Cerca nel blog

2016/06/26

Meglio Telegram, Signal o WhatsApp?

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2016/06/26 18:30.

L’illusione della sicurezza è uno dei maggiori pericoli per la sicurezza (non solo in informatica). La recente introduzione della crittografia in app molto popolari come WhatsApp e Viber è stata interpretata da molti come una protezione assoluta, ma non lo è: conviene conoscerne i limiti in modo da capire con precisione cosa comportano.

The Intercept ha pubblicato un ottimo articolo che fa il punto della situazione sulle principali app di messaggistica che offrono cifratura, e  anche Gizmodo ha messo online una serie di mini-recensioni. Riassumo entrambi e faccio un’allerta spoiler: si salva solo Signal.


WhatsApp. Facebook, proprietaria di WhatsApp, non può leggere i contenuti dei messaggi e delle altre comunicazioni che transitano dall’app, ma sa chi ha comunicato con chi e quando lo ha fatto e si riserva il diritto di registrare queste informazioni (i cosiddetti metadati), insieme alle rubriche telefoniche degli utenti, e di passarle ai governi e quindi agli inquirenti. In altre parole, se avete mai Whatsappato con qualcuno che finisce nei guai con la giustizia, non potete far finta di non conoscerlo contando sulla segretezza delle comunicazioni di WhatsApp. Inoltre una copia dei messaggi viene conservata sul telefonino del mittente e dei destinatari, e chi ha attivato il backup dei dati del telefonino su cloud ha depositato su Google o su iCloud un’altra copia delle comunicazioni fatte con WhatsApp. L’app consente di disattivare quest’opzione, ma spetta all’utente sapere che esiste e intervenire per disattivarla.


Signal. È open source (quindi liberamente ispezionabile nel funzionamento), disponibile per iOS e Android, privo di legami commerciali (è sostenuto dalle donazioni degli utenti e non ha pubblicità), offre cifratura completa (end-to-end), non raccoglie metadati (a parte l'orario dell'ultima connessione dell’utente al server, che comunque viene arrotondato al giorno). La rubrica dei contatti viene letta da Signal, ma viene cifrata prima di mandarla ai server di Signal in modo che i dati della rubrica non siano collezionabili (viene usata una funzione di hashing). Le conversazioni non vengono archiviate su cloud Google/Apple. Unico limite: lo usano pochissimi utenti (qualche milione contro i 900 e passa di WhatsApp), per cui o convincete il vostro interlocutore a installarlo, oppure potrete solo mandargli SMS non protetti (l’app indica chiaramente quale tipo di messaggio verrà inviato).


Telegram. Quest’app viene spesso citata come se fosse sicura, ma i fatti sono un po’ diversi. Per impostazione predefinita, i messaggi vengono conservati sui server di Telegram in forma non cifrata. Se usate la modalità privata potete attivare la cifratura, che però è considerata debole e difettosa.


Allo/Duo. The Intercept segnala che Google sta per lanciare un’app di messaggistica, chiamata Allo, e sottolinea che la sua impostazione predefinita sarà che Google può leggere tutto. La crittografia si attiva soltanto se scegliete la modalità privata, che però limita alcune funzioni. Google motiva questa scelta con il fatto che Allo userà il testo dei messaggi per fornire all’utente servizi basati sul contesto. Sempre da Google è in arrivo Duo, app di videochiamata, che sarà cifrata automaticamente e da un capo all’altro della conversazione (end-to-end): non si sa se raccoglierà metadati.

Nessun commento: