crittografia

WhatsApp, il team di sicurezza di Meta scopre vulnerabilità: “La falla sfruttata dai governi per spiare gli utenti”

di |

A marzo, il team di sicurezza di WhatsApp ha emesso un avvertimento interno ai loro colleghi: nonostante la potente crittografia del software, gli utenti restano vulnerabili a una pericolosa forma di sorveglianza governativa.

Gli utenti di WhatsApp potrebbero essere esposti alla sorveglianza dei governi. Non è una fake news né tantomeno una supposizione dato che la notizia arriva direttamente dal team di sicurezza interno dell’app di messaggistica più utilizzata al mondo.

Secondo quanto riportato da The Intercept, lo scorso marzo il team di Meta avrebbe lanciato un avvertimento interno: “Una vulnerabilità della crittografia potrebbe essere sfruttata per carpire informazioni molto sensibili. Come chi comunica e con chi, l’appartenenza a gruppi privati, chi sta effettuando chiamate e a chi e forse anche la posizione. I contenuti dei messaggi scambiati sarebbero quindi sempre al sicuro, ma certe informazioni potrebbero essere ancora più preziose e utilizzate anche per prendere di mira una minoranza o una comunità o un gruppo di individui”.

A marzo, il team di sicurezza di WhatsApp ha emesso un avvertimento interno ai loro colleghi: nonostante la potente crittografia del software, gli utenti restano vulnerabili a una pericolosa forma di sorveglianza governativa. Secondo la valutazione delle minacce, ottenuta in precedenza da The Intercept, il contenuto delle conversazioni tra i 2 miliardi di utenti dell’app rimane sicuro. Tuttavia, gli enti governativi, hanno scritto gli ingegneri, stanno cercando di “aggirare la nostra crittografia” per scoprire quali utenti comunicano tra loro, l’appartenenza a gruppi privati e forse persino le loro posizioni.

La falla sfruttata dalle agenzie e il ruolo di Israele

La vulnerabilità si basa su una tecnica di monitoraggio della rete chiamata “analisi del traffico”, che esiste da decenni, e si basa sulla sorveglianza del traffico Internet su vasta scala nazionale. Il documento chiarisce che WhatsApp non è l’unica piattaforma di messaggistica a rischio. Ma sostiene che il proprietario di WhatsApp, Meta, deve decidere rapidamente se dare priorità alla funzionalità della sua app di chat o alla sicurezza di un piccolo ma vulnerabile segmento dei suoi utenti.

“WhatsApp dovrebbe mitigare lo sfruttamento in corso delle vulnerabilità dell’analisi del traffico che permettono agli stati nazionali di determinare chi sta parlando con chi”, ha sottolineato la valutazione. “I nostri utenti a rischio hanno bisogno di protezioni robuste e valide contro l’analisi del traffico”.

In un contesto di guerra in corso a Gaza, l’avvertimento delle minacce ha sollevato una preoccupazione inquietante tra alcuni dipendenti di Meta. Il personale di WhatsApp ha ipotizzato che Israele potrebbe sfruttare questa vulnerabilità come parte del suo programma di sorveglianza dei palestinesi in un momento in cui la sorveglianza digitale sta aiutando a decidere chi uccidere in tutta la Striscia di Gaza, hanno riferito quattro dipendenti a The Intercept.

L’utilizzo dell’analisi del traffico tuttavia non è utilizzata solo da Israele, ma anche da paesi di tutto il mondo. A rilevarlo il New York Times e Amnesty International nei rispettivi rapporti. E non solo WhatsApp, ma anche altri sistemi di messaggistica istantanea. Nel caso dell’app di Mark Zuckerberg, i dipendenti hanno diverse richieste, tra cui il termine della censura delle parole dei dipendenti internamente. Tuttavia Andy Stone, portavoce di Meta, ha additato come le discussioni sulla guerra sul posto di lavoro è soggetta alle regole generali di condotta sul posto di lavoro.

A Meta conoscerebbero questa vulnerabilità già dallo scorso anno. Benché l’azienda garantisca di fare tutto il possibile per tenersi aggiornata e risolvere tempestivamente le vulnerabilità, niente sarebbe stato fatto per chiudere questa falla. Gli ingegneri di WhatsApp sarebbero anche disposti a rendere più sicura l’app, ma la parte più difficile non è lo sviluppo delle soluzioni, ma convincere i vertici ad implementarle. Anche perché certe modifiche andrebbero a compromettere alcune delle funzioni per cui WhatsApp è tra le più utilizzate al mondo ed è difficile individuare un compromesso tra prestazioni e protezione della privacy. In particolare, le fonti riferiscono che il tempo che intercorre tra l’invio di un messaggio e la ricezione, potrebbe tramite i metadati far risalire alla geolocalizzazione dei due (o più) soggetti. Eliminare un problema simile potrebbe avere come soluzione l’arrivo posticipato dei messaggi, ma ne risentirebbero 2 miliardi di persone, con conseguenze sugli introiti dell’azienda quotata in Borsa. Allo stesso modo, far confluire dati fittizi potrebbe disorientare i tentativi di sorveglianza di terzi, ma potrebbe avere conseguenze sugli utenti come un maggior drenaggio della batteria.

“I servizi di messaggistica di oggi non sono stati progettati per nascondere questi metadati a un avversario che può vedere tutti i lati della connessione” ha affermato a The Intercept il Professore di crittografia della Università John Hopkins, Matthew Green“Proteggere i contenuti è solo metà dell’opera. Con chi comunichi e quando è l’altra metà”.

Le forze di polizia europee unite contro i messaggini crittografati

Recentemente Europol e le forze di polizia nazionali di tutta l’Unione europea si sono schierate contro la crittografia end-to-end, presente in molte piattaforme di messaggistica, perché temono che le ampie protezioni della privacy consentano ai criminali di operare liberamente.

In una dichiarazione congiunta diffusa lo scorso 21 aprile, dopo una riunione tenutasi a Londra il 18 aprile scorso alla quale erano invitati i capi di tutte le forze di polizia dell’Ue, hanno criticato le severe misure di privacy che aziende tecnologiche come Meta stanno implementando per i loro servizi di messaggistica. La crittografia end-to-end, in sostanza impedisce a chiunque sia esterno alla conversazione di leggere i testi, piattaforme comprese.

“Le misure sulla privacy attualmente in fase di implementazione, come la crittografia end-to-end, impediranno alle aziende tecnologiche di vedere qualsiasi reato che si verifica sulle loro piattaforme – affermano i capi delle polizie europee -. Inoltre, impediranno alle forze dell’ordine di ottenere e utilizzare queste prove nelle indagini per prevenire e perseguire i reati più gravi, come gli abusi sessuali sui minori, il traffico di esseri umani, il contrabbando di droga, gli omicidi, la criminalità economica e i reati di terrorismo”.

“Non saremo più in grado di garantire la sicurezza pubblica”, affermano allarmati. “Mai prima d’ora le nostre società hanno tollerato spazi che sfuggono alle forze dell’ordine, permettendo ai criminali di comunicare in sicurezza e agli abusi sui minori di prosperare”, aggiunge la nota.

Secondo Europol e le altre forze di polizia “le aziende tecnologiche hanno la responsabilità sociale di sviluppare un ambiente più sicuro in cui le forze dell’ordine e la giustizia possano svolgere il loro lavoro“.

Catherine De Bolle, direttore esecutivo di Europol, ha spiegato in una nota che “le nostre case stanno diventando più pericolose delle nostre strade, poiché il crimine si sta spostando online. Per mantenere la nostra società e le persone al sicuro, abbiamo bisogno che questo ambiente digitale sia protetto”. Secondo la poliziotta belga “le aziende tecnologiche hanno la responsabilità sociale di sviluppare un ambiente più sicuro in cui le forze dell’ordine e la giustizia possano svolgere il loro lavoro. Se la polizia perde la capacità di raccogliere prove, la nostra società non sarà in grado di proteggere le persone dal diventare vittime di reati“.

Leggi le altre notizie sull’home page di Key4biz