Pavel Durov, fondatore di Telegram, pochi mesi addietro ha riferito di una backdoor (una porta di accesso secondaria) che permette a cybercriminali di accedere a tutti i dati su qualunque telefono sul quale è presente WhatsApp.
Facebook, la società madre che è proprietaria di WhatsApp, ha riferito all’epoca di non avere prove di falle usate da attacker.
«La scorsa settimana», scrive Durov, «è risultato evidente che la backdoor in questione è stata sfruttata per estrarre comunicazioni private e foto dal telefono di Jeff Bezos – la persona più ricca del pianeta – che sfortunatamente si affidava a WhatsApp». «Giacché l’attacco sembra avere avuto origine da un governo straniero, è probabile che innumerevoli altri dirigenti di aziende e capi di governo siano stati presi di mira».
«Nel mio post di novembre, avevo previsto che sarebbe successo», spiega ancora Durov. «Le Nazioni Unite ora raccomandano ai suoi funzionari di rimuovere WhatsApp dai loro dispositivi, e a persone vicine a Donald Trump è stato consigliato di cambiare i loro telefoni».
«In considerazione della gravità della situazione, ci si aspetterebbe che Facebook/WhatsApp chiedesse scusa impegnandosi a non implementare backdoor nelle loro app in futuro». «Invece, hanno annunciato che la colpa è di Apple e non di WhatsApp». «Il vice presidente di Facebook, ha sostenuto che è iOS ad essere stato hackerato, non WhatsApp».
«Se seguite il mio blog”, continua Durov “sapete che non sono esattamente un fanboy di Apple; i dispositivi iOS hanno un sacco di problemi relative alla privacy ma questo non è uno di quelli per due ragioni:
1) La vulnerabilità dei “video corrotti” non è presente solo su iOS ma anche su Android e sui dispositivi Windows Phone. Vuol dire, in pratica, su tutti i dispositivi dove è installato WhatsApp.
2) Questo difetto di sicurezza non è presente in altre app di messaggistica su iOS. Se Jeff Bezos avesse fatto affidamento a Telegram, anziché WhatsApp, non sarebbe stato ricattato da persone che hanno compromesso le sue comunicazioni.
Di conseguenza, prosegue lo sviluppatore, “il problema non è specifico di iOS ma di WhatsApp”.
«Nel loro marketing», continua Durov, “WhatsApp usa le parole “cifratura end-to-end” come una formula magica che da sola si suppone debba rendere tutte le comunicazioni sicure. Tuttavia, questa tecnologia non è una soluzione miracolosa in grado di garantire da sola la privacy assoluta».
«Telegram ha implementato la cifratura end-to-end per le comunicazioni di massa anni prima che WhatsApp seguisse l’esempio, ed eravamo consapevoli non solo della forza ma anche dei limiti di tale tecnologia. Altri aspetti di un’app di messaggistica possono rendere inutile la cifratura end-to-end».
Durov spiega che, ad esempio, i backup non cifrati su servizi come iCloud, consentono all’FBI di ottenere sempre e comunque i dati. Parla ancora delle backdoor riferendo che gli organismi di controllo non sono contenti delle funzionalità di cifratura in generale e obbligano gli sviluppatori di app a implementare in queste specifiche vulnerabilità. «Lo so perché siamo stati avvicinati da alcuni di loro e abbiamo rifiutato di collaborare». «Di conseguenza, Telegram è statto messo al bando in nazioni dove WhatsApp non ha problemi con le autorità, stranamente anche in Russia e Iran».
«Le backdoor”, continua lo sviluppatore, «sono spesso mascherate come “accidentali” falle di sicurezza. Solo nell’ultimo anno, 12 falle di questo tipo sono state individuate in WhatsApp; sette di queste erano critiche – come ad esempio quella che è stata sfruttata per Jeff Bezos. Qualcuno potrebbe dirvi che WhatsApp è ancora “molto sicuro” malgrado 7 backdoor evidenziate negli ultimi 12 mesi ma tutto ciò è semplicemente statisticamente improbabile». «Telegram, applicazione usata da centinaia di milioni di persone, inclusi capi di stato e grandi aziende, non ha avuto problemi di questa entità negli ultimi sei anni».
Il terzo punto, spiega sempre Durov, è che «esistono falle nell’implementazione della cifratura». «Come si può essere sicuri che la cifratura che WhatsApp afferma di usare sia quella effettivamente sfruttata nelle loro app?». “Il loro codice sorgente è nascosto e i binari delle app sono offuscati, rendendo complesse le analisi». “Al contrario, le app di Telegram sono open-source e le loro funzionalità di cifratura pienamente documentate sin dal 2013». “Telegram supporta build verificabili sia con iOS, sia con Android – nel senso che chiunque può controllare che il codice sorgente su GitHub e quello dell’app Telegram che avete scaricato, siano la stessa cosa. Nessun’altra app di messaggistica fa questo per entrambi i sistemi operativi e qualcuno dovrebbe iniziare a chiedersi perché».
«Non lasciatevi ingannare dall’equivalente hi-tech del mago da circo che vuole farvi concentrare su un aspetto isolato mentre esegue il suo trucco nascosto da qualche altra parte», scrive Durov. «Vogliono che pensiate che la cifratura end-to-end sia il solo aspetto da guardare per la privacy. La realtà è molto più complessa».
«Qualcuno potrebbe obiettare che, in quanto fondatore di un’app rivale, potrei essere prevenuto quando critico WhatsApp. Certo che lo sono. Considero le chat segrete di Telegram significatamene più sicure di qualsiasi altro sistema di comunicazione dei competitor, perché altrimenti avrei sviluppato e usato Telegram?».
«Ad ogni modo», conclude Durov, “le dichiarazioni in questo post sono basate su fatti, non preferenze personali e, al pari del codice delle app di Telegram, questi fatti sono verificabili e ulteriormente corroborati da fonti di terze parti qui sotto indicate. Quando si tratta di sicurezza, nessuno dovrebbe dare per scontata la parola di qualcuno».