Un blog di Paolo Attivissimo, giornalista informatico e cacciatore di bufale
Informativa privacy e cookie: Questo blog include cookie di terze parti. Non miei (dettagli)
Prossimi eventi pubblici – Sostegno a questo blog – Sci-Fi Universe
Cerca nel blog
Visualizzazione post con etichetta Viber. Mostra tutti i post
Visualizzazione post con etichetta Viber. Mostra tutti i post
2016/06/26
Meglio Telegram, Signal o WhatsApp?
L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2016/06/26 18:30.
L’illusione della sicurezza è uno dei maggiori pericoli per la sicurezza (non solo in informatica). La recente introduzione della crittografia in app molto popolari come WhatsApp e Viber è stata interpretata da molti come una protezione assoluta, ma non lo è: conviene conoscerne i limiti in modo da capire con precisione cosa comportano.
The Intercept ha pubblicato un ottimo articolo che fa il punto della situazione sulle principali app di messaggistica che offrono cifratura, e anche Gizmodo ha messo online una serie di mini-recensioni. Riassumo entrambi e faccio un’allerta spoiler: si salva solo Signal.
WhatsApp. Facebook, proprietaria di WhatsApp, non può leggere i contenuti dei messaggi e delle altre comunicazioni che transitano dall’app, ma sa chi ha comunicato con chi e quando lo ha fatto e si riserva il diritto di registrare queste informazioni (i cosiddetti metadati), insieme alle rubriche telefoniche degli utenti, e di passarle ai governi e quindi agli inquirenti. In altre parole, se avete mai Whatsappato con qualcuno che finisce nei guai con la giustizia, non potete far finta di non conoscerlo contando sulla segretezza delle comunicazioni di WhatsApp. Inoltre una copia dei messaggi viene conservata sul telefonino del mittente e dei destinatari, e chi ha attivato il backup dei dati del telefonino su cloud ha depositato su Google o su iCloud un’altra copia delle comunicazioni fatte con WhatsApp. L’app consente di disattivare quest’opzione, ma spetta all’utente sapere che esiste e intervenire per disattivarla.
Signal. È open source (quindi liberamente ispezionabile nel funzionamento), disponibile per iOS e Android, privo di legami commerciali (è sostenuto dalle donazioni degli utenti e non ha pubblicità), offre cifratura completa (end-to-end), non raccoglie metadati (a parte l'orario dell'ultima connessione dell’utente al server, che comunque viene arrotondato al giorno). La rubrica dei contatti viene letta da Signal, ma viene cifrata prima di mandarla ai server di Signal in modo che i dati della rubrica non siano collezionabili (viene usata una funzione di hashing). Le conversazioni non vengono archiviate su cloud Google/Apple. Unico limite: lo usano pochissimi utenti (qualche milione contro i 900 e passa di WhatsApp), per cui o convincete il vostro interlocutore a installarlo, oppure potrete solo mandargli SMS non protetti (l’app indica chiaramente quale tipo di messaggio verrà inviato).
Telegram. Quest’app viene spesso citata come se fosse sicura, ma i fatti sono un po’ diversi. Per impostazione predefinita, i messaggi vengono conservati sui server di Telegram in forma non cifrata. Se usate la modalità privata potete attivare la cifratura, che però è considerata debole e difettosa.
Allo/Duo. The Intercept segnala che Google sta per lanciare un’app di messaggistica, chiamata Allo, e sottolinea che la sua impostazione predefinita sarà che Google può leggere tutto. La crittografia si attiva soltanto se scegliete la modalità privata, che però limita alcune funzioni. Google motiva questa scelta con il fatto che Allo userà il testo dei messaggi per fornire all’utente servizi basati sul contesto. Sempre da Google è in arrivo Duo, app di videochiamata, che sarà cifrata automaticamente e da un capo all’altro della conversazione (end-to-end): non si sa se raccoglierà metadati.
L’illusione della sicurezza è uno dei maggiori pericoli per la sicurezza (non solo in informatica). La recente introduzione della crittografia in app molto popolari come WhatsApp e Viber è stata interpretata da molti come una protezione assoluta, ma non lo è: conviene conoscerne i limiti in modo da capire con precisione cosa comportano.
The Intercept ha pubblicato un ottimo articolo che fa il punto della situazione sulle principali app di messaggistica che offrono cifratura, e anche Gizmodo ha messo online una serie di mini-recensioni. Riassumo entrambi e faccio un’allerta spoiler: si salva solo Signal.
WhatsApp. Facebook, proprietaria di WhatsApp, non può leggere i contenuti dei messaggi e delle altre comunicazioni che transitano dall’app, ma sa chi ha comunicato con chi e quando lo ha fatto e si riserva il diritto di registrare queste informazioni (i cosiddetti metadati), insieme alle rubriche telefoniche degli utenti, e di passarle ai governi e quindi agli inquirenti. In altre parole, se avete mai Whatsappato con qualcuno che finisce nei guai con la giustizia, non potete far finta di non conoscerlo contando sulla segretezza delle comunicazioni di WhatsApp. Inoltre una copia dei messaggi viene conservata sul telefonino del mittente e dei destinatari, e chi ha attivato il backup dei dati del telefonino su cloud ha depositato su Google o su iCloud un’altra copia delle comunicazioni fatte con WhatsApp. L’app consente di disattivare quest’opzione, ma spetta all’utente sapere che esiste e intervenire per disattivarla.
Signal. È open source (quindi liberamente ispezionabile nel funzionamento), disponibile per iOS e Android, privo di legami commerciali (è sostenuto dalle donazioni degli utenti e non ha pubblicità), offre cifratura completa (end-to-end), non raccoglie metadati (a parte l'orario dell'ultima connessione dell’utente al server, che comunque viene arrotondato al giorno). La rubrica dei contatti viene letta da Signal, ma viene cifrata prima di mandarla ai server di Signal in modo che i dati della rubrica non siano collezionabili (viene usata una funzione di hashing). Le conversazioni non vengono archiviate su cloud Google/Apple. Unico limite: lo usano pochissimi utenti (qualche milione contro i 900 e passa di WhatsApp), per cui o convincete il vostro interlocutore a installarlo, oppure potrete solo mandargli SMS non protetti (l’app indica chiaramente quale tipo di messaggio verrà inviato).
Telegram. Quest’app viene spesso citata come se fosse sicura, ma i fatti sono un po’ diversi. Per impostazione predefinita, i messaggi vengono conservati sui server di Telegram in forma non cifrata. Se usate la modalità privata potete attivare la cifratura, che però è considerata debole e difettosa.
Allo/Duo. The Intercept segnala che Google sta per lanciare un’app di messaggistica, chiamata Allo, e sottolinea che la sua impostazione predefinita sarà che Google può leggere tutto. La crittografia si attiva soltanto se scegliete la modalità privata, che però limita alcune funzioni. Google motiva questa scelta con il fatto che Allo userà il testo dei messaggi per fornire all’utente servizi basati sul contesto. Sempre da Google è in arrivo Duo, app di videochiamata, che sarà cifrata automaticamente e da un capo all’altro della conversazione (end-to-end): non si sa se raccoglierà metadati.
Labels:
crittografia,
metadati,
privacy,
ReteTreRSI,
Viber,
Whatsapp
2014/04/25
Viber intercettabile, non cifra i dati
Ancora una volta la sicurezza e la privacy degli utenti sembrano essere l'ultima voce nella lista delle priorità dei social network e dei sistemi di messaggistica istantanea: dopo WhatsApp e Snapchat, stavolta è il turno di Viber, che è stato colto a trasmettere i messaggi degli utenti senza alcuna protezione contro le intercettazioni, rendendo quindi facilissimo catturare immagini, video e messaggi scambiati dai suoi utenti.
Secondo le indagini di un gruppo di ricercatori della University of New Haven nel Connecticut, l'app di Viber (versione 4.3.0.712) trasmette foto, video, disegni e immagini di posizione senza crittografarli. Questi dati, inoltre, vengono conservati sui server di Viber, invece di essere cancellati dopo che sono stati recapitati al destinatario. Come se non bastasse, i dati hanno un URL che è pubblicamente accessibile a chiunque senza dover digitare password o altro.
I ricercatori mostrano in un video la tecnica utilizzata: per catturare i dati degli utenti è sufficiente mettersi sulla loro stessa rete WiFi (per esempio in un locale pubblico o un parco oppure creando una rete WiFi aperta dal nome allettante) con un laptop dotato di normali software di monitoraggio del traffico di rete.
Viber ha dichiarato che rilascerà prossimamente un aggiornamento che correggerà questa falla per i dispositivi Android e Apple; non si sa cosa farà per le versioni di Viber usate da altri dispositivi mobili, come BlackBerry, Nokia e Windows Phone.
Fonti aggiuntive: Sophos, The Hacker News.
Secondo le indagini di un gruppo di ricercatori della University of New Haven nel Connecticut, l'app di Viber (versione 4.3.0.712) trasmette foto, video, disegni e immagini di posizione senza crittografarli. Questi dati, inoltre, vengono conservati sui server di Viber, invece di essere cancellati dopo che sono stati recapitati al destinatario. Come se non bastasse, i dati hanno un URL che è pubblicamente accessibile a chiunque senza dover digitare password o altro.
I ricercatori mostrano in un video la tecnica utilizzata: per catturare i dati degli utenti è sufficiente mettersi sulla loro stessa rete WiFi (per esempio in un locale pubblico o un parco oppure creando una rete WiFi aperta dal nome allettante) con un laptop dotato di normali software di monitoraggio del traffico di rete.
Viber ha dichiarato che rilascerà prossimamente un aggiornamento che correggerà questa falla per i dispositivi Android e Apple; non si sa cosa farà per le versioni di Viber usate da altri dispositivi mobili, come BlackBerry, Nokia e Windows Phone.
Fonti aggiuntive: Sophos, The Hacker News.
Iscriviti a:
Post (Atom)