Aggiornamento: WhatsApp ha dato la seguente risposta:
“The Guardian ha pubblicato una storia la mattina affermando che una decisione di progettazione intenzionale in WhatsApp impedisce persone dalla perdita di milioni di messaggi è una "backdoor" che consente ai governi di costringere WhatsApp a decrittografare i messaggi flussi. Questa affermazione è falsa.
WhatsApp non fornisce ai governi una "backdoor" nei suoi sistemi e contrasterebbe qualsiasi richiesta del governo di creare una backdoor. La decisione di progettazione a cui si fa riferimento nella storia del Guardian impedisce la perdita di milioni di messaggi e WhatsApp offre alle persone notifiche di sicurezza per avvisarle di potenziali rischi per la sicurezza. WhatsApp ha pubblicato un Libro bianco tecnico sul suo design di crittografia ed è stato trasparente riguardo alle richieste del governo che riceve, pubblicando i dati su tali richieste nel Rapporto sulle richieste del governo di Facebook.“
La storia originale continua di seguito.
–
WhatsApp ha una backdoor che potrebbe consentire a Facebook di intercettare e leggere i messaggi crittografati.
Questo è secondo un rapporto in Il guardiano, che pretende il modo in cui WhatsApp ha implementato il suo protocollo di crittografia end-to-end consente all'azienda di accedere ai messaggi privati, almeno in teoria.
Come spiega il rapporto, la crittografia di WhatsApp “si basa sulla generazione di chiavi di sicurezza univoche”, create utilizzando il protocollo Signal di Open Whisper Systems. Queste chiavi univoche vengono scambiate e verificate tra gli utenti, per garantire che le linee di comunicazione siano protette dagli intermediari.
Fin qui tutto bene. Ma si scopre che WhatsApp ha anche la capacità di rispedire automaticamente i messaggi non consegnati, forzando la generazione di nuove chiavi di crittografia all'insaputa del destinatario (il mittente riceve una notifica, dopo che il messaggio è stato rispedito, solo se l'utente ha acconsentito agli avvisi di crittografia in impostazioni). Fondamentalmente, questa nuova crittografia potrebbe consentire a WhatsApp o a un'altra parte di generare chiavi note, che consentirebbero loro di intercettare e leggere il messaggio.
Questa configurazione non è nativa del protocollo Signal, che non riuscirà a consegnare un messaggio se la chiave di sicurezza è stata modificata mentre sei offline. Invece, la vulnerabilità è dovuta all'implementazione del protocollo da parte di WhatsApp, che invia automaticamente un messaggio non consegnato con una nuova chiave.
Tobias Boelter, un ricercatore di sicurezza dell'Università della California, Berkeley, ha scoperto la vulnerabilità e l'ha segnalata ai proprietari di WhatsApp Facebook nel 2016. Successivamente gli è stato detto che si trattava di un "comportamento previsto" e Il guardiano ha potuto verificare che la backdoor esiste ancora.
"Se a WhatsApp viene chiesto da un'agenzia governativa di divulgare i suoi record di messaggistica, può effettivamente concedere l'accesso a causa del cambio di chiavi", ha detto Boelter Il guardiano.
Vedi correlati
La backdoor è stata verificata anche da Steffen Tor Jensen, responsabile della sicurezza delle informazioni e della controsorveglianza digitale presso l'Organizzazione europea-bahreinita per i diritti umani. “WhatsApp può effettivamente continuare a capovolgere le chiavi di sicurezza quando i dispositivi sono offline e inviare nuovamente il messaggio, senza far conoscere agli utenti la modifica fino a dopo che è stata apportata, fornendo una piattaforma estremamente insicura ", ha detto al giornale.
La presunta attenzione di WhatsApp alla sicurezza delle informazioni l'ha resa una piattaforma scelta da dissidenti, giornalisti e diplomatici. I difensori della privacy hanno criticato questa rivelazione di una presunta backdoor, inclusa la professoressa Kirstie Ball, co-direttrice e fondatrice di il Center for Research into Information, Surveillance and Privacy, che ha affermato che la vulnerabilità era “un'enorme minaccia alla libertà di discorso".
"Se stai usando WhatsApp per evitare la sorveglianza del governo, fermati ora", ha twittato Il guardiano'S Samuel Gibbs.
“Avere una backdoor di sicurezza che forza la generazione di nuove chiavi di crittografia è già abbastanza grave. Ma non rendere il destinatario consapevole di questo cambiamento è altamente immorale,” ha detto Jacob Ginsberg, sdirettore senior presso la società di software di crittografia Echoworx. "IOt mette in discussione la sicurezza, la privacy e la credibilità dell'intero servizio e dell'azienda. Il fatto che Facebook sia a conoscenza di questa vulnerabilità da aprile è doppiamente dannoso. Non solo questo potrebbe essere visto da molti come un supporto agli interventi di raccolta dati del governo in corso, ma significa che il loro discorso sulla crittografia e sulla privacy non è stato altro che un servizio formale. L'azienda deve affrontare attivamente le sue misure di sicurezza.
