news
LE APP DI MESSAGGISTICA SONO SICURE?
Le applicazioni di messaggistica istantanea (o instant messaging) sono sempre più diffuse.
E non solo per i messaggi personali: in un periodo in cui lo smart working è divenuto un’alternativa lavorativa comune, la tendenza è di utilizzare le app di messaggistica anche per scambiare informazioni attinenti alla sfera professionale, in alternativa ad email e telefonate.
Ma queste app sono davvero sicure?
Ormai tutte le principali applicazioni di messaggistica sfruttano il meccanismo della crittografia end-to-end (E2E).
Con questo sistema i messaggi vengono cifrati con una coppia di chiavi, una pubblica ed una privata, che vengono scambiate solo tra mittente e destinatario.
Il vantaggio è che in questo modo i messaggi non possono essere letti se intercettati da una terza parte (un tipo di attacco che viene chiamato “Man in the middle” o MITM).
Ma, mentre la chiave pubblica viene allegata al primo messaggio inviato, la chiave privata è invece legata al dispositivo dove l’app è installata, rendendolo di fatto il punto debole del sistema. Se il dispositivo viene rubato o violato in qualche modo, sarà possibile accedere ai messaggi.
La cifratura dei dati, dunque, sebbene molto importante, ha delle limitazioni. E non è l’unico parametro da valutare per mettersi al riparo dai rischi di privacy.
Un altro aspetto da prendere in considerazione è costituito dalla gestione dei Metadati.
Con questo termine si intendono tutti i dati che possono essere raccolti sul conto dell’utente e delle sue attività e che costituiscono di fatto la sua fingerprint elettronica.
Nel caso delle app di messaggistica, i metadati raccolti possono includere i numeri telefonici di mittente e destinatario, l’elenco dei contatti, la durata e l’ora della conversazione, i dati sul dispositivo utilizzato, l’indirizzo IP, ecc…
Tramite i metadati, pur non potendo leggere il contenuto dei messaggi, è in ogni caso possibile dedurne informazioni utili e profilare l’utente ed i suoi interlocutori. Ogni app può però avere una diversa politica per la gestione dei metadati, e questo è sicuramente un buon punto di partenza per ricavare suggerimenti utili su come individuare le app più sicure.
Tra le varie applicazioni di messaggistica istantanea, WhatsApp è senza dubbio la più popolare al mondo.
Ma è davvero sicura?
L’app utilizza dal 2016 un protocollo di cifratura E2E estremamente sicuro (lo stesso di Signal, vedi più avanti).
Inoltre, questo sistema è attivo di default, senza dare all’utente la possibilità di disattivarlo: un vantaggio dal punto di vista della gestione dei rischi di privacy.
Tuttavia, Whatsapp conserva i metadati degli utenti sui propri server. Essendo di proprietà di Facebook, le possibilità che gli utenti vengano profilati da entrambe le applicazioni aumentano a dismisura.
In definitiva, Whatsapp non si rivela certamente l’app di messagistica più rispettosa della privacy in assoluto.
Quali sono quindi le alternative?
Eccone 3:
E non solo per i messaggi personali: in un periodo in cui lo smart working è divenuto un’alternativa lavorativa comune, la tendenza è di utilizzare le app di messaggistica anche per scambiare informazioni attinenti alla sfera professionale, in alternativa ad email e telefonate.
Ma queste app sono davvero sicure?
Ormai tutte le principali applicazioni di messaggistica sfruttano il meccanismo della crittografia end-to-end (E2E).
Con questo sistema i messaggi vengono cifrati con una coppia di chiavi, una pubblica ed una privata, che vengono scambiate solo tra mittente e destinatario.
Il vantaggio è che in questo modo i messaggi non possono essere letti se intercettati da una terza parte (un tipo di attacco che viene chiamato “Man in the middle” o MITM).
Ma, mentre la chiave pubblica viene allegata al primo messaggio inviato, la chiave privata è invece legata al dispositivo dove l’app è installata, rendendolo di fatto il punto debole del sistema. Se il dispositivo viene rubato o violato in qualche modo, sarà possibile accedere ai messaggi.
La cifratura dei dati, dunque, sebbene molto importante, ha delle limitazioni. E non è l’unico parametro da valutare per mettersi al riparo dai rischi di privacy.
Un altro aspetto da prendere in considerazione è costituito dalla gestione dei Metadati.
Con questo termine si intendono tutti i dati che possono essere raccolti sul conto dell’utente e delle sue attività e che costituiscono di fatto la sua fingerprint elettronica.
Nel caso delle app di messaggistica, i metadati raccolti possono includere i numeri telefonici di mittente e destinatario, l’elenco dei contatti, la durata e l’ora della conversazione, i dati sul dispositivo utilizzato, l’indirizzo IP, ecc…
Tramite i metadati, pur non potendo leggere il contenuto dei messaggi, è in ogni caso possibile dedurne informazioni utili e profilare l’utente ed i suoi interlocutori. Ogni app può però avere una diversa politica per la gestione dei metadati, e questo è sicuramente un buon punto di partenza per ricavare suggerimenti utili su come individuare le app più sicure.
Tra le varie applicazioni di messaggistica istantanea, WhatsApp è senza dubbio la più popolare al mondo.
Ma è davvero sicura?
L’app utilizza dal 2016 un protocollo di cifratura E2E estremamente sicuro (lo stesso di Signal, vedi più avanti).
Inoltre, questo sistema è attivo di default, senza dare all’utente la possibilità di disattivarlo: un vantaggio dal punto di vista della gestione dei rischi di privacy.
Tuttavia, Whatsapp conserva i metadati degli utenti sui propri server. Essendo di proprietà di Facebook, le possibilità che gli utenti vengano profilati da entrambe le applicazioni aumentano a dismisura.
In definitiva, Whatsapp non si rivela certamente l’app di messagistica più rispettosa della privacy in assoluto.
Quali sono quindi le alternative?
Eccone 3:
- Telegram
Telegram è la più nota alternativa a Whatsapp e spesso viene considerata un’applicazione più sicura.
Si tratta certamente di un’app ricca di funzionalità, adatta ad usi disparati e che supera anche alcune limitazioni di Whatsapp, come ad esempio il numero di partecipanti ad una chat di gruppo. Ma, dal punto dei rischi privacy, le cose sono più complesse.
Telegram è infatti un’app di messaggistica interamente basata sul cloud: le chat e la cronologia dei messaggi vengono salvate sui loro server. Questa funzionalità, che da un lato consente di gestire le conversazioni da diversi dispositivi, espone però a numerosi rischi in quanto rende più facile l’accesso ai dati anche per i criminali.
Per quanto riguarda la crittografia, l’app offre di default solo una cifratura client-server, ovvero dal mittente al server e dal server al destinatario. La crittografia E2E è messa a disposizione solo nelle chat segrete, ma questa opzione non è predefinita e deve essere attivata preventivamente.
Chi pensa quindi che Telegram sia un’applicazione di messagistica più sicura di Whatsapp deve ricredersi e tenere in considerazione tutti gli aspetti. - Signal
Signal è un’app di instant messaging open-source ancora poco nota, ma che presenta caratteristiche interessanti.
Raccomandata da diversi esperti di Cyber Security e perfino dalla Commissione Europea, Signal utilizza un protocollo di crittografia E2E chiamato “Signal Encryption Protocol“, considerato tra i migliori ed adottato successivamente anche da Whatsapp ed altre app di messaggistica.
Pur avendo bisogno di un numero di telefono per funzionare, Signal ha adottato fin dall’inizio un approccio abbastanza rispettoso della privacy dei propri utenti.
Oltre alle comuni caratteristiche delle app di messaggistica, quest’app consente infatti di inviare messaggi che si possono autodistruggere e perfino di gestire messaggi audio cifrati.
Inoltre, archivia solo i metadati necessari per il suo funzionamento, come il numero di telefono e le informazioni del profilo, non conservando altri metadati sui propri server.
Forse non si tratta dell’app più conosciuta al mondo, ma il suo approccio intransigente rende Signal di certo una delle applicazioni più sicure. - Threema
Threema è un’altra app open-source, sviluppata e mantenuta in Svizzera, e pertanto soggetta alle leggi locali in materia di protezione dei dati.
A differenza delle precedenti applicazioni, Threema non è gratuita ed è ancora quasi sconosciuta.
Ha però il vantaggio di assegnare una chiave univoca all’utente (Threema ID), in modo che la si possa utilizzare in modo totalmente anonimo, senza nessun obbligo di inserire un numero di telefono, un’email o ulteriori informazioni sull’utente.
L’aspetto più interessante è che ogni cosa viene cifrata con crittografia E2E, dai messaggi, alle chiamate, ai file scambiati.
Inoltre, i dati, come ad esempio la lista contatti o le chat di gruppo vengono archiviati in modo decentralizzato sui dispositivi degli utenti, anziché su un server Threema. Ed i messaggi vengono eliminati dal server dopo la trasmissione. In questo modo viene garantita la massima privacy per gli utenti.
Pur essendo decisamente l’applicazione meno nota tra le precedenti, oltre che a pagamento, Threema è di gran lunga quella che garantisce il maggior grado di riservatezza.
Concludendo, è importante distinguere l’utilizzo che dobbiamo fare delle app di instant messaging per poter valutare l’applicazione più corretta per i nostri scopi.
Se WhatsApp costituisce infatti un buon mezzo per comunicazioni di tipo personale, con il vantaggio di essere anche un’app molto utilizzata, è importante scoraggiarne l’uso in ambito professionale e in tutti i casi in cui vengono trattati dati sensibili o confidenziali.
Molti cyber attacchi purtroppo hanno dimostrato quanto possa essere pericoloso gestire informazioni delicate tramite questi mezzi ed è fondamentale essere consapevoli di queste minacce per non esporsi a rischi inutili.
Buon lavoro!
Latest news
HACKS OF THE DAY 08-09-10/04/2023
Oggi HOTD comprende 22 vittime ransomware da parte delle note bande criminali LockBit 3.0, Medusa, BlackByte, Money Message, Play, BlackCat/ALPHV e BlackBasta. Il Cyber Risk Factor...
Read MoreHACKS OF THE DAY 07/04/2023
Oggi HOTD comprende 9 vittime ransomware da parte delle note bande criminali LockBit 3.0, Medusa, Snatch, Money Message, BianLian, Karakurt e Royal. Il Cyber Risk Factor...
Read MoreHACKS OF THE DAY 06/04/2023
Oggi HOTD comprende 17 vittime ransomware da parte delle note bande criminali LockBit 3.0, BlackCat/ALPHV, Lorenz e Medusa. Il Cyber Risk Factor medio del giorno è...
Read More