Se conoscete qualcuno che lavora per Telegram, per favore mettetemi in contatto. Ho provato tutti i canali di contatto ufficiali, compreso il “chiedi ai volontari”, ma finora zero risposte. Per ora non posso spiegare perché; posso solo dire che non riguarda i miei account. Grazie.
---
Aggiornamento (14:50): questione risolta: i volontari hanno risolto molto esaurientemente e prontamente. Grazie a chi mi ha dato le dritte. Spero di potervi raccontare prossimamente di cosa si trattava.
---
Aggiornamento (21:50): Tutto quello che posso dire è che è emerso un modo per sapere se un utente ha un account Telegram (a determinate condizioni): in un browser si digita https://t.me/+[numero di telefono completo]. Se a quel numero è associato un account Telegram che è impostato in modo da permettere a chiunque di trovarlo, quel link permetterà di contattarlo, altrimenti si otterrà un messaggio “Sorry, this user doesn't seem to exist.” Magari questa funzione è stranota e io arrivo tardi a scoprirla, ma in ogni caso è interessante e quindi la segnalo qui. Non si sa mai.
Scavalcare la crittografia end-to-end di WhatsApp e leggere tutti i
messaggi di un altro utente è facile. Così facile che può capitare addirittura
per caso: basta avere il numero di telefono di quell’utente (in altre parole,
è sufficiente essere un end di quell’end-to-end).
The Register
e
Gizmodo
hanno pubblicato il racconto della disavventura capitata a un utente europeo
che ha involontariamente avuto accesso a tutti i messaggi privati e ai gruppi
WhatsApp di un’altra persona.
L’utente diventato intruso per caso si chiama Ugo e per molto tempo ha avuto
un account WhatsApp legato al suo numero di telefono cellulare svizzero. A
ottobre scorso si è trasferito in Francia per lavoro e si è procurato un
numero di telefono cellulare francese, con relativa SIM nuova. Durante tutto
questo periodo ha continuato a usare WhatsApp senza problemi, ricevendo e
mandando messaggi come al solito.
Alla fine del mese di ottobre 2022 ha cambiato il proprio numero nell’app di
WhatsApp, dando quello francese. A quel punto il suo telefono è stato inondato
da tutti i gruppi e i messaggi personali e di lavoro di qualcun altro, quasi
tutti in italiano, e la sua foto di profilo è diventata quella di quella
persona (una donna). Ugo ha cercato di spiegare ai suoi interlocutori che lui
non era la persona con la quale credevano di parlare, ma senza molto successo.
In pratica, senza volerlo Ugo aveva preso il pieno controllo dell’account
WhatsApp di un’altra persona a lui sconosciuta.
Il padre di Ugo, che per lavoro ha esperienza nel settore e che ho contattato
direttamente via mail, mi ha spiegato che ha usato l’apposita
pagina di segnalazione di Meta
per avvisare del possibile bug di sicurezza: la risposta di Meta è
stata che non è un difetto di WhatsApp, ma è un problema degli operatori
telefonici, che riutilizzano i numeri di telefono.
Tutti gli account WhatsApp sono collegati a un numero di cellulare. Dal
momento che riutilizzare i numeri di telefono è una prassi piuttosto comune
per gli operatori di telefonia mobile, è possibile che il precedente
proprietario del tuo numero di telefono usasse WhatsApp. Se la persona
che usava il numero prima di te non ha eliminato il suo account WhatsApp, sia
tu che i tuoi contatti potreste vedere il numero su WhatsApp prima
dell'attivazione del tuo nuovo account. Potresti anche vedere che il tuo
numero di telefono è associato alla foto del profilo e alla sezione Info di
qualcun altro. Non devi preoccuparti. Questo significa solo che l'account
precedente non è stato eliminato e nel sistema sono ancora presenti le vecchie
informazioni. Il precedente proprietario del tuo numero non avrà alcun tipo di
accesso all'account WhatsApp che attiverai con il tuo nuovo numero di
telefono. Le tue conversazioni e gli altri dati WhatsApp sono protetti. Monitoriamo
l'inattività degli account per evitare eventuali confusioni provocate dal
riutilizzo dei numeri di telefono. Se un account non viene utilizzato per 45
giorni e quindi viene attivato nuovamente su un dispositivo mobile differente,
presumiamo che il numero sia stato riutilizzato. Quando si verificano queste
situazioni, eliminiamo i dati del vecchio account collegati al numero di
telefono, come ad esempio la foto del profilo e la sezione Info.
In pratica, qualche tempo prima la donna di cui Ugo stava leggendo i messaggi
WhatsApp aveva chiuso il numero di telefonino che usava per WhatsApp. Quel
numero era tornato disponibile e l’operatore telefonico lo aveva riutilizzato,
assegnandolo a Ugo.
Questa possibilità di accedere ai messaggi WhatsApp di un altro utente è una
falla di privacy considerevole, e il bello è che è nota
almeno da tre anni. Se qualcuno ha modo di farsi dare dall’operatore telefonico una SIM che ha
il numero della persona presa di mira, può leggerne tutti i messaggi. È una
tecnica chiamata SIM swap: i criminali informatici la usano contattando
gli operatori telefonici e spacciandosi per la vittima, chiedendo una SIM
nuova perché, dicono, quella corrente non funziona più o è stata smarrita. Nei
paesi nei quali gli operatori non verificano attentamente l’identità degli
utenti, la SIM nuova finisce nelle mani del criminale, che a quel punto può
ricevere tutti gli SMS di autenticazione dei vari servizi online della vittima
e prendere il controllo in particolare delle sue piattaforme social.
Nel caso di Ugo non c’è stata alcuna intenzione criminosa, ma la sua vicenda
dimostra che la riservatezza dei messaggi online non è robusta come molti
pensano.
Per contenere questo problema dei numeri riciclati, normalmente gli operatori
hanno un periodo piuttosto lungo di cosiddetta “quarantena”, durante il quale
il numero non viene riassegnato a nessuno, e WhatsApp dichiara che se si
accorge che un account non viene usato per un mese e mezzo e poi ricomincia a
essere usato su un dispositivo nuovo, eliminerà i dati del vecchio account. Ma
a Ugo e alla donna che è diventata sua vittima non intenzionale non è andata
così, perché l’account della donna non era inattivo. La donna aveva
cambiato numero di telefono e aveva continuato a usare WhatsApp sul nuovo
numero, ma senza cambiare il numero nell’app.
Infatti se non si avvisa WhatsApp del cambio di numero, WhatsApp continua a
credere che l’account sia associato ancora al numero vecchio, come dimostra il
padre di Ugo con un video dettagliatissimo, in cui usa due numeri di telefono
svizzeri e fa vedere che scambiando le SIM i due utenti, chiamiamoli Andrea e
Beatrice, continuano a ricevere i messaggi dei rispettivi account WhatsApp
come se niente fosse, nonostante lo scambio di SIM nei loro telefoni.
Ma se Andrea avvisa WhatsApp del cambio di numero, il suo telefono comincia a
ricevere i messaggi WhatsApp di Beatrice, perché il telefono di Andrea
contiene la SIM che prima era nel telefono di Beatrice.
Normalmente WhatsApp protegge il cambio di numero contro gli abusi inviando al
numero vecchio un SMS contenente un codice di sicurezza. Ma in questo
caso il vecchio numero di Beatrice ora ce l’ha Andrea, che quindi riceve il
codice e ha tutto il necessario per prendere il controllo dell’account
WhatsApp di Beatrice.
Va chiarito che questa tecnica non consente accesso ai messaggi
passati di WhatsApp: permette di leggere soltanto i messaggi che sono
stati inviati al proprietario precedente del numero dopo che il nuovo
proprietario ha usato quel numero per WhatsApp. Ma già così, ricevere le
comunicazioni e le foto destinate a un’altra persona e poterla impersonare
online, senza che quella persona lo sappia, è parecchio invadente e
preoccupante.
Va anche sottolineato che questa situazione offre un canale di sorveglianza
molto semplice alle forze di polizia: è sufficiente che chiedano all’operatore
telefonico di generare una seconda SIM con lo stesso numero e avranno accesso
ai messaggi WhatsApp inviati alla persona sorvegliata. Nel caso di altri
sistemi di messaggistica, come Telegram, che conservano i messaggi sui propri
server, questa tecnica probabilmente consente anche di recuperare tutti i
messaggi passati.
Noi utenti possiamo ridurre il rischio di violazioni della privacy come questa
con due passi piuttosto semplici. Il primo è attivare l’autenticazione a due
fattori su WhatsApp, sotto
Impostazioni - Account - Verifica in due passaggi. Il secondo è
avvisare WhatsApp se cambiamo numero, andando in
Impostazioni - Account - Cambia numero. Andrebbe fatto comunque, perché
altrimenti in caso di qualunque problema con il vostro account, WhatsApp non
potrà validarvi tramite il numero di telefono. Se infine decidete di smettere
di usare WhatsApp per qualunque motivo, ricordatevi prima di tutto di
eliminare l’account andando sempre in
Impostazioni - Account - Elimina account.
Telegram, la popolare app di messaggistica, ha un problema: viene vista come
un’app “russa”, e quindi molti la considerano particolarmente a rischio, perché
il suo creatore e fondatore, Pavel Durov, è nato in Russia. La questione è
particolarmente delicata in Ucraina, dove Telegram è da tempo
l’app più diffusa
nella sua categoria. Se i russi fossero in grado di spiare la messaggistica del
paese che hanno invaso, il rischio sarebbe altissimo.
Ma Pavel Durov non è in buoni rapporti con la Russia. Nel 2012, durante le
proteste contro Putin, si rifiutò di chiudere i gruppi Telegram che
organizzavano le marce di protesta su VKontakte, il popolarissimo social network da lui creato [Nota: nel podcast e nelle versioni precedenti di questo articolo ho detto e scritto che i gruppi erano su Telegram; ho sbagliato, scusatemi]. Il paese bandì Telegram nel 2018, quando
Durov si rifiutò di fornire alle autorità i dati degli utenti. Questo blocco
si rivelò inutile e facilmente aggirabile e quindi la Russia si arrese,
togliendo il divieto nel 2020. Durov ora vive a Dubai e il ramo materno della
sua famiglia proviene da
Kyiv.
Il vero problema della sicurezza di Telegram, in realtà, è un altro ed è
slegato dall’attuale crisi russa: moltissimi utenti dell’app credono che
tutti i messaggi e contenuti che scambiano attraverso Telegram siano
criptati end-to-end, quindi impossibili da leggere per Durov e la sua
azienda, così come lo sono i messaggi di WhatsApp o Signal, che sono criptati
in modo che i rispettivi gestori non possano leggerli. Ma non è così.
Infatti soltanto le cosiddette chat segrete di Telegram sono realmente
cifrate end-to-end; tutti gli altri messaggi sono salvati in copia sui
server di Telegram, dove sono protetti tramite cifratura ma in teoria sono
accessibili all’azienda. Le chat di gruppo su Telegram
non sono cifrate, nemmeno se il gruppo è privato.
Le chat segrete di Telegram, per chi non le conoscesse, sono quelle che si
attivano toccando il nome della persona con la quale si vuole chattare e poi
toccando i tre puntini in alto a destra per scegliere la voce
Inizia chat segreta. Il contenuto di queste chat viene
cancellato automaticamente dopo un periodo di tempo che si può impostare a
piacimento.
Moxie Marlinspike, creatore dell’app alternativa Signal, ha pubblicato su
Twitter un’analisi
impietosa, nella quale ha messo bene in chiaro i limiti di Telegram,
soprattutto per gli utenti in Ucraina:
“Telegram ha molte funzioni estremamente desiderabili, ma in termini di
privacy e di raccolta dati non esiste scelta peggiore... Telegram conserva
tutti i vostri contatti, gruppi, media e ogni messaggio che avete mai
mandato, e li conserva in chiaro sui suoi server... Praticamente tutto
quello che vedete nell’app è visibile anche a Telegram.”
It's amazing to me that after all this time, almost all media coverage of
Telegram still refers to it as an "encrypted messenger."
Telegram has a lot of compelling features, but in terms of
privacy and data collection, there is no worse choice. Here's how it
actually works:
La sua obiezione principale è che Telegram viene presentata spesso come un’app
di messaggistica cifrata, quando in realtà è cifrata soltanto in minima parte.
Anche se non vi trovate in zone di guerra, è importante conoscere questa
differenza e agire di conseguenza.
Da parte sua, Pavel Durov ha
scritto
su Twitter pochi giorni fa che
“nove anni fa ho difeso i dati privati degli ucraini dal governo russo e
per questo ho perso la mia azienda e la mia casa. Lo rifarei senza
esitazioni”.
9 years ago I defended the private data of Ukrainians from the Russian
government — and lost my company and my home. I would do it again without
hesitation. https://t.co/GUFCjbqDc5
Parole forti e vicende personali che ispirano fiducia. Ma uno dei princìpi
basilari in informatica è che un sistema sicuro non deve basarsi sulla fiducia
negli intermediari, ma sul fatto che gli intermediari non possano leggere i
dati degli utenti, neanche volendo.
Matteo Flora ha pubblicato poco fa su Twitter questo suo resoconto dedicato alla vicenda dei “green pass” falsi offerti in vendita online. Leggete l’originale e condividetelo, visto che potrebbe educare qualcuno: lo riporto qui ripulendo alcuni refusi. Il link in fondo porta a uno dei gruppi Telegram citati.
I #GREENPASS FALSI? UNA DOPPIA FRODE!
Può una truffa essere talmente bella da configurarsi come Arte?
La risposta è sì, e la migliore è quella ai danni dei #NoVax che ha visto la luce nelle scorse ore.
Come forse sapete i "#NoGreenPass" hanno acquistato a caro prezzo (150€-350€), su gruppi #Telegram
che avete visto su tutti i quotidiani, dei documenti falsi nonostante
fosse palese che i pass NON POTEVANO essere contraffatti.
Ora si sono aggregati in gruppi di "utenti delusi" quando hanno scoperto
che il FOTTUTO GENIO dietro ai gruppi non può e non vuole (ovviamente)
consegnarli. Scoperto l'inghippo, vogliono indietro i soldi, altrimenti
minacciano di denunciare chi glieli ha venduti.
Ma qui viene il bello: i truffatori ora hanno detto ai clienti che hanno
pagato (con codice fiscale e carta d'identità) che O PAGANO un
riscatto di 350€ in Bitcoin OPPURE diffonderanno i documenti online e
faranno avere i nominativi dei clienti alla Polizia.
È tutto così bello da fare quasi piangere. E non so chi tu sia, impavido
truffatore, ma passa che ti stendo di birre e pacche sulle spalle.
#Darwin vince. Sempre. :D
Addendum 5: nel frattempo in 20 hanno pagato il riscatto, portando gli incassi del SOLO RISCATTO (i GP si pagavano anche in buoni Amazon) a 0.16981955 BTC (circa 7.600 dollari).https://t.co/t6FAhk0Isc
La Polizia Postale ha avviato una retata con perquisizioni e sequestri nei confronti degli amministratori di 32 canali Telegram sui quali venivano asseritamente offerti certificati Covid digitali falsi. “Alcuni di questi canali, come «Green Pass ITA» o «Green Pass Italia Acquisto», contavano migliaia di iscritti (oltre 17mila il primo e 35mila il secondo)” (Open).
Mi è arrivata una segnalazione di un tentativo di estorsione via Telegram
piuttosto insolito. Circola su vari gruppi Telegram una minaccia: dei
sedicenti “hacker” dicono alla persona presa di mira che deve fare a loro un
pagamento via Internet (su PayPal o Streamlabs), altrimenti i dati della
vittima e dei suoi familiari, compresi quelli delle carte di credito, verranno
diffusi su Internet.
Chi fa la minaccia scrive in buon italiano, cosa abbastanza insolita per
questo tipo di estorsione, e non porta alcuna prova di quello che dice. È
comunque sufficiente a spaventare parecchie vittime, soprattutto fra gli
utenti più giovani e meno esperti di Internet, che credono di essere stati
“hackerati”.
Niente panico: è tutta una finta. I presunti hacker in realtà non hanno in
mano nulla. Cosa più importante, secondo le informazioni raccolte fin qui non
si tratta di criminali informatici professionisti in cerca di persone
emotivamente vulnerabili, ma di un gruppo di ragazzini che diffonde queste
minacce perché ritiene divertente spaventare la gente, senza rendersi conto
dell’angoscia che causa.
Questi pseudohacker vengono regolarmente segnalati e bloccati nei vari gruppi,
ma tendono a ricomparire con nuovi account. Il modo migliore per indurli a
smettere è non cadere nella loro trappola. Non credete a tutto quello che vi
dicono online. Vi dicono che hanno informazioni compromettenti su di voi e
temete che dicano la verità? Chiedete di mostrarvele. Se non ne hanno, ridete
loro in faccia e bloccateli.
A questi diversamente divertiti ricordo invece che quello che stanno facendo
si chiama estorsione ed è reato anche se lo si fa per “divertirsi”. Ed
è facile seguire le tracce per identificarvi. Crescete, gente.
Se siete tentati di lasciare WhatsApp, o almeno affiancargli un’alternativa, a
causa dei recenti e confusionari cambiamenti delle sue regole di privacy, ci
sono varie opzioni.
La prima è Telegram: l’app è gratuita,
anche se sarà presto
sostenuta
dalla
pubblicità
nei canali pubblici e nei servizi business e premium (ma le funzioni di base
resteranno gratuite e senza pubblicità,
dice il fondatore, Pavel Durov). Telegram
consente non solo di scambiare messaggi ma anche di fare videochiamate, ed
esiste anche una versione Web che consente di usare Telegram sul computer (c’è
anche un client per Windows, Mac e
Linux). La cifratura (end-to-end) si ha però solo quando si
usano le cosiddette chat segrete: le chat normali e le chat di gruppo non sono cifrate, e i messaggi non cifrati vengono custoditi sui server di Telegram. È insomma una buona soluzione per chi non vuole farsi tracciare pubblicitariamente dall’impero di Facebook/WhatsApp/Instagram, ma non è l’ideale per chi vuole proteggere le proprie conversazioni.
La seconda è Signal, che offre la stessa
crittografia di WhatsApp, anche sulle chiamate audio e video, ed è disponibile
anche in versione desktop. Soprattutto ha una
normativa di privacy e delle
condizioni di servizio ben più
semplici di quelle chilometriche di WhatsApp, che ammontano a oltre 8000
parole in legalese stretto.
Segnalo anche Threema, che non richiede di
associarvi un numero di telefono, è open source e offre crittografia
end-to-end e una versione web. In
più è un’app svizzera, conforme al GDPR, che non raccoglie dati personali
perché si mantiene con un piccolo costo iniziale e con i servizi alla
clientela business.
Infine cito Wickr, crittografatissimo e
gratuito in versione personale ma a pagamento in versione business. Molti lo
conosceranno per le sue
apparizioni
nella serie TV hacking-centrica Mr. Robot.
La scelta non manca, insomma: il vero problema è convincere gli altri a usare
la stessa app che usiamo noi. In questo senso WhatsApp è assolutamente
dominante, ma nulla vieta di usare più di una app di messaggistica.
Se usate Telegram su un dispositivo Android, potreste essere facilmente localizzabili. Date un’occhiata alla funzione Persone vicine / People Nearby di Telegram: la trovate toccando le tre righine in alto a sinistra nell’app. Probabilmente vedrete un elenco di nomi di persone e di membri di gruppi, con le loro distanze, come mostrato qui accanto: sono gli utenti Telegram nelle vostre vicinanze.
Niente panico: voi potete localizzare loro, ma loro non possono localizzare voi se non attivate la geolocalizzazione nelle autorizzazioni di Telegram e se non scegliete Rendimi visibile / Make Myself Visible. E in ogni caso sapere la distanza alla quale si trova una persona non consente di sapere in quale direzione si trova, per cui è un’informazione piuttosto approssimativa e poco sfruttabile per stalking, truffe o simili, anche se in certi casi sapere che una certa persona è nelle vicinanze quando non dovrebbe esserlo può essere comunque piuttosto rivelatore.
Il problema è che esiste un trucco per localizzare con precisione una persona tramite Telegram se ha attivato la funzione Persone vicine. Lo ha scoperto il ricercatore di sicurezza Ahmed Hassan: usando uno smartphone Android appositamente modificato (rootato), può alterare artificialmente la sua localizzazione (GPS spoofing)e far credere a Telegram di trovarsi in un luogo diverso da quello reale.
Hassan si è accorto che cambiando tre volte la propria localizzazione può individuare per triangolazione il punto preciso in cui si trova una persona elencata nelle Persone vicine. Ha segnalato la cosa ai responsabili di Telegram, che però hanno risposto che non è un difetto ma una funzione prevista.
In ogni caso, niente panico. Questa localizzazione funziona solo se usate la funzione Persone vicine e avete attivato la geolocalizzazione. Sugli iPhone recenti, inoltre, non fornisce indicazioni precise in nessun caso, grazie alle nuove funzioni salvaprivacy di iOS 14. Provate con i vostri amici.
Un video di Matteo Flora segnala una funzione di Telegram che permetterebbe di fare stalking usando, paradossalmente, proprio quest’app che viene presentata come più rispettosa della privacy rispetto a tante altre.
La funzione esiste da giugno 2019 (versione 5.8) e si trova nella sezione Contatti: si chiama Trova persone vicine e ovviamente richiede che abbiate autorizzato Telegram a rilevare la geolocalizzazione del vostro telefono (se non l’avete già fatto, quando toccate Trova persone vicine Telegram vi chiederà di farlo): comparirà una lista di persone con
l’indicazione della loro distanza approssimativa da voi.
Questa funzione è molto comoda per aggiungere rapidamente tanti amici ad una festa oppure tanti nuovi contatti di lavoro durante una conferenza o un incontro professionale: basta che i partecipanti entrino in questa funzione e facciano un clic sui nomi per scambiarsi tutte le informazioni di contatto.
Il problema è che Telegram considera “vicine” anche le persone che si trovano a vari chilometri di distanza ed elenca anche persone sconosciute, non solo i vostri contatti.
In altre parole, la funzione si presta allo stalking: se vedo che la mia distanza da una persona diminuisce o aumenta quando mi sposto, posso facilmente dedurre in che direzione si trova e da lì capire la sua posizione esatta. Se due o tre persone si coordinano, possono triangolare la posizione di una persona quasi istantaneamente.
Questo stalking è particolarmente efficace perché non esiste reciprocità: voi potete localizzare gli altri anche quando gli altri non possono localizzare voi. Infatti risulta visibile e localizzabile soltanto chi ha attivato l’opzione Rendimi visibile di Telegram (e ha una foto di profilo pubblica). Quindi se voi non la attivate, siete invisibili ma vedete tutti coloro che l’hanno attivata.
In Trova persone vicine c’è anche una sezione Gruppi,
composta appunto da gruppi a tema di persone che si trovano
geograficamente vicino a voi. Come nota Matteo Flora, potete sfogliare
le immagini, i video e anche la musica condivisa (si presume
illegalmente) da questi utenti.
Se non volete essere tracciabili e rintracciabili da sconosciuti, non attivate Rendimi visibile. E se volete disattivare la geolocalizzazione in Telegram:
per i dispositivi Android recenti andate in Impostazioni - Applicazioni - Telegram - Autorizzazioni - Geolocalizzazione;
per quelli iOS, andate nelle Impostazioni di iOS, scegliete Telegram - Posizione - Mai (se non trovate la voce Posizione, vuol dire che la geolocalizzazione in Telegram è già disattivata).
Facebook piange e Telegram ride. Per circa 14 ore Facebook è rimasto inaccessibile in buona parte del mondo. È stato il blackout più lungo nella storia di questo social network. Ora tutto è tornato a posto, ma non si sa cosa sia successo.
Facebook dice (BBC) che si è trattato di un “cambiamento di configurazione di server” che ha “innescato una serie di problemi in cascata” che hanno toccato anche WhatsApp e Instagram. Non c’è stato nessun attacco informatico, secondo l’azienda.
Per contro, Telegram, rivale di WhatsApp, ha aggiunto tre milioni di nuovi utenti nel giro di ventiquattro ore, festeggiando pubblicamente questo incremento. Il distacco fra Telegram e WhatsApp resta comunque grande: i 200 milioni di utenti dell’app di messaggistica di Pavel Durov sembrano tanti finché non si considera che WhatsApp ne ha circa un miliardo e mezzo. Tuttavia l’improvviso balzo indica che molti utenti sono prontissimi a cambiare social network e a portare con sé i propri amici, con un probabile effetto valanga.
Anche gli inserzionisti non sono contenti del blackout, perché hanno pagato Facebook per le proprie campagne pubblicitarie ma nessuno le vede. La sospensione del servizio sarebbe costata alle aziende di Zuckerberg circa 90 milioni di dollari di ricavi mancati. La BBC segnala intanto che Facebook ha perso circa 15 milioni di utenti negli Stati Uniti.
Molti utenti pensano che la promessa della crittografia end-to-end fatta da WhatsApp e da molte altre app di messaggistica sia una garanzia assoluta di riservatezza dei messaggi. Ma non è affatto così, e questa percezione illusoria ha colto in fallo nientemeno che Paul Manafort, l’ex coordinatore della campagna elettorale di Donald Trump, che ora è accusato di aver tentato di convincere dei testimoni a mentire a suo beneficio in tribunale.
Secondo i documenti legali depositati dagli inquirenti, Manafort ha usato WhatsApp e Telegram per mandare messaggi cifrati a questi testimoni, ma gli inquirenti sono riusciti lo stesso a leggerli. Questo vuol dire che c’è una falla o una backdoor in WhatsApp, che permette di intercettare e leggere i messaggi protetti dalla crittografia? No.
Come capita spesso, di fronte alle soluzioni tecnologiche si dimentica il lato umano: qualunque messaggio, per quanto sia cifrato da qualunque app, è rivelabile in una maniera estremamente semplice. Basta chiederlo alla persona che l’ha ricevuto.
La crittografia end-to-end, infatti, protegge solo i messaggi in transito da un dispositivo a un altro: rende difficili le intercettazioni durante questo transito e impedisce che il fornitore del servizio di messaggistica possa leggerli, ma non può più fare nulla una volta che il messaggio è arrivato a destinazione. Quindi se le autorità riescono a mettere le mani sul vostro smartphone o semplicemente vi chiedono di mostrare loro i messaggi in questione, la conversazione non è più segreta. Lo stesso vale, naturalmente, se il destinatario decide spontaneamente di condividere con altri il contenuto di un messaggio cifrato.
Nel caso di Manafort, questa semplice tecnica è spiegata da una nota a pié pagina:
Persons D1 and D2 both preserved the messages they received from Manafort and Person A, which were sent on encrypted applications, and have provided them to the government.
È vero, come mi segnala Telegram Wiki, che “Telegram offre la possibilità di aprire chat segrete con timer di autodistruzione dei messaggi, e che in qualunque momento l'utente può eliminare i propri messaggi da una chat segreta, facendoli sparire immediatamente anche al partner”, ma questo non impedisce a chi li riceve di memorizzarli o fotografarli e riferirli a terzi.
Telegram è sotto attacco: la Russia lo accusa di favorire i terroristi dando loro un modo per comunicare senza essere sorvegliabili da parte delle autorità, ma il fondatore di Telegram, Pavel Durov, si rifiuta di dare alle autorità russe le chiavi di decrittazione dei messaggi degli utenti.
La sua argomentazione nel mettersi contro il volere di uno stato che ha dimostrato di non essere particolarmente tenero con chi non si adegua alle sue richieste è che consegnare le chiavi di decrittazione non avrebbe nessuna conseguenza utile per l’antiterrorismo: i terroristi non farebbero altro che spostarsi su un’altra app di messaggistica protetta.
Le autorità russe hanno reagito bloccando Telegram, ma Telegram ha trasferito i propri servizi sui cloud di Google e Amazon, per cui se le autorità vogliono bloccare Telegram dovrebbero bloccare tutto Google e tutto Amazon. Impraticabile, anche se la Russia attualmente ha bloccato circa 16 milioni di indirizzi IP, quasi tutti di Amazon Web Services e Google Cloud. Comunque gli utenti possono eludere il blocco.
Gli app store di Android (Google) e iOS (Apple) continuano ad ospitare l’app, ma BoingBoing coglie l’occasione per una riflessione di fondo: se Apple o Google cedono alle pressioni russe e bloccano l’app di Telegram, sarà molto difficile per gli utenti russi riuscire a procurarsela o ottenerne gli aggiornamenti.
Gli utenti Android dovranno solo attivare un’opzione del loro telefonino per installare Telegram da fonti alternative, ma gli utenti iOS dovranno fare i salti mortali (jailbreak) per fare altrettanto. È il difetto dei sistemi chiusi: creano un nuovo punto debole.
Un altro esempio (dopo Skype) dell’importanza di aggiornare il software arriva da Telegram. I ricercatori di Kaspersky hanno scoperto che la versione Windows di questa popolare app di messaggistica aveva una falla che permetteva agli aggressori informatici di prendere il controllo dei PC e installare malware e programmi per la generazione di criptovalute.
Gli attacchi sono in corso almeno da marzo 2017 e derivano da un difetto nella gestione delle lingue che si scrivono da destra a sinistra. Il difetto era sfruttabile, e veniva attivamente sfruttato, inviando alla vittima semplicemente un allegato che sembrava essere un’immagine ma era in realtà un JavaScript ostile che veniva eseguito sui PC privi di difese.
Per esempio, il nome vero dell’allegato poteva essere photo_high_regnp.js, quindi un JavaScript, ma veniva presentato all’utente bersaglio come photo_high_resj.png (in modo da sembrare un’immagine PNG) perché dopo photo_high_re c’era il carattere Unicode U+202E che inverte l’ordine dei caratteri che lo seguono, per cui gnp.js viene visualizzato come sj.png. Ingegnoso.
La falla è risolta nella versione più recente di Telegram, per cui il modo migliore per risolverla è aggiornarsi.
A parte questo scivolone, è importante ricordare che Telegram non cifra i messaggi in modo client-client (molto difficile da intercettare) se non glielo chiedete appositamente usando una chat segreta (secret chat) e usa un protocollo di sicurezza ritenuto insicuro dagli esperti. Per carità, per l’utente comune usare Telegram consente una maggiore privacy rispetto a WhatsApp (che cifra tutto end-to-end ma prende i metadati dell’utente e li condivide con Facebook). Se avete esigenze davvero serie, provate Signal.
Ha fatto scalpore la notizia, pubblicata da Reuters, che dei ricercatori informatici (Collin Anderson e Claudio Guarnieri) hanno denunciato la violazione di alcuni account della popolare app di messaggistica cifrata Telegram appartenenti ad attivisti politici iraniani e sono riusciti a identificare i numeri di telefono di circa 15 milioni di utenti Telegram del paese. L’annuncio ha creato dubbi sull’effettiva riservatezza delle comunicazioni effettuate con quest’app.
Le violazioni sono avvenute sfruttando il fatto che Telegram utilizza gli SMS per abilitare nuovi dispositivi all’uso di un account. Se questi SMS vengono intercettati, per esempio tramite l’operatore della rete cellulare, un intruso può aggiungere un nuovo dispositivo a un account e quindi ricevere i messaggi scambiati dall’utente di quell’account e leggere le cronologie delle chat. Questo significa che Telegram è vulnerabile nei paesi nei quali gli operatori telefonici collaborano strettamente con i governi.
Secondo i responsabili di Telegram, tuttavia, la vulnerabilità è risolvibile evitando di usare gli SMS di verifica e usando al loro posto una password robusta e una casella di mail ben protetta, ossia la verifica in due passaggi introdotta da Telegram l’anno scorso.
L’identificazione di massa degli utenti, invece, è stata liquidata da Telegram come un non problema, perché “sono stati raccolti soltanto dati pubblicamente disponibili” e non sono stati violati gli account. Ma in realtà sapere chi usa Telegram, e saperlo in modo massiccio come in questo caso, è comunque un problema di sicurezza per gli utenti.
Una catalogazione di massa degli utenti Telegram di un paese consente infatti ai governanti di sapere chi sente il bisogno di comunicare in modo segreto. Come mai lo fa? Cos’ha da nascondere? In molti paesi il solo fatto di usare app che fanno cifratura è considerato sospetto. Avendo i numeri di telefonino degli utenti Telegram, un governo può non solo identificare gli utenti, ma sapere dove abitano, chi chiamano e dove si trovano. In caso di manifestazione in piazza, per esempio, un governo può usare la rete cellulare per sapere chi ha partecipato e quali dei partecipanti usano Telegram e quindi sono più sospetti.
Come sempre, insomma, si può sapere molto di una persona anche senza intercettare il contenuto delle sue comunicazioni ma sfruttando soltanto i metadati che le descrivono: con chi ha comunicato, a che ora, per quanto tempo, e dove si trovavano gli interlocutori. È meglio tenerlo ben presente prima di fidarsi ciecamente delle promesse di sicurezza offerte dalle app di messaggistica.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).
Telegram è indicata da molti come un’applicazione di chat molto sicura. Ma oggi nel mio flusso di tweet ho notato questo scambio:
tqbf
By default Telegram stores the PLAINTEXT of EVERY MESSAGE every user has ever sent or received on THEIR SERVER. 19/12/15 05:15
Un’accusa piuttosto pesante: i messaggi sarebbero custoditi in chiaro sui server di Telegram. Qualcuno chiede prove, e la risposta è questa: un link alla documentazione interna dell’app.
moxie
@sc0p3r It's just how Telegram works and is self-documented to work: https://t.co/GMD3mryXoN Only their marketing copy suggests otherwise. 19/12/15 15:24
A questo punto interviene nientemeno che Pavel Durov, fondatore ed ex CEO di Telegram, smentendo tutto:
durov
@tqbf This is false: @telegram never stores plaintext of messages, and deleted messages are erased forever. Do you get paid for posting BS? 19/12/15 17:49
Già così la cosa si fa interessante, ma poi arriva Edward Snowden:
Snowden
I respect @durov, but Ptacek is right: @telegram's defaults are dangerous. Without a major update, it's unsafe. https://t.co/pbBt2rHr5x 19/12/15 18:53
Snowden
To be clear, what matters is that the plaintext of messages is *accessible* to the server (or service provider), not whether it's "stored." 19/12/15 19:03
Mi piacerebbe saperne di più, per cui chiedo agli esperti che leggono questo blog di contribuire con i propri commenti, ma di certo sentir dire da Snowden che Telegram è insicuro dev’essere una mazzata notevole.
Il thread della discussione citata qui sopra prosegue su Twitter qui.
Andrea Draghetti mi segnala che ci sono dettagli su Zimperium.com su come Telegram salvi in chiaro i messaggi sul dispositivo dell’utente.
La notizia che gruppi legati al terrorismo dello Stato Islamico comunicano usando l’app Telegram perché offre una crittografia dei messaggi migliore rispetto agli altri sistemi di messaggistica ha spinto i gestori di Telegram a intervenire annunciando di aver “bloccato 78 canali legati all’ISIS in 12 lingue”.
Ma gli utenti legittimi di Telegram, quelli che usano la sua crittografia per comunicare in modo riservato per tutelare la propria privacy, come è diritto di chiunque fare, hanno drizzato le orecchie: se Telegram cifra i messaggi così bene che neanche i suoi gestori li possono leggere (come dichiarato nelle sue FAQ), come fa a sapere quali messaggi bloccare?
La risposta è che in realtà non tutto il traffico di dati delle comunicazioni di Telegram è cifrato. Spiega infatti Telegram: “tutte le chat di Telegram e le chat di gruppo sono private fra i loro membri... Tuttavia i pacchetti di sticker, i canali e i bot su Telegram sono pubblicamente disponibili”. I canali di Telegram sono un modo per trasmettere uno stesso messaggio a un numero elevato di destinatari, mentre i bot sono degli account di gestione automatica dei messaggi e i pacchetti di sticker (sticker set) sono gruppi di icone disegnate in dettaglio, che mostrano un personaggio e rappresentano un’azione o un’emozione (degli emoji più raffinati, insomma). E poi ci sono i metadati: chi ha parlato con chi, le rubriche telefoniche degli utenti, e altro ancora.
L’intervento dei gestori di Telegram, quindi, si limita a questi aspetti del servizio: i messaggi all’interno dei gruppi privati su Telegram restano inaccessibili. L’unico modo per monitorare questi gruppi è infiltrarli e farne parte, segnalandoli all’apposito indirizzo abuse@telegram.org.
