Close Menu
    LIVE
    LIVE
    whatsapp encryption issues
    Cybersecurity

    “Si può accedere segretamente ai gruppi WhatsApp”. Ma l’azienda smentisce

    Pierluigi Paganini4 Mins Read

    Secondo uno studio di esperti tedeschi, chi gestisce i server potrebbe inserire altri utenti nei gruppi bypassando l’amministratore. Da WhatsApp fanno sapere che nessuno può essere aggiunto segretamente e ha introdotto una funzionalità che ha reso più difficile la creazione di falsi messaggi

    firma email wapp 3

    Più volte abbiamo discusso di servizi di messagistica sicura che rendono impossibile l’intercettazione delle comunicazioni persino ai gestori stessi delle infrastrutture, tutto ciò grazie all’implementazione di meccanismi di crittografia noti come end-to-end encryption.

    Leggi anche Benvenuti in Signal, l’app per telefonare in segreto

    Facebook, WhatsApp, Signal e molti altri implementano da tempo l’end-to-end encryption, di recente Skype ha annunciato l’adozione di questa tipo di processi per proteggere i propri clienti da spioni.

    Una notizia tuttavia ha fatto preoccupare e non poco gli utenti di popolari applicazioni di instant messaging come WhatsApp, Signal e Threema: parrebbe infatti che un utente malintenzionato possa segretamente intercettare le chat di gruppo sebbene siano crittografate.

    whatsapp encryption issues

    La scoperta dei ricercatori

    La ricerca è stata avviata da un gruppo di esperti della Ruhr-Universität Bochum (RUB) in Germania i quali avrebbero provato che a causa di alcune falle, coloro che controllano i server WhatsApp / Signal potrebbero aggiungere segretamente nuovi membri a qualsiasi gruppo privato senza il permesso dell’amministratore.

    I ricercatori hanno sottolineato la profonda differenza nella gestione delle comunicazioni tra due utenti e di chat multiutente, in questo secondo caso i server gestiscono l’intero processo di comunicazione.

    “Contrariamente alle classiche chat multiutente, per esempio, a IRC in cui tutti i membri sono online, i gruppi nei protocolli IM devono lavorare in modo asincrono. I gruppi devono poter essere creabili ed i messaggi devono essere consegnabili anche se alcuni membri del gruppo sono offline” si legge nel paper pubblicato dai ricercatori, intitolato “More is Less: On the End-to-End Security of Group Chats in Signal, WhatsApp, and Threema”.

    “Abbiamo osservato due falle nella progettazione del protocollo per la gestione dei gruppi di WhatsApp. Le falle hanno risultati simili agli attacchi a Signal, sebbene il protocollo e lo sfruttamento sottostanti differiscano”

    La visibilità delle chat

    Gli esperti hanno scoperto che sia Signal che WhatsApp non riuscirebbero ad autenticare correttamente un’entità che sta aggiungendo un nuovo membro al gruppo, questo significa che un utente non autorizzato che non è un amministratore di gruppo potrebbe aggiungere un nuovo membro al gruppo che avrebbe quindi visibilità delle conversazioni tra i suoi membri.

    Gli esperti sostengono che è possibile aggiungere un nuovo membro senza notificare l’azione ad altri membri, questo sarebbe possibile perché un amministratore o un dipendente infedele del gestore del servizio con accesso al server potrebbe manipolare (o bloccare) i messaggi di gestione del gruppo.

    “Sfruttando le falle si possono memorizzare nella cache i messaggi inviati al gruppo, leggere prima il loro contenuto e decidere in quale ordine vengono consegnati ai membri. Inoltre, il server WhatsApp può inoltrare questi messaggi ai membri individualmente in modo tale che una combinazione di messaggi scelta in modo opportuno possa aiutarlo a coprire le tracce. “

    WhatsApp si difende

    Secondo WhatsApp, la situazione è molto diversa perché se un nuovo membro viene aggiunto a un gruppo, gli altri membri del gruppo riceveranno una notifica.

    “Abbiamo esaminato attentamente questo problema. I membri esistenti vengono avvisati quando nuove persone vengono aggiunte ad un gruppo WhatsApp. Abbiamo creato WhatsApp in modo che i messaggi di gruppo non possano essere inviati ad un utente nascosto “, ha detto a Wired un portavoce di WhatsApp.

    “La privacy e la sicurezza dei nostri utenti è cruciale per WhatsApp. Ecco perché raccogliamo pochissime informazioni e tutti i messaggi inviati su WhatsApp sono crittografati end-to-end. “

    Il team dell’università della Ruhr University ha suggerito per la risoluzione del problema l’aggiunta di un meccanismo di autenticazione per i messaggi di gestione dei gruppi, in questo modo solo gli amministratori legittimi possono gestire le attività di più chat.

    I ricercatori hanno riportato i risultati delle loro indagini a WhatsApp in luglio, in risposta al loro rapporto, WhatsApp ha risolto il problema introducendo una funzionalità che ha reso più difficile la creazione di falsi messaggi di controllo dei gruppi anche dopo che un utente malintenzionato ha ottenuto una chiave per decifrarli.

    WhatsApp ha risolto il problema introducendo una funzionalità che ha reso più difficile la creazione di falsi messaggi

    Come anticipato, gli esperti hanno studiato anche le applicazioni Threema e Signal riscontrando problemi simili.

     

    Per Threema, i ricercatori hanno rilevato lievi problemi, un utente malintenzionato che controlla il server può riprodurre i messaggi o aggiungere utenti a un gruppo che è stato rimosso. Una volta informati dei problemi, Threema ha rilasciato una versione per ha risolto le falle.

    Per Signal l’attacco è più difficile perché l’attaccante dovrebbe non solo controllare il server Signal, ma anche conoscere un numero misterioso chiamato Group ID. Ciò significa che per portare avanti l’attacco è necessaria la conoscenza del Group ID che può essere ottenuto da uno dei dispositivi dei membri del gruppo, ma in un simile scenario si avrebbe quindi già la compromissione del gruppo in quanto l’attaccante già accede ad un dispositivo di un membro leggendo le conversazioni.

     

    Ultimo aggiornamento:
    Share.
    Avatar

    Potrebbero interessarti

    StartupItalia

    StartupItalia

    Privacy

    Cookie Policy

    PUBBLICITÀ SU STARTUPITALIA

    Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

    SCOPRI DI PIÙ

    StartupItalia! è una testata registrata presso il tribunale di Roma n. 167/2012

    StartupItalia! SRL, Cagliari, Via Sassari 3, 09123, PIVA 13733231008, REA – CA – 352408, Capitale Sociale: € 28.924,60, PEC startupitalia (at) legalmail.it

    CANALI

    CATEGORIE

    RUBRICHE

    UTILITY