WhatsApp è morto: quando la tua app preferita diventa una piovra di dati e le alternative
WhatsApp elimina la privacy e vende i tuoi dati. Forse. Oppure no. Ma l'esodo è iniziato. La domanda è: verso dove? La risposta viene dal confronto dei Secure Messenger e si chiama «Signal».
Era destino che accadesse. Il servizio di messaggistica gratuito WhatsApp, di proprietà di Facebook dal 2014, a partire dall'8 febbraio fornirà i tuoi dati a Facebook per la vendita e l'utilizzo per tutti gli scopi per i quali Facebook vuole utilizzare i tuoi dati.
Tutto questo nonostante Facebook una volta avesse promesso che non sarebbe mai successo. WhatsApp reagisce, dicendo che non è come sembra. Le conversazioni tra te, i tuoi amici e la tua famiglia sarebbero ancora criptate. Ma se comunichi con le aziende, quindi usi WhatsApp Business per porre domande o per rispondere, allora Facebook ti ascolta. Forse. È possibile. La società si divincola bene in questo momento. E chi dice che rimarrà così per sempre?
Questo significa che hai bisogno di un nuovo servizio di messaggistica.
Non uno qualsiasi – uno sicuro. Un servizio a cui puoi affidare le tue conversazioni, importanti o meno, e che ti offra anche un client desktop in modo da poter digitare rapidamente un messaggio sul tuo Macbook durante la lezione. Il tuo nuovo messaggero dovrebbe essere criptato, naturalmente, non deve vendere i tuoi dati ed essere anche cool.
La base della crittografia funziona più o meno così: Alice e Bob sono in una stanza. Anche Eve si trova nella stanza. Alice e Bob devono poter parlare tra loro senza che Eve li ascolti. Se Eve può ascoltare, allora si chiama «Man in the Middle Attack» (MITM). Se WhatsApp è in ascolto nelle tue chat, allora si tratta di un attacco MITM integrato nell'app. Alice e Bob potrebbero passare dal tedesco all’inglese – Eve non capisce l'inglese. Può ascoltare, ma non può sapere cosa viene detto.
In altre parole, Alice e Bob stanno criptando le loro chat. Anche WhatsApp lo fa, ma solo in un modo che permetta loro di leggere se lo desiderano. Forse. Se ne hanno voglia.
La panoramica dei tre servizi di messagistica sicuri più discussi mostra: il tuo nuovo servizio si chiama Signal. Mantengo deliberatamente superficiale questo articolo. I Cypherpunk non hanno bisogno di leggere questo perché hanno voltato le spalle a WhatsApp molto tempo fa. Qui mi rivolgo alle persone che oggi si chiedono dove andare dopo aver abbandonato WhatsApp.
Signal: il nuovo messaggero che ancora non conosci
Signal è sul mercato da diversi anni. Con successo. Così tanto successo, infatti, che il fondatore Matthew Rosenfeld, alias Moxie Marlinspike, ha lanciato nel 2018 la Signal Foundation, una fondazione no-profit dedicata alla ricerca di soluzioni open source che migliorano la tua privacy. Rosenfeld una volta era a capo della sicurezza su Twitter e poi ha mosso i primi passi nel mondo dei messenger con le sue app TextSecure e RedPhone. Nel 2015 le app sono state fuse:
così è nato Signal.
Moxie Marlinspike vuole che le comunicazioni private non siano solo sicure, ma anche semplici. Signal affronta questo aspetto facendo sembrare l'app molto simile a WhatsApp. Anche perché il fondatore di WhatsApp, Brian Acton, ha una partecipazione significativa in Signal.
Per rendere Signal il più sicuro possibile, il team di Marlinspike ha escogitato alcune idee: per stabilire la comunicazione tra Alice e Bob, indipendentemente dalla presenza o meno di Eve, vengono scambiate tre chiavi. E: ogni messaggio ha una crittografia propria. In questo modo, Signal assicura che se Eve è in grado di decifrare un messaggio criptato, non può leggere anche tutti gli altri messaggi.
Dal momento che è complicato, il team di Moxie Marlinspike si basa dappertutto sulla semplicità. In sostanza, Signal si utilizza come qualsiasi altro servizio di messaggistica, non si nota quasi alcuna differenza, tranne che ci sono più opzioni con cui giocare. La crittografia e tutte le cose complicate che Moxie spiega nel video qui sopra sono gestite da Signal.
Privacy check: Signal
Signal prende un solo record di dati che serve come identificatore esterno – esterno nel senso che si vuole essere trovati dagli amici in qualche modo: il numero di telefono. Se si installa l'applicazione, è necessario autenticarla via SMS. Esattamente come WhatsApp. Tranne per il fatto che il tuo numero di telefono non viene memorizzato da Signal.
Pertanto, la lista di controllo della privacy di Signal si presenta in questo modo:
- Informazioni di contatto: non vengono associate a te.
- Signal è gratuito e disponibile per Apple iOS e Android.
Telegram: dall'uomo che ha perso contro Putin
Telegram è un'applicazione russa inventata dall'imprenditore tecnologico Pavel Durov. Durov è diventato famoso e ha fatto soldi fondando la piattaforma di social media VKontakte. Quando si è rifiutato di consegnare i dati dei suoi utenti al governo di Putin sulla scia della crisi ucraina e di cancellare i gruppi critici del governo, è stato licenziato. Da allora, Durov vive in esilio e non ha intenzione di tornare in Russia.
Telegram è tornato di tanto in tanto sui media in quanto l'applicazione viene usata dai terroristi. L'altro giorno è stato annunciato che l'app è vicina al traguardo dei 500 milioni di utenti e vuole iniziare a monetizzare. I gruppi utilizzati da una sola persona, giuridica o fisica, per inviare informazioni ai membri del gruppo potrebbero essere soggetti a spese, secondo Durov. Gli adesivi premium potrebbero anche costare, scrive Durov, secondo il portale tecnologico Tech Crunch.
Tra le altre cose, l'applicazione si basa sulla crittografia end-to-end (E2EE) dei messaggi. Questo significa che sia Alice che Bob hanno due chiavi ciascuno: una chiave privata e una chiave pubblica. La chiave pubblica può e deve essere pubblicata per consentire la comunicazione criptata. Alice pubblica la sua chiave pubblica. Bob usa la chiave pubblica di Alice come crittografia e invia ad Alice un messaggio. La chiave privata di Alice è la chiave per la comunicazione criptata con la chiave pubblica. Solo lei può decodificare il messaggio di Bob. Se vuole rispondere, ripete la procedura con la chiave pubblica di Bob.
Il problema dell'implementazione della crittografia end-to-end di Telegram: è disattivata di default. Quindi a cosa serve un meccanismo decente se non è acceso e gli utenti devono fare tre clic di cui non sanno nulla per accenderlo?
Privacy check: Telegram
Telegram dice di avere una buona crittografia, invece è una mini piovra di dati. I seguenti dati sono direttamente collegati a te, quindi, in caso di dubbio, possono essere ricondotti alla tua identità nel mondo reale.
- Informazioni di contatto
- Contatti
- Identificatori
L'esperto di sicurezza informatica Filippo Valsorda scrive di un «bug che assomiglia molto a una backdoor», parlando di un vecchio bug in Telegram che assomiglia a una decisione progettuale che permette a terzi di leggerlo.
Telegram: come attivare la crittografia
Attenzione: la crittografia nell'app Telegram è disattivata per impostazione predefinita. Puoi attivarla manualmente. È facile, ma non dovrebbe essere impostata in modo da doverla attivare separatamente, ma piuttosto tramite un processo opt-out. Oppure, come per Signal, deve essere attiva di default. Tutto è criptato. Sempre. Punto.
- Apri la chat con la persona con cui vuoi parlare in modo criptato
- Tocca la sua foto di contatto in alto a destra
- Seleziona «More»
- Clicca su «Start Secret Chat»
Telegram è gratuito e disponibile per Apple iOS e Android.
Threema: la privacy ha un prezzo
Threema è un'applicazione svizzera nata a Pfäffikon SZ. Il Gruppo Bosch utilizza Threema come mezzo di comunicazione e Threema non è solo «Made in Switzerland», ma anche molto attento alla privacy dei suoi utenti.
Un detto popolare dice: una cosa non vale nulla finché non costa. Proprio per questo Threema costa tre franchi. Mentre Signal si affida a donazioni volontarie e Telegram è gratuito, pur volendo fare soldi con servizi a pagamento, Threema non fa le cose a metà. I tre franchi non solo forniscono una crittografia end-to-end, la formattazione dei messaggi e una miriade di funzioni decorative, ma anche un Transparency Report in cui i creatori rivelano quanti enti governativi hanno chiesto dati agli operatori dell'app e con quale frequenza Threema si è conformato. Nel Transparency Report figura:
All messages are always transmitted in end-to-end encrypted form and are only stored on the server until successful delivery
Che sia possibile leggere i messaggi Threema è noto all'esperto di sicurezza informatica Marc Ruef, che ha dato informazioni al «Sonntagszeitung» su un modo per leggere i messaggi.
Probabilmente l'intuizione più definitiva su come potrebbe funzionare la lettura è data nella citazione sopra riportata. Threema sembra conoscere l'E2EE, ma non il Forward Secrecy. In altre parole, i messaggi vengono memorizzati su un server fino alla loro consegna. Non si sa cosa succede ai dati durante questa memorizzazione.
Inoltre, questa è una dichiarazione piuttosto strana da parte di Threema. Nel 2015, il responsabile delle comunicazioni Roman Flepp ha dichiarato pubblicamente alla rivista specializzata Inside IT, quando gli è stato chiesto della richiesta di consegnare le chiavi, che questo non era mai accaduto.
La risposta corretta non sarebbe «non abbiamo affatto quelle chiavi»? Infatti, se c'è una completa implementazione della crittografia end-to-end con Forward Security, allora sarebbe irrilevante se le domande delle autorità entrano o meno, perché Threema non potrebbe fornire alcun dato.
Ma: a Threema possono essere successe molte cose dal 2015. Le richieste nel Transparency Report sono in aumento, tuttavia, e Threema si sta conformando ad alcune di esse. O Threema fa fuoriuscire i messaggi, oppure non sono abbastanza trasparenti da guadagnarsi la mia fiducia. Quali sono esattamente i dati che Threema ha condiviso?
La crittografia è complicata anche su Threema. Il documento esplicativo da solo è lungo 22 pagine A4. Ma questa complessità non viene scaricata sugli utenti. Non solo i messaggi sono criptati, ma anche l'autenticazione che Alice e Bob usano per entrare in comunicazione.
Se ora vuoi brontolare dicendo «Naaa, costa», allora considera che i tre franchi danno campo libero al codificatore. Attualmente, i clienti aziendali come Bosch dovrebbero essere in grado di portare avanti l'attività. Ma cosa succede se Bosch decide che preferisce utilizzare Microsoft Teams? Threema avrà bisogno di un ammortizzatore per far andare avanti gli affari. Ecco i tuoi tre franchi.
Privacy check: Threema
Threema promette che il servizio raccoglie solo i dati assolutamente necessari per il suo funzionamento e che questi dati vengono conservati solo per il minor tempo possibile. Pertanto, Threema raccoglie i dati associati a te e i dati diagnostici, che nel migliore dei casi potrebbero fornire metadati:
- Informazioni di contatto
- Identificatori
- Dati diagnostici
Ma c'è il fatto che Threema trasmette in media un po' più di una volta alla settimana alle autorità – non si sa a quali.
Threema è disponibile per Apple iOS e Android e costa CHF 3 per piattaforma.
A confronto: WhatsApp
WhatsApp non ha bisogno di molte spiegazioni. Conosci il servizio di messaggistica dalla tua vita quotidiana. Testo, immagini, messaggi vocali, verde. Ma il privacy check dipinge un quadro spaventoso.
Questo è ciò che WhatsApp registra su di te anche quando utilizzi altre applicazioni:
- Articoli acquistati
- Posizione
- Contatti
- Identificatori
- Dati diagnostici (metadati o dati chiari? Entrambi possibili)
- Informazioni finanziarie
- Informazioni di contatto
- Contenuti utente come immagini e video
- Dati di utilizzo
E questo è quanto. Ci vediamo tutti su Signal. Spero.
A 312 persone piace questo articolo
Giornalista. Autore. Hacker. Sono un contastorie e mi piace scovare segreti, tabù, limiti e documentare il mondo, scrivendo nero su bianco. Non perché sappia farlo, ma perché non so fare altro.
