validità della scoperta rassicurando però che gli utenti, nel caso di intromissione e sostituzione dell’amministratore, verrebbero avvisati con un messaggio offrendo quindi l’opportunità di chiudere le conversazioni. E va da sé che sono in corso misure per risolvere la questione (il team sicurezza di WhatsApp è stato informato del problema già da luglio).

Ma nel frattempo è bene esserne a conoscenza e considerare gli eventuali rischi. Chi ha accesso ai server infatti potrebbe anche ricorrere ad un blocco selettivo dei messaggi e avvisi nel gruppo , così come tacere i singoli componenti del gruppo: l’intromissione sarebbe così molto più difficile da scoprire (nonostante le comunicazioni one to one non sarebbero inficiate).

Non è la prima volta che la crittografia adottata da WhatsApp presenta lacune. Già nel mese di gennaio del 2017 era stata evidenziata una carenza nel sistema di cui l’App si avvale , ovvero Signal, sviluppato da Open Whisper System. Ad ogni utente che chatta viene associata una determinata chiave che deve necessariamente trovare corrispondenza con quella contenuta nel messaggio pena la mancata ricezione. Ma quel è stato scoperto è che le chiavi potrebbero essere contemporaneamente rigenerate e i messaggi in questo caso riconsegnati in maniera forzata ai nuovi intrusi. In tale occasione era stata sottolineata una carenza propria dell’architettura dell’App di difficile risoluzione.

Tornando alla vulnerabilità recentemente scoperta secondo gli esperti, dovrebbe esserne affetta anche l’app Signal (e forse Telegram e Threema) che con WhatsApp condividono lo stesso sistema di crittografia. Migrare al concorrente non dovrebbe quindi offrire vantaggi in termini di sicurezza.

La soluzione più semplice sarebbe di aggiungere un meccanismo di autenticazione per gli inviti ad unirsi al gruppo. La chiave segreta dovrebbe essere posseduta in maniera esclusiva dall’amministratore. Ciò renderebbe meno facile l’invito immediato ad unirsi al gruppo da parte di altri partecipanti. La maggior sicurezza andrebbe quindi contro le maggiori opportunità commerciali e di utilizzo.

Ricordiamo che WhatsApp gestisce da qualche tempo numerosi dati sensibili dell’utente, come ad esempio i suoi spostamenti . Dati al quanto appetibili per i criminali informatici.

Mirko Zago
fonte immagine

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 15 gen 2018
Link copiato negli appunti