WhatsApp, una delle applicazioni di messaggistica istantanea più utilizzata al mondo, fin dal 2014, ha adottato la crittografia end to end, andando ad implementare il protocollo Signal, sviluppato da Whisper Systems.
L’utilizzo di questo protocollo dovrebbe garantire la sicurezza dell’utente, permettendo la lettura in chiaro di un messaggio esclusivamente al mittente ed al destinatario, unici detentori della chiave di lettura.
Chiunque dovesse tentare di accedere al contenuto dei messaggi, non avendo la chiave di lettura, dovrebbe ottenere solamente una serie di codici incomprensibili.
Un ricercatore di sicurezza e crittografo dell’Università della California, Toblas Boelter, ha denunciato una vulnerabilità di WhatsApp, che permetterebbe di leggere i messaggi scambiati tra gli utenti, anche se criptati.
Nell’implementare il protocollo Signal, WhatsApp sembra aver lasciato una backdoor, che consentirebbe di generare una nuova coppia di chiavi all’insaputa dei partecipanti alla chat. I messaggi, non ancora consegnati al destinatario, verrebbero criptati attraverso le nuove chiavi generate ed inoltrati nuovamente, processo questo che permetterebbe a WhatsApp di avere accesso al contenuto di tali messaggi.
Boelter sostiene che WhatsApp, attraverso tale processo di ritrasmissione, potrebbe non solo accedere al contenuto dei messaggi non ancora consegnati ma dell’intera conversazione.
Nell’aprile 2016, era già stata segnalata tale scoperta a Facebook, che aveva dichiarato di esserne al corrente, in quanto previsto dal funzionamento stesso dell’applicazione, per impedire la perdita dei messaggi nel caso di utenti offline.
L’unica possibilità che l’utente ha, per rendersi conto della generazione delle nuove chiavi di sicurezza, è selezionare “Account> Sicurezza” ed abilitare la spunta “Mostra notifiche di sicurezza” tra le Impostazioni di WhatsApp, in modo tale da ricevere, successivamente alla ritrasmissione del messaggio, una notifica dell’avvenuto cambiamento della chiave di sicurezza.
Tale vulnerabilità, potendo essere sfruttata da istituzioni ed organizzazioni per portare a termine piani di sorveglianza di massa online, dovrebbe essere attentamente valutata da ciascun utente che ne fa giornalmente uso, al fine di tutelare la sicurezza dei propri dati in rete.