WhatsApp ha comunicato di essere stata attaccata da hacker che sono stati in grado di installare, da remoto, un software di controllo su telefoni e altri dispositivi utilizzando una grave vulnerabilità nell’app di messaggistica.
La vulnerabilità in questione – risolta con l’ultimo aggiornamento dell’app – poteva essere sfruttata per installare uno spyware e rubare dati da uno smartphone semplicemente effettuando una chiamata WhatsApp, anche nel caso in cui la chiamata non riceveva una risposta.
La vittima non sarebbe in grado di venire a conoscenza dell’intrusione in atto, poiché lo spyware cancella le informazioni sulle chiamate in arrivo dai log per operare in modo furtivo. Per riuscire ad evadere dalla sandbox si suppone che siano stati utilizzati più attacchi ZeroDay.
Non era un attacco semplice da portare a termine: richiedeva grandi competenze, si suppone che la vulnerabilità sia stata sinora usata da forze di polizia e servizi di “intelligence” e probabilmente ha avuto solo un impatto minimo.
Il fondatore di Telegram spiega che, per sua natura, WhatsApp non potrà mai essere un’app sicura: ogni volta che viene risolta una vulnerabilità, ne viene scoperta una nuova. Al contrario di Telegram, WhatsApp non è open source e qualunque cybercriminale che individua una falla, mette a rischio la privacy di milioni di persone.
Le vulnerabilità sulle piattaforme mobile valgono oro: nei listini di chi tratta queste cose, si è disposti a pagare fino a 1 milione di dollari per una vulnerabilità di WhatsApp che permette l’esecuzione di codice remoto. Questo tipo di intrusione, nelle mani sbagliate, potrebbe avere dunqe un impatto devastante.
Abbiamo tradotto parola per parola il messaggio che Paul Durov ha inviato agli utenti Telegram con un’analisi spietata del perché Whatsapp non è mai stato e non sarà mai sicuro. Ovviamente Durov cerca di promuovere la sua creatura ma tutti i dati e gli eventi che riguardano Whatsapp sono documentabili e non controvertibili (abbiamo lasciato le citazioni a fondo messaggio). Leggetelo con attenzione!
Pavel Durov: “Il mondo sembra essere sconvolto dalla notizia che WhatsApp ha trasformato qualsiasi telefono in uno strumento spyware. Tutto sul tuo telefono, incluse foto, e-mail e testi, è stato accessibile ai possibili spioni solo perché WhatsApp è stato installato [1].
Questa notizia non mi ha ad ogni modo sorpreso: l’anno scorso WhatsApp ha dovuto ammettere di aver avuto un problema molto simile: una singola videochiamata tramite WhatsApp poteva bastare ad un hacker per ottenere l’accesso ai dati dell’intero telefono [2].
Ogni volta che WhatsApp corregge una vulnerabilità critica nella propria app, ecco apparirne una nuova . Tutti i loro problemi di sicurezza, guarda caso, sembrano pensati per la sorveglianza, e sembrano presentarsi e funzionare molto come backdoor.
A differenza di Telegram, WhatsApp non è open source, quindi non c’è modo per un ricercatore di sicurezza di controllare facilmente se esistono backdoor nel suo codice. Non solo WhatsApp non pubblica il suo codice, ma fa esattamente l’opposto: WhatsApp oscura deliberatamente il codice binario delle proprie app per assicurarsi che nessuno sia in grado di studiarli a fondo.
WhatsApp e la sua società madre Facebook potrebbero persino essere obbligati a implementare backdoor – tramite processi segreti come le ordinanze restrittive dell’FBI [3]. Non è facile eseguire un’applicazione di comunicazione protetta dagli Stati Uniti. In una settimana che il nostro team ha trascorso negli Stati Uniti nel 2016 ha portato a tre tentativi di infiltrazione da parte dell’FBI [4] [5]. Immagina cosa possa ricevere in 10 anni in quell’ambiente un’azienda americana.
Capisco che i servizi di sicurezza giustifichino l’inserimento di backdoor nell’ambito di iniziative per sforzi anti-terrorismo. Il problema è che queste backdoor possono essere usate anche da criminali e governi autoritari. Non c’è da meravigliarsi se i dittatori sembrano amare WhatsApp. La sua mancanza di sicurezza consente loro di spiare il loro popolo, quindi WhatsApp continua a essere liberamente disponibile in luoghi come Russia o Iran, dove Telegram è invece bandito dalle autorità [6].
In effetti, ho iniziato a lavorare su Telegram come risposta diretta alla pressione personale delle autorità russe. All’epoca, nel 2012, WhatsApp trasferiva ancora in chiaro i messaggi in transito. Una cosa da pazzi. Non solo i governi o gli hacker, ma anche i gestori di telefonia mobile e gli amministratori di reti wi-fi potevano avere accesso a tutti i testi di WhatsApp [7] [8].
Successivamente WhatsApp ha aggiunto un po’ di crittografia, elemento che si è rivelato rapidamente uno stratagemma di marketing: la chiave per decodificare i messaggi era disponibile per diversi governi, inclusi i russi [9]. Poi, mentre Telegram iniziava a guadagnare popolarità, i fondatori di WhatsApp vendettero la loro azienda a Facebook e dichiararono che “la privacy era nel loro DNA” [10]. Se fosse stato vero, doveva essere un gene dormiente o recessivo.
Tre anni fa WhatsApp ha annunciato di aver implementato la crittografia end-to-end in modo che “nessuna terza parte possa accedere ai messaggi”. Ha coinciso con una spinta aggressiva che inviatava tutti gli utenti per eseguire il backup delle chat nel cloud. Quando ha spinto verso questa scelta, WhatsApp non ha comunicato agli utenti che, una volta eseguito il backup, i messaggi non erano più protetti dalla crittografia end-to-end ma erano accessibili agli hacker e alle forze dell’ordine. Per un marketing brillante, alcune persone ingenue ora stanno scontando pene in prigione [11].
Quelli abbastanza intelligenti da non farsi abbindolare dai pop-up continui che dicono loro di eseguire il backup delle loro chat possono ancora essere tracciati da una serie di trucchi: dall’accesso ai backup dei loro contatti alle modifiche invisibili della chiave di crittografia [12]. I metadati generati dai log di utenti di WhatsApp che descrivono con chi e quando chattano – sono trapelati a tutti i tipi di agenzie in grandi quantità dalla società madre di WhatsApp [13]. Oltre a ciò, c’è un mix di vulnerabilità critiche che si susseguono l’una dopo l’altra.
WhatsApp ha una storia coerente – dalla crittografia nulla all’inizio fino a una serie di problemi di sicurezza stranamente adatti a scopi di sorveglianza. Guardando indietro, non c’è stato un solo giorno nel percorso di 10 anni di WhatsApp in cui questo servizio sia stato sicuro. Ecco perché non penso che solo l’aggiornamento dell’app mobile di WhatsApp possa renderla sicuro per chiunque. Perché WhatsApp diventi un servizio orientato alla privacy, deve rischiare di perdere interi mercati e scontrarsi con le autorità del proprio paese d’origine. Non sembrano essere pronti per tutto ciò [14].
L’anno scorso i fondatori di WhatsApp hanno lasciato l’azienda per le preoccupazioni sulla privacy degli utenti [15]. Sono sicuramente obbligati da accordi di non divulgazione o NDA, quindi non sono in grado di discutere apertamente le backdoor senza rischiare di perdere patrimoni e la loro libertà. Hanno ad ogni modo ammesso di aver “venduto la privacy dei loro utenti” [16].
Capisco la riluttanza dei fondatori di WhatsApp a fornire maggiori dettagli: non è facile mettere a repentaglio il proprio comfort. Diversi anni fa ho dovuto lasciare il mio paese dopo aver rifiutato di ottemperarae a sanzioni del governo per le violazioni della privacy degli utenti VKontakte [17]. Non è stato piacevole. Ma farei qualcosa di simile di nuovo? Volentieri. Prima o poi ognuno tutti moriremo, ma noi, come specie, resteremo per un po’. Ecco perché penso che accumulare denaro, fama o potere sia irrilevante. Servire l’umanità è l’unica cosa che conta davvero nel lungo periodo.
Eppure, nonostante le nostre intenzioni, sento che deluderemo l’umanità con tutta questa storia di spyware su WhatsApp. Un sacco di persone non possono smettere di usare WhatsApp, perché i loro amici e la famiglia è ancora lì. Significa che noi di Telegram abbiamo fatto un brutto lavoro nel persuadere le persone a cambiare.
Negli ultimi cinque anni abbiamo attirato centinaia di milioni di utenti ma questo non è abbastanza. La maggior parte degli utenti di Internet sono ancora tenuti in ostaggio dall’impero Facebook / WhatsApp / Instagram.
Molti di coloro che usano Telegram sono anche su WhatsApp, ovvero i loro telefoni sono ancora vulnerabili. Lo sono anche quelli che hanno abbandonato WhatsApp completamente, utilizzando Facebook o Instagram, entrambi le app pensano che sia OK memorizzare le password in testo non crittografato [18] [19] : non riesco ancora a credere che un’azienda tecnologica possa fare qualcosa del genere e ottenere accesso con uno stratagemma simile.
In quasi 6 anni di esistenza, Telegram non ha avuto alcuna perdita di dati o sicurezza: un problema che in WhatsApp si verifica puntualmente a distanza di qualche mese. Negli stessi 6 anni, Telegram ha fornito esattamente zero byte di dati a terze parti, mentre Facebook/WhatsApp hanno condiviso praticamente tutto con tutti coloro che sostenevano di aver lavorato per il governo [13].
Poche persone al di fuori della community dei fan di Telegram comprendono che la maggior parte delle nuove funzionalità dei messaggi appaiono per la prima volta su Telegram e vengono successivamente copiati su WhatsApp. Di recente stiamo assistendo al tentativo di Facebook di prendere in prestito l’intera filosofia di Telegram, con Zuckerberg che improvvisamente dichiara l’importanza della privacy e della velocità, citando praticamente la descrizione dell’app di Telegram parola per parola nel suo discorso a F8 (la conferenza degli sviluppatori di Facebook n.d.r.).
Ma lamentarsi dell’ipocrisia di FB e della mancanza di creatività non aiuta. Dobbiamo ammetterlo: Facebook sta portando avanti una strategia efficiente. Guardate cosa hanno fatto a Snapchat [20].
Noi di Telegram dobbiamo riconoscere la nostra responsabilità nel determinare il futuro. Ci siamo noi contro il monopolio di Facebook. È una scelta tra libertà e privacy o tra avidità e ipocrisia. La nostra squadra è stata in competizione con Facebook negli ultimi 13 anni. Li abbiamo già battuti una volta, nel mercato dei social network dell’Europa orientale [21]. Li batteremo ancora dentro il mercato globale della messaggistica. Dobbiamo farlo.
Non sarà facile. Il reparto marketing di Facebook è enorme. Noi di Telegram, tuttavia, facciamo zero marketing. Non vogliamo pagare giornalisti e ricercatori per raccontare al mondo cosa fa Telegram.
Per questo, ci affidiamo a te, ai milioni di nostri utenti. Se Telegram ti piace abbastanza, dillo ai tuoi amici. E se ogni utente di Telegram convince tre dei suoi amici a cancellare WhatsApp e spostarsi permanentemente su Telegram, Telegram sarà già più popolare di WhatsApp. L’epoca dell’avidità e dell’ipocrisia finirà. Inizierà un’era di libertà e privacy. È molto più vicino di quanto sembri.
Riferimenti
- [1] Business Insider WhatsApp was hacked and attackers installed spyware on people’s phones – May 15, 2019
- [2] Security Today WhatsApp Bug Allowed Hackers to Hijack Accounts – October 12, 2018
- [3] Wikipedia Gag order – United States
- [4] Neowin FBI asked Durov and developer for Telegram backdoor – September 19, 0271
- [5] The Baffler The Crypto-Keepers – September 17, 2017
- [6] New York Times What Is Telegram, and Why Are Iran and Russia Trying to Ban It? – May 2, 2019
- [7] YourDailyMac Whatsapp leaks usernames, telephone numbers and messages – May 19, 2011
- [8] The H Security Sniffer tool displays other people’s WhatsApp messages – May 13, 2012
- [9] FilePerms WhatsApp is broken, really broken – September 12, 2012
- [10] International Business Times Respect for Privacy Is Coded Into WhatsApp’s DNA: Founder Jan Koum – March 18, 2014
- [11] Slate https://slate.com/technology/2018/06/paul-manafort-how-did-fbi-access-whatsapp-messages.html – June 5, 2018
- [12] AppleInsider WhatsApp backdoor defeats end-to-end encryption, potentially allows Facebook to read messages – January 13, 2017
- [13] Forbes Forget About Backdoors, This Is The Data WhatsApp Actually Hands To Cops– January 22, 2017
- [14] New York Times Facebook Said to Create Censorship Tool to Get Back Into China – November 22, 2016
- [15] The Verge WhatsApp co-founder Jan Koum is leaving Facebook after clashing over data privacy – April 30, 2018
- [16] CNET WhatsApp co-founder: ‘I sold my users’ privacy’ with Facebook acquisition – September 25, 2018
- [17] New York Times Once celebrated in Russia, programmer Pavel Durov chooses exile – December 2, 2014
- [18] TechCrunch Facebook admits it stored ‘hundreds of millions’ of account passwords in plaintext – March 21, 2019
- [19] Engadget Facebook stored millions of Instagram passwords in plain text – 18 April, 2019
- [20] Vanity Fair Snapchat is doing so badly, the feds are getting involved – November 14, 2018
- [21] HuffPost Vkontakte, Facebook Competitor In Russia, Dominates – October 26, 2012″