WhatsApp, è ancora bufera. E Telegram non perde tempo: il suo fondatore Pavel Durov non le manda a dire alla piattaforma di casa Zuckerberg, cogliendo l’occasione di rimarcare la differenza della propria App con WhatsApp.
Che cosa è successo in queste ore? Anzitutto, è di un paio di giorni fa la notizia della scoperta di una nuova, e potenzialmente assai grave, falla di sicurezza in WhatsApp: la stessa casa madre conferma l’allarme, classificando la minaccia come critica per tutti coloro che non si accingeranno al più presto a installare la nuova versione. Un file MP4 inviato in chat può prendere il controllo dei dispositivi eseguendo codice arbitrario. Il dispositivo può essere controllato in remoto da professionisti che rubano dati dai telefoni. Scaricando il contenuto si viene infettati, sfruttando una backdoor del codice sorgente dell’App.
Nel dettaglio, si tratta di una nuova falla di sicurezza dopo quella scoperta a inizio ottobre. Etichettata con il codice CVE-2019-11931, questo nuovo bug basa la propria azione sulla possibilità che un particolare file MP4 (quindi un video) possa nascondere del codice malevolo in grado di permettere anche l’esecuzione di codice esterno, senza che l’utente se ne renda conto. La falla di sicurezza di WhatsApp è presente nelle versioni Android di WhatsApp precedenti alla 2.19.274 e nella versione 2.19.104 o precedente per la versione Business sempre su dispositivi Android. Il bug di sicurezza potrebbe essere sfruttato anche per azioni di spionaggio, per aprire una backdoor negli smartphone bersaglio oppure per compromettere file contenuti all’interno dei telefoni.
Mentre in rete si rincorrono le raccomandazioni a non avviare la riproduzione di alcun tipo di contenuto multimediale proveniente da contatti sconosciuti, Telegram coglie la palla al balzo e, direttamente dal Canale di Pavel Durov, alle 17.12 del 20 novembre diffonde un lungo messaggio in inglese, che riproponiamo qui in versione tradotta e che chiarisce non solo la posizione di Durov rispetto alla notizia, ma anche e soprattutto la differenza di Telegram e WhatsApp. Ascoltiamola dalle sue dirette parole.
«In maggio, ho predetto che sarebbero state scoperte nuove backdoor in WhatsApp e un grave problema di sicurezza sarebbe seguito a un altro, come in passato», esordisce Durov. «Questa settimana una nuova backdoor è stata trovata tranquillamente in WhatsApp. Proprio come la precedente backdoor di WhatsApp e quella prima, questa nuova backdoor ha reso tutti i dati sul telefono vulnerabili agli hacker e le agenzie governative. Tutto quello che un hacker doveva fare era inviarvi un video – e tutti i vostri dati erano alla mercé dell’aggressore».
«WhatsApp non solo non riesce a proteggere i tuoi messaggi», continua, «quest’applicazione viene costantemente utilizzata come un Trojan Horse, un virus malevolo per spiare le vostre foto. Perché lo avrebbero fatto? Facebook ha fatto parte dei programmi di sorveglianza molto prima di acquisire WhatsApp. È ingenuo pensare che la società avrebbe cambiato le sue politiche dopo l’acquisizione, cosa ancora più evidente dopo l’ammissione del fondatore WhatsApp per quanto riguarda la vendita di WhatsApp a Facebook: “Ho venduto la privacy dei miei utenti”».
«Dopo la scoperta della backdoor di questa settimana, Facebook ha cercato di confondere il pubblico sostenendo di non avere prove che la backdoor era stata sfruttata dagli hacker», continua a sferzare Durov. «Naturalmente, essi non hanno tali prove – al fine di ottenerne, avrebbero bisogno di essere in grado di analizzare i video condivisi dagli utenti WhatsApp, e WhatsApp non memorizza in modo permanente i file video sui suoi server; invece, invia messaggi non cifrati e media della stragrande maggioranza dei loro utenti direttamente ai server di Google e Apple. Così – niente da analizzare – “nessuna prova”. Comodo».
«Ma state tranquilli», rassicura sarcastico, «una vulnerabilità di sicurezza di questa portata è destinata a essere sfruttata – proprio come il precedente backdoor WhatsApp era stato utilizzato contro gli attivisti per i diritti umani e giornalisti ingenui abbastanza per essere utenti WhatsApp. In settembre è stato riferito che i dati ottenuti a seguito dello sfruttamento di tali backdoor WhatsApp saranno ora condivisi con altri paesi da agenzie statunitensi. Nonostante questa sempre crescente evidenza di come WhatsApp sia una trappola per le persone che ancora si fidano di Facebook nel 2019, potrebbe anche darsi il caso che WhatsApp solo accidentalmente implementi vulnerabilità di sicurezza critiche in tutte le loro applicazioni ogni pochi mesi. Dubito però che le cose stiano così – Telegram, un’app simile nella sua complessità, non ha mai avuto problemi di livello di gravità simile a WhatsApp nei sei anni dal suo lancio. È molto improbabile», conclude Durov, «che qualcuno possa accidentalmente commettere gravi errori di sicurezza, convenientemente adatti per la sorveglianza, su base regolare. Aldilà delle intenzioni sotto traccia della casa madre di WhatsApp il consiglio per gli utenti finali è sempre lo stesso: a meno che tu non voglia che tutte le tue foto e i tuoi messaggi divengano pubblici un giorno, devi cancellare WhatsApp dal tuo telefono».