La Repubblica: WhatsApp: nessuna backdoor, smentita la falla nella sicurezza

Network News
gennaio 2017

By Arturo Di Corinto WhatsApp: nessuna backdoor, smentita la falla nella sicurezza
Il tallone d’Achille della chat verde in realtà è una funzione attivata per salvare i messaggi. A spiegare la vulnerabilità, dopo il caso sollevato dal Guardian, è l’esperto di hacking Stefano Chiccarelli. Il consiglio per la sicurezza? Controllare le notifiche
di ARTURO DI CORINTO per La Repubblica del 16 Gennaio 2017
SECONDO un ricercatore della University of Califorina, Tobias Boelter, ”se un governo chiedesse a WhatsApp di accedere allo scambio di messaggi fra due dei suoi utenti, la compagnia potrebbe in effetti fornirli, cambiando le chiavi di cifratura”. E questo sarebbe possibile grazie a una vulnerabilità di tipo ‘backdoor’, una porta di accesso nascosta che permetterebbe di aggirare le protezioni della chat, come ha scritto il Guardian e tutti si sono precipitati a riportare. Ma come è possibile se WhatsApp usa Signal come sistema di crittografia end-to-end che rende impossibile leggere i messaggi cifrati?
In effetti quando si scambiano messaggi cifrati usando questo metodo le chiavi segrete per poterli leggere vengono autogenerate dagli smartphone (dal client) di chi partecipa alla conversazione e fintanto che non si cambia dispositivo le conversazioni sono sicure, ma secondo quanto riportato dal Guardian la backdoor ”interverrebbe” sulla rigenerazione delle chiavi crittografiche, sui messaggi non ancora letti dagli utenti. Boelter sostiene di aver contattato Facebook ad aprile del 2016 segnalando la vulnerabilità.
Però secondo gli esperti si tratterebbe solo di una implementazione poco sicura del protocollo crittografico Signal (Text/secure), creato da Moxie Marlinspike e che è alla base della segretezza tanto di WhatsApp che del Messenger di Facebook. Usando questo protocollo l’app genera una chiave univoca basata sul dispositivo di ogni utente e se due persone si scambiano messaggi, fintanto che queste chiavi vengono scambiate solo tra mittente e destinatario il dispositivo viene definito ‘sicuro’, almeno fino a quando la chiave non cambia.
E qui sta l’inghippo. WhatsApp usa il sistema di crittografia di Signal per codificare i messaggi, ma introduce una sua “variante” per facilitarne l’uso da parte degli utenti: può infatti generare una nuova chiave per gli utenti che sono offline e usarla per cifrare i messaggi che verranno normalmente letti e accettati dal client quando sarà di nuovo raggiungibile. Perciò almeno in teoria all’azienda o a qualcuno che abbia accesso all’infrastruttura di WhatsApp, basterebbe aspettare che la vittima vada offline, ricreare la chiave che verrà usata per codificare i messaggi e rispedirli. Ma stavolta la chiave sarà anche in possesso di chi vuole spiare le conversazioni.
Questo sarebbe proprio il meccanismo usato per intercettare le conversazioni su Telegram da parte di due attivisti politici russi che usavano però l’app Telegram creata dai fratelli Durov.
WhatsApp ha accettato di correre questo rischio perché generare nuove chiavi per gli utenti offline permette ai server di consegnare i messaggi inviati anche a chi non è online al momento dell’invio, senza rischiare di perderli se il destinatario dovesse reinstallare l’app o cambiare il mezzo di ricezione che contiene la chiave di decodifica del messaggio.
L’unico modo per accorgersi che le chiavi di codifica non sono più quelle originali …read more

Source:: Frontiere Digitali