Valtiberina Online - Un portale Wineuropa

Un team di esperti crittografi dell'Università della Ruhr a Bochum, in Germania, ha dichiarato di aver scoperto diverse falle nella sicurezza di WhatsApp che potrebbero limitare il funzionamento della crittografia end-to-end implementata al suo interno, e ridurne i benefici, nelle chat di gruppo. Lo studio è stato dettagliato all'interno del documento "More is Less: On the End-to-End Security of Group Chats in Signal, WhatsApp, and Threema", in cui si legge che chiunque abbia il controllo dei server della società, fra cui i dipendenti della compagnia, può aggiungere membri a qualsiasi gruppo in maniera del tutto invisibile per gli altri partecipanti. Ma questo non è del tutto vero.

Tipicamente su WhatsApp solamente gli amministratori delle chat di gruppo possono aggiungere nuovi partecipanti alle stesse, ma i ricercatori hanno scoperto che chi ha il controllo dei server può aggirare il processo di autenticazione e ottenere i diritti necessari per aggiungere nuovi membri che potranno origliare all'interno delle conversazioni private. Nel caso più realistico e preoccupante i governi potrebbero fare pressioni alla compagnia per riuscire ad ottenere l'accesso a chat di gruppo mirate, con i tecnici addetti che potrebbero riuscire, se confermate le analisi descritte dall'Università all'interno del documento, ad offrire quanto richiesto.

A quanto pare, inoltre, chi ha controllo del server potrebbe manipolare i messaggi di avviso relativi all'aggiunta del nuovo partecipante, rendendo la procedura invisibile a chi è già dentro la conversazione. Wired ha confermato le scoperte dei ricercatori intervistando un portavoce di WhatsApp, che ha ammesso il problema nella sicurezza lato server respingendo tuttavia l'ipotesi secondo la quale è possibile impedire la visualizzazione del messaggio di aggiunta di un nuovo partecipante: "Abbiamo analizzato attentamente il problema, e i membri già presenti nei gruppi vengono sempre notificati quando viene aggiunto un nuovo utente".

Considerando il livello di sofisticazione dei sistemi di sicurezza dei server WhatsApp, inoltre, gli stessi ricercatori tedeschi ammettono che le possibilità di sferrare un attacco di questo tipo sono piuttosto remote. Ma questa non è comunque una motivazione valida per mantenere attiva una falla di sicurezza così importante. Moxie Marlinspike, co-fondatore di Open Whisper System, società che ha sviluppato il sistema di crittografia end-to-end presente su WhatsApp, ha commentato: "L'attaccante non può vedere i messaggi scritti precedentemente sul gruppo, perché sono protetti end-to-end da chiavi che non hanno".

"Tutti i membri del gruppo possono vedere che l'attaccante è entrato, e non c'è alcun modo per impedirlo. Considerate le alternative, penso che sia una decisione progettuale abbastanza ragionevole, e penso che sarebbe stata una soluzione migliore se il server non avesse visibilità nei metadati dei membri dei gruppi, ma è un problema largamente non risolto, non legato alla segretezza dei messaggi di gruppo". Marlinspike continua poi con un tono più polemico. "Questo articolo ci fa capire meglio i problemi con il settore della sicurezza informatica, e i modi in cui vengono attuate le ricerche di sicurezza".

"La lezione in questo caso è chiara: non progettare alcuna sicurezza nei prodotti perché così facendo entri nei mirini dei ricercatori, anche se compi le giuste decisioni e a prescindere da quanto sia davvero importante la ricerca. È molto meglio il modus operandi di Telegram: lasciare la crittografia fuori da tutto, tranne che nel marketing".
di Nino Grasso
tratto da Hwupgrade.it