An article in the British newspaper The Guardian sends the Net into turmoil: anyone could read your WhatsApp messages. Cybersecurity experts disagree
The news is of those that, necessarily, make noise. According to the British newspaper The Guardian, a bug in the adoption and use of WhatsApp’s end-to-end encryption system would put users’ messages at risk. The problem would affect everyone, no one excluded.
But let’s take a step back. Since April 2016, WhatsApp has adopted the Signal cryptographic protocol, also used by the anonymous chat app of the same name and developed by the Open Whisper System. It is one of the best end-to-end encryption protocols in existence today and has allowed WhatsApp to take a major step forward on the privacy and user data protection front (not surprisingly, it is recognized as one of the most secure instant messaging apps), making it particularly appealing in the eyes of activists and whistleblowers around the world.
The WhatsApp bug that puts users’ privacy and messages at risk
According to Tobias Boelter, cybersecurity expert and professor at the University of Berkley, however, things would not be exactly like that. From an in-depth analysis of the functioning of the protocol, in fact, it has emerged that WhatsApp servers would be able to force the creation of new cryptographic keys in case the recipient of the message should be offline. All this, of course, without either the sender or the recipient being aware of it. Si tratta, stando a quanto riportato dal Guardian, di un’operazione che metterebbe a rischio la privacy dei messaggi inviati ma non ancora ricevuti.
Questa operazione, infatti, potrebbe permettere a WhatsApp stessa – e quindi ai suoi dipendenti – di entrare in possesso delle chiavi di crittografia utilizzate nello scambio tra i due utenti e leggere così parte della loro conversazione. Nel caso in cui degli hacker dovessero riuscire a infiltrarsi nel sistema informatico di WhatsApp, dunque, potrebbero sfruttare questo bug a loro vantaggio e spiare degli utenti inconsapevoli.
Fonte foto: web
WhatsApp non è l’unica app di messaggistica a offrire la crittografia end-to-end. Click on the image and learn about Signal and other apps for sending secure messages
The bug, Boelter claims, doesn’t involve the Signal protocol itself, but the implementation made by WhatsApp within its communications network. The flaw, moreover, would have been reported to the Facebook-owned company several months ago, but nothing has been done to remedy it.
No bugs and no danger to WhatsApp messages
Not everyone, however, agrees that the WhatsApp bug is a serious danger. Several cybersecurity researchers (see here and here) have reacted quite testily to The Guardian’s article, calling the whole thing half-baked nonsense. On the same wavelength is Frederic Jacobs, a developer who worked on the iOS implementation of the Open Whisper System and now in the ranks of Apple engineers. According to Jacobs, the so-called bug would be nothing more than a function desired by the developers themselves that would work perfectly on WhatsApp. A possible man in the middle attack, in fact, would be quite complex and would require some form of collaboration from WhatsApp itself. In short, the messages exchanged in the chats would be more than safe.
How to secure WhatsApp conversations
Other computer security experts dispense advice on how to protect WhatsApp messages and prevent them from ending up in the hands of some digital snoop. First of all, it is recommended to turn on security notifications, so that you receive messages when the security code of a contact changes. Ciò vuol dire che in caso di modifiche alle chiavi crittografiche di un utente (ad esempio in caso di acquisto di un nuovo smartphone), si riceverà una notifica WhatsApp e si potrà verificare preventivamente se quale spione sia riuscito a intromettersi nelle vostre conversazioni. Per farlo si dovrà accedere alle Impostazioni di WhatsApp, premere su Account e poi su Sicurezza: qui basterà premere “sull’interruttore” e il gioco è fatto.
Fonte foto: Pixabay
L’autenticazione a due passaggi permette di proteggere la propria identità anche su WhatsApp. Clicca sull’immagine e scopri come attivarla.
Inoltre, in molti sconsigliano di effettuare il backup WhatsApp sul cloud (sia in caso di backup iOS sia backup Android): anche se si attiva la crittografia del database, infatti, non è escluso che qualche hacker possa decifrare la chiave crittografica e leggere le vostre conversazioni o guardare le foto e i video. La crittografia nel cloud, infatti, sfrutta protocolli differenti rispetto a quelli della crittografia end-to-end e le chiavi utilizzate per proteggere i file potrebbero anche essere facilmente reperite da hacker oppure organizzazioni governative e non governative interessate a spiare i cittadini.
Come proteggere la privacy online
Fonte foto: Shutterstock
Preoccupato della tua privacy online? Clicca sull’immagine e scopri sette trucchi per difendere i dati personali mentre si naviga