Categorie
2022 News-IT

LE APP DI MESSAGGISTICA SONO SICURE?

news

LE APP DI MESSAGGISTICA SONO SICURE?

Le applicazioni di messaggistica istantanea (o instant messaging) sono sempre più diffuse.

E non solo per i messaggi personali: in un periodo in cui lo smart working è divenuto un’alternativa lavorativa comune, la tendenza è di utilizzare le app di messaggistica anche per scambiare informazioni attinenti alla sfera professionale, in alternativa ad email e telefonate.

Ma queste app sono davvero sicure?

Ormai tutte le principali applicazioni di messaggistica sfruttano il meccanismo della crittografia end-to-end (E2E).
Con questo sistema i messaggi vengono cifrati con una coppia di chiavi, una pubblica ed una privata, che vengono scambiate solo tra mittente e destinatario.

Il vantaggio è che in questo modo i messaggi non possono essere letti se intercettati da una terza parte (un tipo di attacco che viene chiamato “Man in the middle” o MITM).

Ma, mentre la chiave pubblica viene allegata al primo messaggio inviato, la chiave privata è invece legata al dispositivo dove l’app è installata, rendendolo di fatto il punto debole del sistema. Se il dispositivo viene rubato o violato in qualche modo, sarà possibile accedere ai messaggi.

La cifratura dei dati, dunque, sebbene molto importante, ha delle limitazioni. E non è l’unico parametro da valutare per mettersi al riparo dai rischi di privacy.

Un altro aspetto da prendere in considerazione è costituito dalla gestione dei Metadati.

Con questo termine si intendono tutti i dati che possono essere raccolti sul conto dell’utente e delle sue attività e che costituiscono di fatto la sua fingerprint elettronica.

Nel caso delle app di messaggistica, i metadati raccolti possono includere i numeri telefonici di mittente e destinatario, l’elenco dei contatti, la durata e l’ora della conversazione, i dati sul dispositivo utilizzato, l’indirizzo IP, ecc…

Tramite i metadati, pur non potendo leggere il contenuto dei messaggi, è in ogni caso possibile dedurne informazioni utili e profilare l’utente ed i suoi interlocutori. Ogni app può però avere una diversa politica per la gestione dei metadati, e questo è sicuramente un buon punto di partenza per ricavare suggerimenti utili su come individuare le app più sicure.

Tra le varie applicazioni di messaggistica istantanea, WhatsApp è senza dubbio la più popolare al mondo.

Ma è davvero sicura?

L’app utilizza dal 2016 un protocollo di cifratura E2E estremamente sicuro (lo stesso di Signal, vedi più avanti).

Inoltre, questo sistema è attivo di default, senza dare all’utente la possibilità di disattivarlo: un vantaggio dal punto di vista della gestione dei rischi di privacy.

Tuttavia, Whatsapp conserva i metadati degli utenti sui propri server. Essendo di proprietà di Facebook, le possibilità che gli utenti vengano profilati da entrambe le applicazioni aumentano a dismisura.

In definitiva, Whatsapp non si rivela certamente l’app di messagistica più rispettosa della privacy in assoluto.

Quali sono quindi le alternative?

Eccone 3:

  1. Telegram

    Telegram è la più nota alternativa a Whatsapp e spesso viene considerata un’applicazione più sicura.

    Si tratta certamente di un’app ricca di funzionalità, adatta ad usi disparati e che supera anche alcune limitazioni di Whatsapp, come ad esempio il numero di partecipanti ad una chat di gruppo. Ma, dal punto dei rischi privacy, le cose sono più complesse.

    Telegram è infatti un’app di messaggistica interamente basata sul cloud: le chat e la cronologia dei messaggi vengono salvate sui loro server. Questa funzionalità, che da un lato consente di gestire le conversazioni da diversi dispositivi, espone però a numerosi rischi in quanto rende più facile l’accesso ai dati anche per i criminali.

    Per quanto riguarda la crittografia, l’app offre di default solo una cifratura client-server, ovvero dal mittente al server e dal server al destinatario. La crittografia E2E è messa a disposizione solo nelle chat segrete, ma questa opzione non è predefinita e deve essere attivata preventivamente.

    Chi pensa quindi che Telegram sia un’applicazione di messagistica più sicura di Whatsapp deve ricredersi e tenere in considerazione tutti gli aspetti.


  2. Signal

    Signal è un’app di instant messaging open-source ancora poco nota, ma che presenta caratteristiche interessanti.

    Raccomandata da diversi esperti di Cyber Security e perfino dalla Commissione Europea, Signal utilizza un protocollo di crittografia E2E chiamato “Signal Encryption Protocol“, considerato tra i migliori ed adottato successivamente anche da Whatsapp ed altre app di messaggistica.

    Pur avendo bisogno di un numero di telefono per funzionare, Signal ha adottato fin dall’inizio un approccio abbastanza rispettoso della privacy dei propri utenti.

    Oltre alle comuni caratteristiche delle app di messaggistica, quest’app consente infatti di inviare messaggi che si possono autodistruggere e perfino di gestire messaggi audio cifrati.

    Inoltre, archivia solo i metadati necessari per il suo funzionamento, come il numero di telefono e le informazioni del profilo, non conservando altri metadati sui propri server.

    Forse non si tratta dell’app più conosciuta al mondo, ma il suo approccio intransigente rende Signal di certo una delle applicazioni più sicure.


  3. Threema

    Threema è un’altra app open-source, sviluppata e mantenuta in Svizzera, e pertanto soggetta alle leggi locali in materia di protezione dei dati.

    A differenza delle precedenti applicazioni, Threema non è gratuita ed è ancora quasi sconosciuta.

    Ha però il vantaggio di assegnare una chiave univoca all’utente (Threema ID), in modo che la si possa utilizzare in modo totalmente anonimo, senza nessun obbligo di inserire un numero di telefono, un’email o ulteriori informazioni sull’utente.

    L’aspetto più interessante è che ogni cosa viene cifrata con crittografia E2E, dai messaggi, alle chiamate, ai file scambiati.

    Inoltre, i dati, come ad esempio la lista contatti o le chat di gruppo vengono archiviati in modo decentralizzato sui dispositivi degli utenti, anziché su un server Threema. Ed i messaggi vengono eliminati dal server dopo la trasmissione. In questo modo viene garantita la massima privacy per gli utenti.

    Pur essendo decisamente l’applicazione meno nota tra le precedenti, oltre che a pagamento, Threema è di gran lunga quella che garantisce il maggior grado di riservatezza.

  4. Concludendo, è importante distinguere l’utilizzo che dobbiamo fare delle app di instant messaging per poter valutare l’applicazione più corretta per i nostri scopi.

    Se WhatsApp costituisce infatti un buon mezzo per comunicazioni di tipo personale, con il vantaggio di essere anche un’app molto utilizzata, è importante scoraggiarne l’uso in ambito professionale e in tutti i casi in cui vengono trattati dati sensibili o confidenziali.

    Molti cyber attacchi purtroppo hanno dimostrato quanto possa essere pericoloso gestire informazioni delicate tramite questi mezzi ed è fondamentale essere consapevoli di queste minacce per non esporsi a rischi inutili.

    Buon lavoro!

Latest news

Hacks Of The Day

HACKS OF THE DAY 08-09-10/04/2023

Oggi HOTD comprende 22 vittime ransomware da parte delle note bande criminali LockBit 3.0, Medusa, BlackByte, Money Message, Play, BlackCat/ALPHV e BlackBasta. Il Cyber Risk Factor...

Read More
Hacks Of The Day

HACKS OF THE DAY 07/04/2023

Oggi HOTD comprende 9 vittime ransomware da parte delle note bande criminali LockBit 3.0, Medusa, Snatch, Money Message, BianLian, Karakurt e Royal. Il Cyber Risk Factor...

Read More
Hacks Of The Day

HACKS OF THE DAY 06/04/2023

Oggi HOTD comprende 17 vittime ransomware da parte delle note bande criminali LockBit 3.0, BlackCat/ALPHV, Lorenz e Medusa. Il Cyber Risk Factor medio del giorno è...

Read More
				
					-----BEGIN PGP PUBLIC KEY BLOCK----- xsFNBFyONI0BEAC3wJRo5qhtr1KsqVdMz7b5JqHmt7H0ZZr14oJ9TV/hD9LMfrKpnQ94dFGnpfGa BKC1wSoJN4Yfs5lg5YmN4hmHmm6PkjgQdenVgL4YDfLDodwn5DgXKuywRBqIFbbnTDvFAb03DX2A FPnc+4g2QHsfiFycz+ISg/Z+8i21gY3j5oZlrdMKVWrNczrNc/lDJqJ36RSYDn1QzAW1ZGY/pUXk imPRvLew5Idr3462sZVVhuUFMD3Uf/W1SaS3bSEQM89pSYKZfo8AFpAs659Mn7gqKru6ndxilRdF wJGQuepqR8kz+vVPLyxJj68ii2ZBIY50RQvSBgJRnNF/Htp30cuk3v8jfSGZit9XYTTGQThVbfGR ZcKWze/iF+es110+mNXA/8s7jKs95PI+z1Foc9o74Ujs8dvjEGHTaESIEzX3JtEZUCZUiPt/P8pU Jw0ewbj1XCacYxYVsR7ODlf6GEsjt868WcjiqsuuZo2rzO4og9hFU5DlBzuePklfhw8dO5CiMN2H vtSkAn4DkgHqC+JiciHc9h5Cvvfjp52oQPj1eYmU3LkOvGFmPXVIts3VfxsQT3gk+DmrQ4J//fAl tNRSbMBnGu5F/qnLLkJmKRKPKNNcpjptFznKxLZbxW5QbAeDok3ho8YQACfADKcrmaIRkoPr8/mn PxZgMSMB87W7sQARAQABzSRTb2ZpYSBTY296emFyaSA8c29maWFAaGFja21hbmFjLmNvbT7CwZQE EwEIAD4WIQTNwEbcXbH0vegGlHCd6fr0nsTifwUCXI40jQIbIwUJEswDAAULCQgHAgYVCgkICwIE FgIDAQIeAQIXgAAKCRCd6fr0nsTifwKuD/4+3MaN+9eFiltI06fFBjr1Csh0OLFw89jFnpuYl9Sm ImVqmBwrnm+APxxLK4M+FMuNm4fW08X249t09Nsf0ba6UJ0HR/7/fRTipjzRLqHSr0+ZjVUGHhon fuuFZgNzPA5RmQZZCyiwyqZJs7pLn1QI/CtlDP6MsQhadywbkO/5LlDoBoYh/2DYNA/mtEfJbvc/ cOvfk47thj5OzcXJEWFxz7h2P5C2ELwxdhNPC+uqcOQkTScnuIBJooheJPhdmqOtOwrbUUIfaryM IESrol3Jg3/MUOe7FLXhwCSQGY1iefzl4py2jTeK936GMBHifLSUCA88lpE7ALkbf3+qJ9ABra9G e9e0dirIlPvFgBkEBBXsoIReQLrhHKFBtvKdrrE9Rb7kAwon+sW+3Uf6Ie3M8nTisGy2AmlI/tQ5 V0MHU2UJUNcc59hk7ADIlXN64eeqELgsMtlR4wEHd6nwcEpoPCTWfrVSwzsPtXUGNAGbgGxISv/F ltcFJ6Qw6Zy4f+YBEyCx/7GA3kjLllkcHv4kwHpP+WQCzbjh2JdkGEp5AY7puil1AtOFcbirbHbR 83KVeqx4Vvlyh2jhIDQYB/9qpTDC1xDKpndn40gnNd5hvjK0I0Xvbhb0PLhCpJQ5tsvPiQHjhOMF Wye3ZigaX1gTZxE29MLtwBbOYdGCYG0MrM7BTQRcjjSNARAAupAKTZXLRktriUVqhkZpU8zUVwrW ik6siStg7BppSJuKVW+Ic8QIagW0I48d2jZIIXrQRvqVBixn8eeBTE8Cujum1mZyhTw2sri3gE9i 81gisF17T/uewzRyYwx8obMfSEBnwJa44td7VjtbfLMRtfneK9R40+kELhhvXZa3DBbcG86zHVPU f1YkLX4RNSyjz4vOCX3WlcIAOr6MJA8DT+F5mUCVEhnkeUbflXtxRSeTUTfOw/3MYLs+mc6hWwLq gqTMcIQhDrYEY5wUgb5Mj86NR/uvsThL6MtWCJWVbfxHxM575woyTdD9E6HGO6loHYdky/7I+XFZ twgxsGn6HJYT+Gwn9BI5/DiwT1Qb/AyADktN1jGmZGTlniS+hly7rm0EHb2CTTM5zT1fh/sCOtQb nYIUf2in2cIfcFvzeFrUbDk2HfJMp5FmY6tBEV5xyNCww/mBkW2nuZy9CvAheJEOGoO8lyonPU2u ARq345LdbS6l+VdivPmZoLNpIMRw9MSTYmzm08h7C+/6hxzpjw1/nWZ+W2k9VpLutEs7KMtsbZR4 WhVFVS1uhqxrnjoeBHznh360Ou8SR+PFO0HIrYz4W7ayfcBhqcsGrM9u1E892gjUVTbPv8UoXQ8S Zm9ra2jqbfZGbyOpMIlyMzHTak7r0IZvCedEUDCimitbw98AEQEAAcLBfAQYAQgAJhYhBM3ARtxd sfS96AaUcJ3p+vSexOJ/BQJcjjSNAhsMBQkSzAMAAAoJEJ3p+vSexOJ/C+wP/iGvKG1NldCT2gR7 oWhmvgBnsD7qjC57RX0Go7WD1lmrWP4xWpvM6Tj0V4ZsXnyB8zUR38p49PPymjwy51FAss5PYh8S bVC1/sKC5Sae3kiAoMGH29MBAwL1IkJ8PNw6uOJHhUIJgKT5RWk2f7q3+Tha19slXwD/FC1IcBJK baxyVkG3cG5AnNvvKZyFAUNZ9FiBycaNHO4o6bCcCzSsaRLL2azudJLrF8UYPfTNBQ6Cr4QLqaRb t+ZqL2nqmcadO1AtxLtq5lQjxbhJ3jSYIcQJRq0ztbIBcPrdR2B/dfVED9cU5leSmNXxrh09gJ7N tmUpVo5fBcbf6fP7h2HIFBpH+G/8UUlcbm9pQ5Jcb8FEom0JrfaIAuv1gEIJAk1mkqLNzWUs8KuL nCBBVT2+2hfEZjtjUYbCLVB4LRCsLs9CY1wS3yKca90S8m0tfKcSj3K3k8qlKodkE2raX2GW2dm9 b200ENbb41B1uZlPts4Yh/AMfLqoNv8wyw0GlUQ2DqgDqviLANYbg4/GHwTLwO2b9UMHuTVU3woS 1LRKt0iPPsd+ir+9YRAVt5LB5XTS5C5cdIW9JSXQ+0cnbr3LPZCBulOew/M72liBINKWKGoUyueF 73ckNO9S7pzTOCpjn3+gAuzN/itwgwrMLoqUqqBuxzd7cKNJHTFdTIfTm53f =KIMs -----END PGP PUBLIC KEY BLOCK-----