«I messaggi che invii in questa chat e le chiamate sono ora protetti con la crittografia end-to-end, il che significa che WhatsApp e terze parti non possono leggerli o ascoltarli». E’ il messaggio che viene mostrato in tutte le chat di Whatsapp a partire dal 6 aprile scorso, giorno in cui la società ha attivato la crittografia end-to-end all’interno del proprio servizio di messaggistica.
Con il caso di San Bernardino e tutte le questioni legate alla privacy degli utenti, in balia dei propri dispositivi digitali, che si sono susseguite nel corso degli ultimi anni, l’avviso di WhatsApp dovrebbe far dormire sonni tranquilli, se non fosse per il recente avvertimento di Tobias Boelter, un ricercatore di sicurezza che ha scoperto una importante falla nel sistema.
In base a quanto riporta The Guardian una backdoor presente nel sistema di crittografia end-to-end di WhatsApp permetterebbe a Facebook, ricordiamo proprietaria del servizio da febbraio 2014, di leggere i messaggi inviati, rendendo così possibile all’azienda di rispettare eventuali ordinanze del tribunale qualora venisse richiesto di rendere accessibili determinati messaggi agli enti governativi.
«WhatsApp – spiega il ricercatore – sarebbe in grado di forzare la chiave di cifratura quando l’utente è offline, permettendo così di intercettare e leggere i messaggi scambiati tramite il servizio. Con le impostazioni predefinite dell’app, né il mittente né il destinatario dei messaggi vengono notificati dell’accaduto, mentre il mittente, nel caso in cui abbia attivato l’interruttore “Mostra notifiche di sicurezza” nel pannello Impostazioni > Sicurezza, sarà informato del cambiamento, ma soltanto dopo che i messaggi in uscita sono stati inviati con la nuova chiave.
Si potrebbe pensare a un bug visto che WhatsApp si basa sullo stesso protocollo usato anche dall’app Signal sviluppata da Open Whisper Systems, dove tale vulnerabilità però non sembra esistere. Qui, infatti, se viene modificata la chiave di sicurezza, un messaggio in uscita non viene consegnato e il mittente viene notificato della modifica, senza che il messaggio venga re-inviato automaticamente.
Tuttavia – spiega il ricercatore – nel caso di WhatsApp non si tratta di un bug. Boelter avrebbe infatti segnalato il comportamento del sistema a Facebook nell’aprile dello scorso anno e, in quella occasione, la società confermò che si trattava di un «comportamento previsto». Questa backdoor, conferma The Guardian, esiste ancora oggi.
In merito si è espresso anche il professore Kirstie Ball, fondatore e co-direttore del Centre for Research into Information, Surveillance and Privacy, definendo la backdoor installata volutamente nella crittografia di WhatsApp «Una miniera d’oro per le agenzie di sicurezza» oltre che «un enorme tradimento nella fiducia degli utenti».
Facebook era già finita nel mirino proprio per la raccolta dei dati degli utenti di WhatsApp a seguito dell’acquisizione del servizio. Al momento la società non ha rilasciato dichiarazioni in merito: sarebbe interessante – oltre che giusto per gli utenti – capire se ad oggi la backdoor è mai stata usata per accedere ai messaggi, o se ad esempio è stata installata su richiesta degli enti governativi.