La guerra della privacy

WhatsApp, Telegram, Allo e Signal, qual è la più sicura?
di Massimiliano Di Marco

 

A confronto quattro applicazioni di messaggistica su una delicata questione: la privacy.
Nella guerra della sicurezza dei dati dell’utente, molte applicazioni di messaggistica hanno iniziato a usare la crittografia “end-to-end”. WhatsApp, Telegram e Signal sono i tre esempi più noti; i primi due poiché sono molto utilizzati e il secondo perché il suo protocollo di sicurezza è estremamente valido. Nel prossimo futuro, poi, è attesa Allo di Google. Ci sono però altri fattori da valutare e che analizzeremo in seguito: ha senso usare un’app dalla solida crittografia end-to-end se questa è effettivamente utilizzata da pochi utenti in tutto il mondo? Bisogna quindi raggiungere un compromesso tra popolarità e privacy.
Nel caso di WhatsApp, Telegram e Signal, qual è l’app più sicura?
 

WHATSAPP
WhatsApp ha oltre un miliardo di utenti. Ciò significa che non solo deve proporre una qualche funzionalità di protezione dei dati e della privacy degli utenti, ma anche un set di funzioni tale per cui resti popolare e usata.
Iniziamo con il valutare la crittografia end-to-end di WhatsApp. Tale crittografia coinvolge il contenuto dei messaggi, le chat di gruppo e i file multimediali: il contenuto è al sicuro. Ma c’è una grossa falla. WhatsApp raccoglie quelli che vengono definiti “metadati”, ossia dati generici ma che possono comunque essere funzionali in un’indagine delle forze dell’ordine, ad esempio.

Quali sono questi metadati? Se avete scritto a un dato contatto, questo è un metadato che WhatsApp raccoglie; la vostra lista contatti è un altro esempio. Questi dati non solo sono in possesso di WhatsApp, ma la politica della società, facente parte della rete di Facebook, prevede che possa consegnarli alle autorità sotto richiesta del governo.
Insomma: se qualcuno della vostra lista contatti viene coinvolto in un’indagine, WhatsApp sa se lo avete contattato e quando. Non si può nascondere questo metadato. Infine, riguardo al contenuto dei messaggi, c’è un’altra falla molto importante. Le chat possono essere salvate su cloud, tramite Google Drive o iCloud: ciò significa che se uno di questi servizi viene hackerato, c’è la possibilità che tutte le vostre chat vengano esposte. A prescindere dalla crittografia. Tale funzione è facoltativa, il che significa che potete tenere le vostre chat salvate in locale, ma è molto popolare fra gli utenti, che possono importare le chat quando cambiano telefono o sistema operativo in modo semplice e veloce.
 

TELEGRAM
In merito a Telegram, bisogna evidenziare che, chiacchiere commerciali a parte, non è poi così sicuro. Il protocollo usato dall’app di messaggistica, chiamato MTProto, è realizzato internamente, ma non da crittografi professionisti.
Il ricercatore di sicurezza Thaddeus Grugq, in un post molto diretto sul proprio blog, ha così descritto Telegram: “In breve, Telegram è incline a errori, ha una crittografia traballante e realizzata internamente, raccoglie enormi quantità di metadati, ruba la rubrica ed ora è un covo di terroristi. Non potrei pensare a una combinazione peggiore per un’app di messaggistica che si definisce sicura. Insomma, per una protezione decente, usate qualsiasi altra cosa”.

Telegram ha una tale reputazione in termini di sicurezza da essere considerata la preferita dai gruppi terroristici per comunicare senza essere intercettati dalle forze dell’ordine. La realtà è un pochino diversa.
Infine, bisogna considerare che per impostazione predefinita i messaggi inviati e ricevuti tramite Telegram vengono salvati sui server dell’azienda in forma non cifrata.
Allora perché l’ISIS usa Telegram? Non per la crittografia, ma per i suoi canali. Tramite essi, può raggiungere centinaia o migliaia di persone con un solo messaggio. Una funzione che non è presente su WhatsApp, molto più popolare.
 

SIGNAL
E arriviamo al chiaro vincitore. Perché? Signal non raccoglie né dati né metadati riguardo a cosa inviate, a chi inviate messaggi o quando lo fate. Al massimo, Signal, un’applicazione no profit e open-source, ricorda l’ultima volta che vi siete connessi, ma tale dato è arrotondato al giorno (ieri, oggi, lunedì, etc.).
La lista dei contatti dev’essere condivisa affinché vengano trovati altri contatti che usano l’applicazione ma, come è stato spiegato a The Intercept, viene fatto in modo tale che una volta eseguita questa operazione, la rubrica viene cancellata dai server di Signal. Inoltre, i numeri di telefono sono offuscati.
Infine, non è presente la funzione di backup delle chat, il che rende sicuri i messaggi e le foto da eventuali hackeraggi dei servizi cloud. Se cambiate smartphone, però, dovete spostare manualmente le chat, importando l’archivio in locale sul nuovo dispositivo. Signal è disponibile per iOS e Android. È realizzata senza scopo di lucro da Open Whispers System ed è open-source.   L’essenza di Signal, come anticipato, si traduce in meno funzioni per l’utente finale, a cominciare proprio dall’assenza di backup. Bisogna poi considerare che tre persone lavorano full-time a Signal: due sono sviluppatori software e una si occupa del supporto. Signal è gratuita e si finanzia solo con le donazioni volontarie.
Ciò implica che in quanto a funzionalità, Signal è nettamente inferiore ai concorrenti. Inoltre, è usato da pochi milioni di persone in tutto il mondo. Il fondatore di Open Whispers System, la società che gestisce Signal, non distribuisce i dati sul numero di utenti che usano mensilmente l’app, ma secondo il Play Store è stata scaricata da un numero compreso tra 1 e 5 milioni. Un’unghia in confronto a WhatsApp e Telegram
 

ALLO
Parlare di privacy e Google è un discorso ampio. Da una parte, l’azienda di Mountain View deve adeguarsi all’ultimo trend ma allo stesso tempo deve raccogliere i dati da vendere ai pubblicitari, vale a dire la sua principale fonti di profitti.
L’app di messaggistica Allo, presentata ufficialmente nel corso del recente Google I/O, di base non avrà la crittografia end-to-end: spetterà all’utente, qualora venisse adeguatamente informato (e non ne siamo certi), attivare tale funzionalità. Non è prevista per impostazione predefinita poiché Allo punterà molto sull’apprendimento automatico (machine learning) di Google Assistant, le cui abilità sarebbero impossibili se non potesse avere accesso ai messaggi.

Allo e Duo saranno i due pilastri del servizio di messaggistica di Google. Il contenuto dei messaggi dovrà essere letto per fornire servizi accessori: ricerche rapide tramite Google, prenotazioni di voli, alberghi e ristoranti, l’uso di Maps. Allo è in tutto e per tutto un’applicazione di messaggistica pensata per convogliare l’utente nei servizi di Google e non per proteggere la sua privacy; anzi, è il contrario.
Il noto Edward Snowden, la “talpa” che ha svelato le informazioni che hanno portato al “datagate” e messo in cattiva luce l’NSA (l’agenzia di sicurezza nazionale statunitense), ha pubblicato un tweet molto rappresentativo: “La decisione di Google di disabilitare la crittografia end-to-end per impostazione predefinitiva nella nuova app Allo è pericolosa e la rende non sicura. Evitatela per il momento”.


QUAL È LA PIÙ SICURA?
Come abbiamo visto, Signal è l’unica app di messaggistica per smartphone che può essere definita sicura da occhi indiscreti. Si tratta anche, però, dell’app meno diffusa tra quelle qui analizzate (in attesa dell’arrivo di Allo). All’utente la decisione finale, sapendo, però, che nella maggior parte dei casi non potrà davvero affermare di messaggiare in totale anonimato, anche quando WhatsApp e Telegram pubblicizzano con un megafono la crittografia end-to-end.







Elenco articoli