C’è l’idea diffusa che app di messaggistica come Telegram e WhatsApp siano la garanzia di comunicazioni sicure, al riparo da pericoli digitali. In realtà, il problema è che app come queste hanno risolto solo alcune criticità in merito alla privacy, generando una errata sensazione di protezione, lasciando scoperta l’architettura dell’app e, anzi, introducendo ulteriori pericolose falle. Permane, dunque, la sola percezione della sicurezza, che, in realtà, è minata da alcuni grossi rischi tecnologici.
Questo fa sì che le comunicazioni non siano protette come si crede, soprattutto quando si è in smart working e si utilizzano app di messaggistica istantanea anche per scambiare dati e informazioni di tipo professionale.
Comunicazioni sicure e smart working: anonimato, prima di tutto
Il primo aspetto che assicura davvero un grado ottimale di protezione nell’utilizzo di queste app, a garanzia di comunicazioni sicure, è il completo anonimato. Buona parte delle app di messaggistica, come, appunto, WhatsApp, Telegram e Signal, richiede sempre dati utili all’identificazione dell’utilizzatore: numero di telefono e e-mail, per esempio. Rimane, poi, il problema dell’indirizzo IP: con app come WhatsApp e Telegram è facilmente tracciabile, senza contare quei servizi web, spesso malevoli, che sono in grado di rilevare la posizione dell’utente.
Comunicazioni sicure: se il pericolo arriva dal desktop
Alcune app di messaggistica sono offerte anche in una versione per desktop che consente di mantenere contatti e chat attive quando si è al computer: è la situazione tipica di chi lavora in smart working. In questo modo, ci si espone a tutti i rischi delle app su desktop. Il principale: se il computer è sotto il controllo di un software malevolo, ad esempio un trojan, diventa estremamente semplice per un hacker intromettersi in qualsiasi comunicazione trasmessa attraverso un’app di messaggistica istantanea come Telegram e Whatsapp.
Altro aspetto da considerare se parliamo di rischi, è la possibilità di attivare da remoto la versione web a insaputa di chi utilizza l’app su mobile, configurandola come se fosse un vero e proprio sistema di spionaggio. Sono, inoltre, disponibili app di monitoraggio a basso costo, che si configurano come servizi di controllo da remoto e comunicano con le principali app di comunicazione: installandole in un telefono è dunque possibile controllarne i messaggi.
Vulnerabili alle vulnerabilità
Le app tradizionali consentono di caricare e utilizzare contenuti esterni alle app stesse e questo, come dimostrano i rapporti di sicurezza, offre il fianco a vulnerabilità che possono essere sfruttate per eludere la cosiddetta crittografia end-to-end. In pratica, la tecnologia end-to-end che garantisce a due interlocutori di essere gli unici fruitori di una chat viene elusa grazie a piccoli programmi malevoli inseriti in contenuti esterni, caricati tra i messaggi. A quel punto, la chat è osservabile anche da una terza persona: un’eventualità che rischia di diventare particolarmente pericolosa nel momento in cui, lavorando da remoto, si utilizzano queste app per scambiare informazioni sensibili, file e dati aziendali, tra colleghi e all’esterno dell’organizzazione aziendale.
Furto legalizzato di dati
C’è, poi, il problema dei dati degli utenti. Un’app è un servizio costoso da sviluppare e da gestire. Quindi, se offerta gratuitamente, è probabile che il profitto derivi dai suoi stessi utilizzatori e dai loro dati personali. Questo significa che, anziché fare di tutto per garantire comunicazioni sicure, soprattutto quando si è in smart working, si finisce per affidarsi inconsapevolmente ad app sviluppate ad hoc per utilizzare dati personali da girare ad apposite agenzie pubblicitarie.
Non solo: oltre alle più comuni app di messaggistica istantanea, c’è il caso delle app open source, sostenute dalla collaborazione e dalle donazioni della comunità di utenti. In questo caso, i problemi sono altri: ci possono essere falle nel controllo qualità del codice da una parte, e dall’altra c’è sempre il rischio che il mancato controllo di una parte del programma celi qualche backdoor, lasciata da uno sviluppatore poco accurato o con poca esperienza.
Comunicazioni sicure: GDPR sì, ma non sempre c’è
In Europa, per fortuna, vige un severo regolamento di protezione della privacy, chiamato GDPR, che vieta la sottrazione e lo sfruttamento indebito di informazioni personali. Non tutte le app, tuttavia, rispettano il GDPR, certamente non quelle sviluppate al di fuori dalla comunità europea, come Whatsapp, Telegram e Signal. Il risultato è che non viene né rispettata né tutelata la privacy dei propri utenti. Viene a mancare, soprattutto, il concetto di “security by design” tanto caro al GDPR: sviluppare un’app tenendo conto delle più rigide regole di privacy fin dalla fase della progettazione.
Comunicazioni sicure: l’importanza di un audit di sicurezza
Occorre, inoltre, il controllo dei principi di sicurezza delle app di messaggistica da parte di soggetti terzi indipendenti. Parliamo di audit, cioè le verifiche che emettono una certificazione. È importante che questa particolare tipologia di controllo venga effettuata con continuità, almeno annualmente, per garantire agli utenti che l’app non sia vulnerabile ad attacchi. Questo perché, per essere certi che le proprie comunicazioni siano sicure, non ci si può affidare solo alla percezione, ma a caratteristiche e analisi tecniche inoppugnabili, soprattutto quando si parla di comunicazioni che hanno come oggetto lo scambio di informazioni professionali.
Le principali vulnerabilità e i rischi di Telegram
Nonostante sia largamente diffusa, anche grazie alle tante differenti funzionalità concesse3 ai propri utenti, ed alla sua semplicità di utilizzo e versatilità, Telegram presenta numerose problematiche sotto il profilo della sicurezza delle chat.
Innanzitutto, è una delle poche applicazioni di messaggistica istantanea che non prevede l’applicazione, di default, della crittografia end-to-end, richiedendo l’attivazione da parte dell’utente di una “chat segreta”.
In assenza di tale espressa selezione, i dati saranno salvati in chiaro nei server di Telegram senza crittografia, e saranno accessibili anche da più dispositivi contemporaneamente. Uno dei punti di forza dell’applicazione, infatti, è quello di poter essere utilizzata senza soluzione di continuità, anche dalla versione Desktop (che, come detto, può soffrire anch’essa di vulnerabilità connesse all’eventuale presenza di virus trojan nel dispositivo).
In secondo luogo, l’algoritmo di crittografia proprietario utilizzato da Telegram è ritenuto dagli esperti particolarmente debole, seppur funzionale, e il codice sorgente è liberamente accessibile, in quanto open source.
Le principali vulnerabilità e i rischi di Whatsapp
Sebbene WhatsApp sia una delle applicazioni di messaggistica istantanea maggiormente diffuse, e sebbene faccia uso di sistemi di crittografia end-to-end, il suo utilizzo, specie all’interno di contesti aziendali, non è esente da rischi.
Le principali vulnerabilità di WhatsApp sono rappresentate dalla generazione di metadati e dalle modalità di backup delle chat.
Whatsapp, infatti, conserva i metadati delle conversazioni (ossia, il pacchetto di informazioni circa i dati scambiati) all’interno dei propri server, senza applicarvi sistemi di crittografia e per un tempo non precisato, con possibile esposizione ad attacchi informatici lato server.
A ciò si aggiunga la circostanza per cui agli allegati della chat non viene applicato nessun meccanismo di cifratura.
Anche i backup non sono protetti dai medesimi sistemi di crittografia end-to-end delle chat, bensì viene applicata una chiave di cifratura differente, condivisa con l’utente mediante SMS. Ne consegue che i dati contenuti nel backup sono particolarmente sensibili ad attacchi di SIM swap fraud.