Ieri, 5 aprile, WhatsApp ha cominciato ad utilizzare la crittografia end-to-end per proteggere i messaggi di chat dei suoi iscritti. Bello, e cosa vuol dire? Il concetto alla base del famoso programma di messaggistica è che se io invio un testo ad un mio amico, a leggerlo possiamo essere solo in due: io e lui. La pratica è però ben diversa, perché la NSA si è dimostrata in grado di spiare le conversazioni sulle principali piattaforme (web e mobili), incontrando una certa difficoltà solo a tracciare i movimenti dei navigatori che si affidano al browser Tor. Per questo anche il team dell’app per iPhone, Android e gli altri dispositivi mobili, ha pensato bene di rafforzare le proprie misure di sicurezza.
End-to-che?
La crittografia end-to-end (e2e tra gli esperti) è una tecnica che permette la lettura in chiaro di un messaggio solo al mittente e al destinatario. Chiunque si intrometta nel percorso seguito dal contenuto (sia esso un testo, una foto o un video) può prelevare l’elemento scambiato ma senza avere la chiave di lettura, ottenendo dunque una serie di codici incomprensibili. Semplificando la questione, è come se a possedere la chiave di traduzione fossero solo chi invia il messaggio e l’utente che lo riceve. Le cose sono ovviamente più complesse, visto che la suddetta chiave è fatta di elementi diversi, conservati sia sul dispositivo in uso che condivisi in tempo reale tramite internet (tutto in automatico dalle app che sfruttano l’e2e).
È stata la stessa WhatsApp a spiegarlo con un post sul proprio blog ufficiale: “L’idea è semplice, quando mandi un messaggio, l’unica persona che può leggerlo è quella (singola o di gruppo) a cui lo hai indirizzato. Nessun altro può intercettarlo, né cybercriminali né hacker o regimi autoritari, nemmeno noi. La crittografia end-to-end ci aiuta a rendere le comunicazioni su WhatsApp private, come se si svolgessero faccia a faccia”.
Si tratta di una mossa importante in tempi in cui più di un miliardo di persone usa WhatsApp per tenersi in contatto con amici, famigliari e colleghi di lavoro. La sensazione che ognuno di loro sia oggi più al sicuro nei confronti di spie indipendenti e governative è forte. “Sappiamo che è importante collaborare con le forze di polizia per supportare la sicurezza, almeno quanto lo è rafforzare misure deboli di protezione, riducendo al minimo il rischio che le informazioni personali di tante persone finiscano nelle mani sbagliate”.
Ma lo smartphone non è al sicuro
Dunque? Tutto risolto? WhatsApp è concretamente il servizio di chat più sicuro al mondo? Non proprio. “Il problema di basare la sicurezza e la privacy di un’app per lo smartphone sulla crittografia end-to-end è che lo stesso dispositivo mobile non è, di per sé, protetto o privo di falle – ci dice Andrea Zapparoli Manzoni, esperto di cybersecurity – cosa vieta ad un hacker di entrare sullo smartphone tramite un malware e fare uno screenshot dello schermo mentre viene visualizzata una finestra di chat di WhatsApp? Tecniche difensive che sfruttano la security through obscurity (sicurezza tramite l’occultamento) non possono essere di certo considerate come vera sicurezza. Inoltre un’applicazione come WhatsApp che richiede ancora, dopo tutto quello che è successo con Snowden, l’accesso alla rubrica, il calendario, la posizione, gli sms, la cronologia delle chiamate, la fotocamera, il microfono, le informazioni sul Wi-Fi e tanto altro, si può davvero considerare sicura?”
Il punto è: basta mettere il lucchetto ad uno degli elementi cardine del panorama mobile attuale per assicurare le persone che si collegano da ogni parte del mondo? Evidentemente no. Il dubbio è che la crittografia introdotta ieri da WhastApp sia per lo più una mossa di marketing e non tanto un forte strumento difensivo per contrastare gli spioni. La sensazione è che la migliore soluzione resti quella di lavorare a stretto braccio con chi produce praticamente uno smartphone, sia nelle parti hardware che software: Apple, Google, i vari Samsung, LG, Sony, HTC e così via, per sviluppare sul serio un ecosistema in grado di compattarsi alle prime avvisaglie di intrusione.
