Centinaia di milioni di persone nel mondo usano WhatsApp per comunicare ogni giorno, e molte di queste persone affidano a questa app confidenze e segreti contando sulla sua promessa di crittografia end-to-end: tutti i messaggi sono cifrati e non possono essere letti neppure dai dipendenti di Meta, la società che possiede WhatsApp.

È una promessa molto forte, dichiarata dall’avviso che compare nell’app ogni volta che si inizia una conversazione con un nuovo contatto: “I messaggi e le chiamate sono crittografati end-to-end. Nessuno al di fuori di questa chat, nemmeno WhatsApp, può leggerne o ascoltarne il contenuto.”

Ma allora come è possibile che oltre centomila messaggi WhatsApp privati siano stati resi estremamente pubblici in questi giorni? È quello che sta succedendo con i cosiddetti Lockdown files, una raccolta di messaggi WhatsApp risalenti al 2020 e 2021 e scambiati fra l’allora ministro della sanità britannico Matt Hancock e vari esponenti del governo del paese durante il lockdown legato alla pandemia.

Il giornale britannico Telegraph è entrato in possesso di tutti questi messaggi molto delicati e sta pubblicando man mano quelli più significativi, che rivelerebbero errori e manchevolezze della gestione governativa della crisi sanitaria. 

Ma quello che conta, dal punto di vista informatico, è capire come il Telegraph sia riuscito a scavalcare la crittografia end-to-end di WhatsApp: un dettaglio che non sempre viene raccontato dalle fonti giornalistiche che stanno pubblicando articoli sulla vicenda britannica.

Hacking supersofisticato? Intervento degli esperti crittografi militari? Una falla nelle sicurezze di WhatsApp? Niente di tutto questo. La crittografia end-to-end, che si chiama così appunto perché protegge la comunicazione da un capo all’altro, è stata sbaragliata semplicemente ottenendo accesso a uno di questi capi.

Il ministro Hancock aveva infatti affidato alla giornalista Isabel Oakeshott l’incarico di aiutarlo a scrivere la propria autobiografia del periodo pandemico, e per questo lavoro le aveva dato pieno accesso a tutti i suoi messaggi WhatsApp. La giornalista aveva firmato un accordo di riservatezza, ma ora lo ha violato sostenendo che la pubblicazione di questi messaggi è di interesse pubblico. E così la crittografia non è servita a nulla.

Questo è un principio spesso dimenticato nella sicurezza delle informazioni: il segreto non è soltanto questione di tecnologia, ma dipende anche dai fattori umani. Se uno dei partecipanti a una conversazione digitale cifrata rivela tutto, non c’è promessa crittografica che tenga. E questo vale in particolar modo per i gruppi, su WhatsApp o su qualunque altra piattaforma di messaggistica cifrata: più sono numerosi i partecipanti, più è facile che uno di loro si lasci sfuggire qualcosa o decida di violare il segreto. E ne basta uno solo. Anche se non siete ministri, pensateci la prossima volta che condividete un commento o un selfie discutibile fidandovi della crittografia.

Fonti: Washington Post, Sky News, Channel 4, BBC.

Scavalcare la crittografia end-to-end di WhatsApp e leggere tutti i messaggi di un altro utente è facile. Così facile che può capitare addirittura per caso: basta avere il numero di telefono di quell’utente (in altre parole, è sufficiente essere un end di quell’end-to-end).

The Register e Gizmodo hanno pubblicato il racconto della disavventura capitata a un utente europeo che ha involontariamente avuto accesso a tutti i messaggi privati e ai gruppi WhatsApp di un’altra persona.

L’utente diventato intruso per caso si chiama Ugo e per molto tempo ha avuto un account WhatsApp legato al suo numero di telefono cellulare svizzero. A ottobre scorso si è trasferito in Francia per lavoro e si è procurato un numero di telefono cellulare francese, con relativa SIM nuova. Durante tutto questo periodo ha continuato a usare WhatsApp senza problemi, ricevendo e mandando messaggi come al solito.

Alla fine del mese di ottobre 2022 ha cambiato il proprio numero nell’app di WhatsApp, dando quello francese. A quel punto il suo telefono è stato inondato da tutti i gruppi e i messaggi personali e di lavoro di qualcun altro, quasi tutti in italiano, e la sua foto di profilo è diventata quella di quella persona (una donna). Ugo ha cercato di spiegare ai suoi interlocutori che lui non era la persona con la quale credevano di parlare, ma senza molto successo.

In pratica, senza volerlo Ugo aveva preso il pieno controllo dell’account WhatsApp di un’altra persona a lui sconosciuta.

Il padre di Ugo, che per lavoro ha esperienza nel settore e che ho contattato direttamente via mail, mi ha spiegato che ha usato l’apposita pagina di segnalazione di Meta per avvisare del possibile bug di sicurezza: la risposta di Meta è stata che non è un difetto di WhatsApp, ma è un problema degli operatori telefonici, che riutilizzano i numeri di telefono. 

Fra l’altro, si tratta di un problema noto e addirittura documentato nelle FAQ di WhatsApp:

Tutti gli account WhatsApp sono collegati a un numero di cellulare. Dal momento che riutilizzare i numeri di telefono è una prassi piuttosto comune per gli operatori di telefonia mobile, è possibile che il precedente proprietario del tuo numero di telefono usasse WhatsApp.
Se la persona che usava il numero prima di te non ha eliminato il suo account WhatsApp, sia tu che i tuoi contatti potreste vedere il numero su WhatsApp prima dell'attivazione del tuo nuovo account. Potresti anche vedere che il tuo numero di telefono è associato alla foto del profilo e alla sezione Info di qualcun altro.
Non devi preoccuparti. Questo significa solo che l'account precedente non è stato eliminato e nel sistema sono ancora presenti le vecchie informazioni. Il precedente proprietario del tuo numero non avrà alcun tipo di accesso all'account WhatsApp che attiverai con il tuo nuovo numero di telefono. Le tue conversazioni e gli altri dati WhatsApp sono protetti.
Monitoriamo l'inattività degli account per evitare eventuali confusioni provocate dal riutilizzo dei numeri di telefono. Se un account non viene utilizzato per 45 giorni e quindi viene attivato nuovamente su un dispositivo mobile differente, presumiamo che il numero sia stato riutilizzato. Quando si verificano queste situazioni, eliminiamo i dati del vecchio account collegati al numero di telefono, come ad esempio la foto del profilo e la sezione Info.

In pratica, qualche tempo prima la donna di cui Ugo stava leggendo i messaggi WhatsApp aveva chiuso il numero di telefonino che usava per WhatsApp. Quel numero era tornato disponibile e l’operatore telefonico lo aveva riutilizzato, assegnandolo a Ugo.

Questa possibilità di accedere ai messaggi WhatsApp di un altro utente è una falla di privacy considerevole, e il bello è che è nota almeno da tre anni. Se qualcuno ha modo di farsi dare dall’operatore telefonico una SIM che ha il numero della persona presa di mira, può leggerne tutti i messaggi. È una tecnica chiamata SIM swap: i criminali informatici la usano contattando gli operatori telefonici e spacciandosi per la vittima, chiedendo una SIM nuova perché, dicono, quella corrente non funziona più o è stata smarrita. Nei paesi nei quali gli operatori non verificano attentamente l’identità degli utenti, la SIM nuova finisce nelle mani del criminale, che a quel punto può ricevere tutti gli SMS di autenticazione dei vari servizi online della vittima e prendere il controllo in particolare delle sue piattaforme social.

Nel caso di Ugo non c’è stata alcuna intenzione criminosa, ma la sua vicenda dimostra che la riservatezza dei messaggi online non è robusta come molti pensano.

Per contenere questo problema dei numeri riciclati, normalmente gli operatori hanno un periodo piuttosto lungo di cosiddetta “quarantena”, durante il quale il numero non viene riassegnato a nessuno, e WhatsApp dichiara che se si accorge che un account non viene usato per un mese e mezzo e poi ricomincia a essere usato su un dispositivo nuovo, eliminerà i dati del vecchio account. Ma a Ugo e alla donna che è diventata sua vittima non intenzionale non è andata così, perché l’account della donna non era inattivo. La donna aveva cambiato numero di telefono e aveva continuato a usare WhatsApp sul nuovo numero, ma senza cambiare il numero nell’app.

Infatti se non si avvisa WhatsApp del cambio di numero, WhatsApp continua a credere che l’account sia associato ancora al numero vecchio, come dimostra il padre di Ugo con un video dettagliatissimo, in cui usa due numeri di telefono svizzeri e fa vedere che scambiando le SIM i due utenti, chiamiamoli Andrea e Beatrice, continuano a ricevere i messaggi dei rispettivi account WhatsApp come se niente fosse, nonostante lo scambio di SIM nei loro telefoni. 

Ma se Andrea avvisa WhatsApp del cambio di numero, il suo telefono comincia a ricevere i messaggi WhatsApp di Beatrice, perché il telefono di Andrea contiene la SIM che prima era nel telefono di Beatrice.

Normalmente WhatsApp protegge il cambio di numero contro gli abusi inviando al numero vecchio un SMS contenente un codice di sicurezza. Ma in questo caso il vecchio numero di Beatrice ora ce l’ha Andrea, che quindi riceve il codice e ha tutto il necessario per prendere il controllo dell’account WhatsApp di Beatrice.

Va chiarito che questa tecnica non consente accesso ai messaggi passati di WhatsApp: permette di leggere soltanto i messaggi che sono stati inviati al proprietario precedente del numero dopo che il nuovo proprietario ha usato quel numero per WhatsApp. Ma già così, ricevere le comunicazioni e le foto destinate a un’altra persona e poterla impersonare online, senza che quella persona lo sappia, è parecchio invadente e preoccupante.

Va anche sottolineato che questa situazione offre un canale di sorveglianza molto semplice alle forze di polizia: è sufficiente che chiedano all’operatore telefonico di generare una seconda SIM con lo stesso numero e avranno accesso ai messaggi WhatsApp inviati alla persona sorvegliata. Nel caso di altri sistemi di messaggistica, come Telegram, che conservano i messaggi sui propri server, questa tecnica probabilmente consente anche di recuperare tutti i messaggi passati.

Noi utenti possiamo ridurre il rischio di violazioni della privacy come questa con due passi piuttosto semplici. Il primo è attivare l’autenticazione a due fattori su WhatsApp, sotto Impostazioni - Account - Verifica in due passaggi. Il secondo è avvisare WhatsApp se cambiamo numero, andando in Impostazioni - Account - Cambia numero. Andrebbe fatto comunque, perché altrimenti in caso di qualunque problema con il vostro account, WhatsApp non potrà validarvi tramite il numero di telefono. Se infine decidete di smettere di usare WhatsApp per qualunque motivo, ricordatevi prima di tutto di eliminare l’account andando sempre in Impostazioni - Account - Elimina account.

Il 27 settembre scorso è stato rilasciato un aggiornamento di sicurezza molto importante per WhatsApp per Android e iOS, che va installato appena possibile, perché chiude due falle estremamente gravi che permettono a un aggressore di prendere il controllo degli smartphone semplicemente avviando una videochiamata oppure inviando alle vittime un video appositamente alterato.

Le falle sono identificate formalmente con le sigle CVE-2022-36934 e CVE-2022-27492. La prima è presente in WhatsApp normale e in WhatsApp Business per Android e per iOS nelle versioni prima della 2.22.16.12; la seconda è presente in Whatsapp per Android nelle versioni prima della 2.22.16.2 e in WhatsApp per iOS nelle versioni prima della 2.22.15.9. 

Se vi perdete nei numeri di versione, nessun problema: è sufficiente che aggiorniate WhatsApp alla versione più recente disponibile su Google Play su App Store.

Per gli amanti dei dettagli, la prima falla è un classico integer overflow, ossia una situazione in cui un valore intero usato nell’app diventa troppo grande per lo spazio che gli è stato assegnato, un po’ come quando occorre compilare un formulario e le caselle a disposizione non bastano per immettere il numero che bisogna scrivere. Questo produce un errore di calcolo, e se il risultato di quel calcolo viene usato per controllare il comportamento dell’app, l’errore può portare a problemi di sicurezza.

La seconda falla è invece l’esatto contrario, vale a dire un integer underflow, un errore nel quale un calcolo produce un risultato troppo piccolo, per esempio una sottrazione di un numero grande da un numero più piccolo che produce un valore negativo in una situazione nella quale i valori negativi non sono previsti.

Se pensate che questo tipo di falla sia troppo esotico per essere sfruttato, tenete presente che una vulnerabilità analoga che c’era nelle chiamate vocali di WhatsApp è stata utilizzata nel 2019 da una società che produce software spia, NSO Group, per iniettare un suo programma di sorveglianza nascosta, denominato Pegasus, negli smartphone di bersagli politici, docenti, avvocati e collaboratori di organizzazioni non governative.

Fonte aggiuntiva: The Hacker News.

Ultimo aggiornamento: 2022/01/20 18:30.

Di recente l’esercito svizzero ha bandito l’uso di WhatsApp, Signal, Telegram e di qualunque altra applicazione di messaggistica diversa da Threema per le comunicazioni legate al servizio.

Il portavoce dell’esercito, Daniel Reist, ha spiegato che la decisione è stata presa per questioni di sicurezza e di protezione dei dati. I militari potranno continuare a utilizzare WhatsApp e altre applicazioni per le comunicazioni private.

La decisione dell’esercito ha comprensibilmente spinto molte persone a farsi tre domande: 

• cosa c’è di così pericoloso in WhatsApp, Signal, Telegram eccetera da indurre l’esercito svizzero a compiere questo passo?
• perché Threema invece non è pericolosa?
• se lo fa l’esercito, dovremmo farlo anche noi?
  

Alcuni si saranno anche fatti una quarta domanda: Threema chi? In effetti Threema non è molto popolare: i suoi circa dieci milioni di utenti sono trascurabili rispetto ai due miliardi di utenti di WhatsApp. Molte persone non l’hanno mai sentita nominare e vengono a sapere della sua esistenza soltanto a causa della risonanza della notizia di questa decisione militare svizzera.

---

Cominciamo dalla prima domanda: le app di messaggistica non svizzere, come appunto WhatsApp, Signal e Telegram, non rispettano le norme svizzere sulla riservatezza. WhatsApp, in particolare, è soggetta alle leggi statunitensi e in particolare al cosiddetto CLOUD Act (acronimo di Clarifying Lawful Overseas Use of Data Act), una legge del 2018 che consente alle autorità statunitensi di acquisire informazioni sul traffico di dati da tutti i gestori di servizi di telecomunicazioni sottoposti alla giurisdizione degli Stati Uniti e lo consente anche se questi dati si trovano fuori dal territorio americano e anche se sono gestiti per esempio da società europee che hanno una filiale negli Stati Uniti, come spiega in dettaglio la legal specialist e data protection officer Barbara Calderini su Agenda Digitale.

In parole povere, gli Stati Uniti possono ottenere, aggregare e analizzare tutti i dati trasmessi su WhatsApp da qualunque militare svizzero o di qualunque altro paese. Il rischio non è ipotetico: è già capitato che messaggi o post di militari russi abbiano rivelato la loro presenza in Ucraìna e in Siria, a volte smentendo le dichiarazioni ufficiali. La Russia ha vietato completamente l’uso degli smartphone durante il servizio militare nel 2019.

È vero che WhatsApp ha la cosiddetta crittografia end-to-end, per cui Meta (la società che possiede WhatsApp insieme a Facebook e Instagram) non può cedere a nessuno il contenuto delle conversazioni fatte tramite WhatsApp semplicemente perché non le ha a disposizione. 

Ma la crittografia non copre i dati di contorno di queste conversazioni, ossia i cosiddetti metadati: con chi avete parlato, a che ora di quale giorno l’avete fatto, per quanto tempo avete conversato e quante volte avete scambiato messaggi con ciascuna delle persone con le quali avete comunicato tramite WhatsApp. Usare WhatsApp significa quindi dare a Meta, e quindi alle autorità statunitensi, l’elenco completo dei propri amici, contatti di lavoro e commilitoni. Messi insieme, tutti questi metadati hanno un valore strategico enorme.

Faccio un esempio concreto: qualche anno fa, nel 2017, sono stato invitato a parlare a Locarno a una conferenza organizzata dall’esercito svizzero e dedicata alla digitalizzazione legata alla sicurezza nazionale. Il pubblico era composto quasi esclusivamente da militari. Ho chiesto quanti di loro avessero uno smartphone acceso in tasca con la geolocalizzazione attiva e WhatsApp installato: hanno risposto affermativamente quasi tutti. Ma allora, ho proseguito, Google o Apple, e sicuramente Facebook, sanno che buona parte degli ufficiali dell’esercito svizzero, provenienti da tutti i cantoni, si trovano radunati in questo preciso luogo in questo preciso momento. E lo possono sapere in tante altre circostanze e passare questi dati al proprio governo. In sostanza, un paese straniero può monitorare i movimenti dei nostri militari, e può farlo oltretutto in modo perfettamente legale. La mia osservazione è stata accolta, come dire, con consapevole disagio.

Per chi è nelle forze armate elvetiche, insomma, usare WhatsApp (e, in misura minore, Signal o Telegram) o in generale applicazioni di messaggistica gestite da operatori situati al di fuori della Svizzera ha delle implicazioni reali di sicurezza militare.

---

Tutto questo spiega perché Threema, invece, non è considerata a rischio: si tratta di un’app creata da una società che ha sede in Svizzera, a Pfäffikon, nel canton Svitto, e che custodisce i dati in modo conforme alle leggi nazionali e lo fa su server situati in Svizzera. Quindi non è soggetta al CLOUD Act statunitense. Allo stesso tempo offre, come le app rivali, le stesse protezioni di crittografia end-to-end ed è open source, quindi liberamente ispezionabile. E a differenza delle altre app (in particolare di WhatsApp), non richiede di dare al gestore un numero di telefono o altre informazioni personali e non si mantiene offrendo queste informazioni ai pubblicitari (in questo senso Signal è più virtuosa rispetto a Telegram e WhatsApp). Threema è infatti un’app a pagamento: costa quattro franchi, che si pagano una volta sola. L’esercito svizzero pagherà questo abbonamento agli utenti militari.

La scelta dell’esercito di bandire le altre app dalle comunicazioni di servizio ma consentire l’uso di WhatsApp e simili per comunicazioni private non offre sicurezza assoluta: è un compromesso pragmatico, perché il semplice fatto di usare queste app invia comunque dati preziosi e sensibili alle società estere che le gestiscono. Ma è un passo nella direzione giusta.

---

Alla luce di tutto questo, noi utenti comuni cosa dobbiamo fare? Dipende tutto dalla situazione personale, ma l’esempio dato dall’esercito svizzero è valido, anche per chi vive al di fuori dei confini elvetici, ed è un buon promemoria del fatto che per molte categorie professionali, come per esempio medici, consulenti legali, giornalisti o fornitori di servizi bancari, usare WhatsApp e simili per comunicazioni legate alla propria attività è già ora una violazione delle norme nazionali sulla riservatezza dei propri pazienti, clienti o interlocutori. Usarle per la sfera personale, invece, è meno problematico, ma va comunque valutato con attenzione.

Allo stesso tempo, è inutile avere un’app ipersicura che però non viene usata dalle persone con le quali si vuole comunicare, per cui è necessario valutare la situazione caso per caso. Possiamo provare a chiedere ai nostri interlocutori se accettano di installare e usare app come Threema accanto a WhatsApp: anche questo è un passo nella direzione giusta.

Fonti: RSI, La Regione, Swissinfo, La Regione, Start Magazine, TvSvizzera.it.

Ultimo aggiornamento: 2021/10/18 17:30.

Si parla molto, ultimamente, di lasciare i social network: troppo ficcanaso e troppo tossici nel loro favorire l’odio, la lite e l’aggressività. Se per caso state meditando di chiudere un account social ma non volete perdere tutte le foto e i contatti che vi avete accumulato, Intego ha pubblicato un articolo molto dettagliato che spiega come fare per Facebook, Instagram, Twitter, YouTube, WhatsApp, TikTok e molti altri. Questa è una sua sintesi con i link essenziali.

Facebook. Si può disattivare temporaneamente l’account oppure eliminarlo definitivamente e si può scaricare una copia di tutti i propri dati. Per riattivare un account disattivato basta rientrare nell’account. Se si elimina un account, ci sono 30 giorni di tempo per ripristinarlo.

YouTube. YouTube fa parte di Google, per cui l’account YouTube è legato all’account Google. Per eliminare il proprio account YouTube occorre quindi eliminare il proprio account Google, ma attenzione, perché eliminare un account Google significa perdere anche Gmail, Google Drive e molti altri servizi. Però si può eliminare un canale YouTube lasciando intatto tutto il resto. Non c’è modo di fare una disattivazione temporanea; si può scaricare una copia dei propri dati andando a takeout.google.com.

WhatsApp. Si può eliminare l’account ma non è prevista la disattivazione temporanea. I dati possono essere scaricati tramite un backup.

Instagram. Qui è permessa la disattivazione temporanea e si può scaricare una copia dei propri dati prima di eliminare l’account (cosa che non si può fare nei menu dell’app). 

TikTok. La disattivazione temporanea non è prevista; si può eliminare l’account scegliendo la gestione account dal menu che compare cliccando sulle tre barrette orizzontali in alto a destra. Per scaricare i propri dati può essere necessario aspettare fino a 30 giorni.

SnapChat. Eliminare definitivamente un account SnapChat è facile; per disattivarlo temporaneamente (per 30 giorni) basta chiederne l’eliminazione e poi rientrare nell’account prima che siano trascorsi 30 giorni. Non sembra esserci un modo per scaricare i propri dati.

Twitter. Si può chiedere la disattivazione per un periodo di 30 giorni; se non si accede all’account per tutto questo periodo, l’account viene eliminato. Si può scaricare una copia dei propri dati.

LinkedIn. Scaricare una copia dei dati è semplice; disattivare temporaneamente non è previsto, ma si può eliminare il proprio account, con 14 giorni di tempo per eventuali ripensamenti. 

Tumblr. È possibile scaricare una copia dei propri dati seguendo queste istruzioni; l’eliminazione di un account è spiegata qui ed è definitiva (nessun periodo di ripensamento) ed eseguibile solo tramite browser (non dall’app).

Mentre scrivo la prima stesura di queste righe Facebook e le sue proprietà (WhatsApp, Instagram e Oculus) sono completamente inaccessibili da alcune ore in tutto il pianeta. Facebook ha confermato laconicamente il problema con un post su Twitter.

Anche la pagina ufficiale di stato di Facebook, status.fb.com, è inaccessibile.

Questa è una mia prima sintesi della situazione. La aggiornerò man mano che ci saranno novità.

---

Ultimo aggiornamento: 2021/10/07 20:30.

A quanto risulta dalle prime analisi e indiscrezioni, tutto è iniziato intorno alle 15.40 UTC (le 17.40 italiane) in seguito a un errore commesso durante un cambiamento di configurazione interno a Facebook. 

Questo errore comporta che tutta Internet non sa più dove trovare Facebook, perché qualcuno di Facebook ha cancellato la mappa che dice dove si trova Facebook e che strada fare per raggiungerlo.

In termini leggermente tecnici: l’errore di configurazione ha reso inaccessibili da remoto i BGP peering router di Facebook, i computer dell’azienda che gestiscono il BGP (Border Gateway Protocol), che è il protocollo di Internet che determina l’instradamento (routing) dei dati da trasmettere, come spiegato qui e qui.

Between 15:50 UTC and 15:52 UTC Facebook and related properties disappeared from the Internet in a flurry of BGP updates. This is what it looked like to @Cloudflare. pic.twitter.com/PFw5FR2W5j

— John Graham-Cumming (@jgrahamc) October 4, 2021

ThousandEyes tests can confirm that at 15:40 UTC on October 4, the Facebook application became unreachable due to DNS failure. Facebook’s authoritative DNS nameservers became unreachable at that time. The issue is still ongoing as of 17:02 UTC. pic.twitter.com/zNmZWTxEUo

— ThousandEyes (@thousandeyes) October 4, 2021

L’errore ha causato l’eliminazione improvvisa dei route (percorsi) BGP che consentivano di accedere ai server DNS di Facebook, per cui il DNS di Facebook non va più (lo sappiamo da tweet come questo).

Il problema è che correggere questo errore richiede che si acceda fisicamente a questi peering router, visto che non sono più raggiungibili da remoto, ma chi può farlo non è necessariamente dotato delle autorizzazioni e dell’autenticazione che sono necessari. BNO News alle 22.15 ha tweetato, citando il NYT, che Facebook ha inviato una squadra a uno dei suoi data center a Santa Clara, in California, per resettare manualmente i server.

Non solo: questo errore implica che non funziona più nessuno dei servizi interni di Facebook (mail, strumenti di gestione, sistemi di sicurezza, agende, la messaggistica interna Workplace, eccetera), visto che sono tutti sul dominio Facebook.com, che è totalmente irraggiungibile, per cui neppure i dipendenti dell’azienda possono usarli per comunicare tra loro, come nota il New York Times.

E non è finita: se, come sembra (anche da qui), le serrature delle porte degli uffici di Facebook sono “smart” (basate sull’IoT), dipendono dalla connessione a Internet e dall’accesso ai server di Facebook. Che sono inaccessibili, per cui molti dipendenti non riescono a entrare perché i loro badge di accesso non funzionano. Il New York Times conferma.

Non ci sono indicazioni di eventuali attacchi esterni: tutto indica un errore interno di dimensioni catastrofiche. 

NOTA: L’annuncio della diffusione dei dati di circa un miliardo e mezzo di utenti Facebook non è correlato a questo incidente. I dati non includono password.

Questo errore sta avendo conseguenze a catena sul resto di Internet, e arrivano segnalazioni di rallentamenti anche per Disney+, Netflix e Twitter (che finora ha retto):

#GoogleDNS 8.8.8.8 becomes much slower because of #Facebookdown and all the client retries. pic.twitter.com/4aTyFAykMq

— awlnx (@awlnx) October 4, 2021

Finché Facebook è fuori uso, è possibile che non funzionino neanche gli accessi alle app o ai siti che usano l’opzione "Login tramite Facebook" (per esempio Pokémon Go). 

In pratica, un miliardo di smartphone e di altri dispositivi sta cercando disperatamente di trovare Facebook e questi tentativi inutili generano traffico DNS che rallenta tutti gli altri accessi.

Agli utenti di Facebook, Instagram, WhatsApp e Oculus non resta che aspettare che la situazione venga ripristinata ed eventualmente installare app analoghe come Signal o Telegram. Aggiungo un paio di suggerimenti:

• Disattivate le notifiche di Facebook, WhatsApp e Instagram, altrimenti quando torneranno a funzionare verrete sommersi da un fiume di notifiche rimaste in coda (grazie ad @alessLongo per la dritta). 
• NON FIDATEVI di eventuali messaggi o mail che invitano a cliccare da qualche parte per riattivare i vostri account. I truffatori approfitteranno sicuramente del panico causato da questo collasso e invieranno messaggi-esca che porteranno a siti-trappola che somigliano alle schermate di login dei social di Zuckerberg ma sono in realtà delle copie che rubano le password.
  

Maggiori informazioni ed analisi sono presso Ars Technica, The Register, Brian Krebs (anche qui in maggiore dettaglio), SANS.

---

2021/10/04 23:30. Status.fb.com è tornato online:

---

2021/10/04 23:50. Alcuni lettori mi segnalano che WhatsApp e Instagram stanno riprendendo a funzionare, dopo circa sei ore di paralisi. Non è un record: un altro blackout di Facebook, WhatsApp e Instagram a marzo 2019 durò oltre quattordici ore.

---

2021/10/05 13:10. Facebook ha pubblicato delle scuse e una spiegazione dettagliata dell’incidente. Da questa pubblicazione cito:

The underlying cause of this outage also impacted many of the internal tools and systems we use in our day-to-day operations, complicating our attempts to quickly diagnose and resolve the problem.

Our engineering teams have learned that configuration changes on the backbone routers that coordinate network traffic between our data centers caused issues that interrupted this communication. This disruption to network traffic had a cascading effect on the way our data centers communicate, bringing our services to a halt.

Our services are now back online and we’re actively working to fully return them to regular operations. We want to make clear at this time we believe the root cause of this outage was a faulty configuration change. We also have no evidence that user data was compromised as a result of this downtime.

In altre parole; è confermato che anche i sistemi interni di Facebook sono stati colpiti, che si è trattato di un errore di configurazione  (non di un attacco esterno) e che non risulta che ci siano state violazioni dei dati degli utenti.

---

2021/10/05 20:55. Facebook ha pubblicato un’ulteriore spiegazione dell’accaduto. Cito la parte interessante ed evidenzio i punti salienti:

This outage was triggered by the system that manages our global backbone network capacity. The backbone is the network Facebook has built to connect all our computing facilities together, which consists of tens of thousands of miles of fiber-optic cables crossing the globe and linking all our data centers.

Those data centers come in different forms. Some are massive buildings that house millions of machines that store data and run the heavy computational loads that keep our platforms running, and others are smaller facilities that connect our backbone network to the broader internet and the people using our platforms. 

When you open one of our apps and load up your feed or messages, the app’s request for data travels from your device to the nearest facility, which then communicates directly over our backbone network to a larger data center. That’s where the information needed by your app gets retrieved and processed, and sent back over the network to your phone.

The data traffic between all these computing facilities is managed by routers, which figure out where to send all the incoming and outgoing data. And in the extensive day-to-day work of maintaining this infrastructure, our engineers often need to take part of the backbone offline for maintenance — perhaps repairing a fiber line, adding more capacity, or updating the software on the router itself.

This was the source of yesterday’s outage. During one of these routine maintenance jobs, a command was issued with the intention to assess the availability of global backbone capacity, which unintentionally took down all the connections in our backbone network, effectively disconnecting Facebook data centers globally. Our systems are designed to audit commands like these to prevent mistakes like this, but a bug in that audit tool didn’t properly stop the command. 

This change caused a complete disconnection of our server connections between our data centers and the internet. And that total loss of connection caused a second issue that made things worse.  

One of the jobs performed by our smaller facilities is to respond to DNS queries. DNS is the address book of the internet, enabling the simple web names we type into browsers to be translated into specific server IP addresses. Those translation queries are answered by our authoritative name servers that occupy well known IP addresses themselves, which in turn are advertised to the rest of the internet via another protocol called the border gateway protocol (BGP). 

To ensure reliable operation, our DNS servers disable those BGP advertisements if they themselves can not speak to our data centers, since this is an indication of an unhealthy network connection. In the recent outage the entire backbone was removed from operation,  making these locations declare themselves unhealthy and withdraw those BGP advertisements. The end result was that our DNS servers became unreachable even though they were still operational. This made it impossible for the rest of the internet to find our servers. 

All of this happened very fast. And as our engineers worked to figure out what was happening and why, they faced two large obstacles: first, it was not possible to access our data centers through our normal means because their networks were down, and second, the total loss of DNS broke many of the internal tools we’d normally use to investigate and resolve outages like this. 

Our primary and out-of-band network access was down, so we sent engineers onsite to the data centers to have them debug the issue and restart the systems. But this took time, because these facilities are designed with high levels of physical and system security in mind. They’re hard to get into, and once you’re inside, the hardware and routers are designed to be difficult to modify even when you have physical access to them. So it took extra time to activate the secure access protocols needed to get people onsite and able to work on the servers. Only then could we confirm the issue and bring our backbone back online. 

Once our backbone network connectivity was restored across our data center regions, everything came back up with it. But the problem was not over — we knew that flipping our services back on all at once could potentially cause a new round of crashes due to a surge in traffic. Individual data centers were reporting dips in power usage in the range of tens of megawatts, and suddenly reversing such a dip in power consumption could put everything from electrical systems to caches at risk.   

Helpfully, this is an event we’re well prepared for thanks to the “storm” drills we’ve been running for a long time now. In a storm exercise, we simulate a major system failure by taking a service, data center, or entire region offline, stress testing all the infrastructure and software involved. Experience from these drills gave us the confidence and experience to bring things back online and carefully manage the increasing loads. In the end, our services came back up relatively quickly without any further systemwide failures. And while we’ve never previously run a storm that simulated our global backbone being taken offline, we’ll certainly be looking for ways to simulate events like this moving forward. 

---

2021/10/07 23:20. Ho provato a tradurre in italiano umanamente comprensibile lo spiegone di Facebook del suo collasso che ho citato qui sopra. Ditemi come sono andato.

In sintesi e con qualche mio commento: Facebook è un insieme geograficamente sparso in tutto il mondo di data center, grandi e piccoli, che sono interconnessi tramite una vasta rete di cavi di telecomunicazioni, denominato backbone. Quando un utente interagisce con Facebook (e le sue associate Instagram e WhatsApp), la sua app chiede dati. Questa richiesta viene ricevuta dal data center piccolo più vicino, che la manda tramite la rete di Facebook a uno dei data center più grandi, dove viene elaborata e riceve risposta. Questo traffico è gestito da router che decidono dove inviare i dati ricevuti e spediti.

A volte questa rete ha bisogno di manutenzione o modifiche. Il blackout è stato causato da una di queste manutenzioni: è stato dato un comando per valutare la disponibilità di capacità del backbone globale. Questo comando ha involontariamente interrotto tutte le connessioni del backbone, scollegando tutti i data center. I sistemi di Facebook sono progettati per valutare comandi di questo genere per impedire questo tipo di errore, ma un bug nel sistema di valutazione non ha bloccato il comando.

Questa disconnessione ha causato un secondo problema. I data center più piccoli di Facebook rispondono anche alle query del DNS. Il DNS è la rubrica degli indirizzi di Internet: traduce i nomi dei siti che digitiamo nel browser in indirizzi IP. Questa traduzione, nel caso di Facebook, viene fatta dai name server di Facebook, i cui indirizzi vengono comunicati a tutta Internet tramite un protocollo di nome border gateway protocol o BGP.

Ma Facebook è progettata in modo che se i name server dell’azienda non riescono a comunicare con i suoi data center, le informazioni BGP vengono rimosse per sicurezza. Il risultato è che tutta Facebook diventa irreperibile e sparisce completamente da Internet.

Tutto questo è accaduto molto in fretta. I data center erano inaccessibili da remoto (la rete non funzionava) e il crollo del DNS ha bloccato il funzionamento di molti degli strumenti interni usati solitamente per gestire questi problemi. Così è stato necessario inviare fisicamente dei tecnici ai data center per risolvere l’anomalia e riavviarli. Ma questo ha richiesto tempo per via delle sicurezze fisiche elevate di questi data center: è difficile entrarvi (questo accenno sembra confermare le voci di dipendenti chiusi fuori dalle sicurezze) e una volta dentro sono progettati per rendere difficili le modifiche anche quando si ha accesso fisico.

Una volta ripristinato il backbone, si è posto un ulteriore problema: riattivare di colpo tutti i servizi avrebbe rischiato di causare nuovi crash a causa dell’improvviso aumento del traffico. Questo ha delle implicazioni a livello elettrico (non elettronico) molto importanti: i singoli data center segnalavano cali di consumo dell’ordine delle decine di megawatt, e invertire di colpo questi cali avrebbe messo a rischio gli impianti elettrici e molti altri sistemi.

Facebook aveva simulato queste situazioni durante varie esercitazioni e ha saputo riavviare i sistemi senza causare sovraccarichi. Però, nota Facebook, questo scenario non era mai stato simulato. Una pecca grave. 

Credit per l’immagine dello Swiss cheese Model: BenAveling/Wikipedia. 

WhatsApp sta chiudendo una lacuna di sicurezza importante e spesso trascurata: le comunicazioni fatte con questo sistema di messaggistica, che è di proprietà di Facebook, sono protette contro le intercettazioni abusive dalla crittografia end-to-end, ma i backup di queste comunicazioni non lo sono affatto.

Questo consente di recuperare le comunicazioni se si riesce a mettere le mani su uno di questi backup, salvati per esempio su Google Drive per i dispositivi Android o su iCloud per i dispositivi Apple. Se qualcuno vi ruba le password dell’account Google o iCloud, ha accesso a tutto quello che avete scritto su WhatsApp, se l’avete salvato in questi backup in cloud, come WhatsApp chiede insistentemente di fare.

La settimana scorsa Mark Zuckerberg ha annunciato su Facebook che gli utenti prossimamente potranno scegliere di crittografare anche questi backup. Ha anche precisato che Facebook ha pubblicato un white paper, un documento tecnico intitolato Security of End-To-End Encrypted Backups, che descrive dettagliatamente come è stata realizzata questa funzione.

Cybersecurity360 spiega (in italiano) il funzionamento di questi backup cifrati: WhatsApp chiederà di “salvare una chiave di crittografia a 64 bit o di creare una password associata alla chiave”. La chiave verrà memorizzata “in un modulo fisico di sicurezza hardware (HSM, Hardware Security Module) che agisce come una cassetta di sicurezza e può essere sbloccato solo utilizzando la password corretta. WhatsApp sa solo che esiste una chiave in un HSM, non la chiave stessa o la password associata per sbloccarla.”

The Register nota che non è la prima volta che WhatsApp offre crittografia dei backup: lo aveva già fatto anni fa per i backup su iCloud, ma il metodo usato aveva un difetto che lo rendeva attaccabile usando una SIM avente lo stesso numero di quella della vittima.

Vedremo come andranno le cose questa volta, ma bisogna ricordare che ogni comunicazione ha almeno due partecipanti, e questo vuol dire che voi potete essere diligentissimi nella protezione dei vostri messaggi, ma se uno solo dei vostri interlocutori non è altrettanto diligente, è tutto inutile e i messaggi saranno comunque accessibili a un aggressore sufficientemente deciso. La cosa più semplice, in molti, casi, è semplicemente non avere backup di messaggi. Meglio ancora, non usare queste applicazioni per comunicazioni riservate.

“WhatsApp legge i messaggi delle chat”, ha titolato ANSA. Un titolo che fa sembrare che WhatsApp legga, o possa leggere, tutti i messaggi che circolano sulla sua piattaforma. Ma non è così, e l’indagine di ProPublica non dice nulla del genere.

Cominciamo dai concetti di base. Le comunicazioni effettuate tramite WhatsApp sono cifrate con crittografia end-to-end. Questo vuol dire che sono cifrate da un capo all’altro della conversazione, ossia da quando escono dal dispositivo del mittente fino a quando arrivano sul dispositivo del destinatario. Di conseguenza, i contenuti di queste comunicazioni non sono intercettabili in transito, né da Facebook, proprietaria di WhatsApp dal 2014, né dalle forze dell’ordine.

Questo fa pensare a molti utenti che le comunicazioni fatte con WhatsApp siano assolutamente private, ma è sbagliato. Infatti l’indagine di ProPublica spiega che WhatsApp ha circa un migliaio di “moderatori” incaricati di valutare i messaggi che violano le regole di WhatsApp. 

Ma qui sta l’equivoco: parecchi media hanno frainteso, pensando che l’esistenza dei moderatori implichi che queste persone possano leggere tutti i messaggi. Non è così: i moderatori possono leggere soltanto i messaggi che vengono segnalati dagli utenti.

Infatti se segnalate un messaggio, un gruppo o qualcuno su WhatsApp, “WhatsApp riceve i messaggi più recenti che ti sono stati inviati da un contatto o un gruppo segnalati, nonché informazioni sulle tue recenti interazioni con l’utente segnalato”. È scritto chiaro e tondo nelle pagine informative di WhatsApp. Secondo Ars Technica, WhatsApp riceve specificamente gli ultimi quattro messaggi precedenti nel thread oltre al messaggio segnalato.

WhatsApp riceve questi messaggi più recenti senza crittografia: è come se faceste uno screenshot ai messaggi in questione e lo mandaste a WhatsApp. Deve poterli leggere, altrimenti non li può valutare.

In altre parole, su questo punto ProPublica ha scoperto l’acqua calda. Il fatto che i moderatori di WhatsApp possano leggere i messaggi segnalati (e solo quelli) è noto e documentato da tempo. 

---

C’è però anche un altro modo in cui i messaggi di WhatsApp non sono privati, e stavolta riguarda tutti i messaggi ed è stato ribadito correttamente da ProPublica. Facebook non può leggere i contenuti dei messaggi, ma può attingere ai loro metadati, ossia a tutte le informazioni di contorno di qualunque comunicazione effettuata tramite WhatsApp: chi ha parlato con chi, a che ora, per quanto tempo, se si sono scambiati foto o video, in quale gruppo è avvenuta la comunicazione, chi sono i partecipanti al gruppo, eccetera. Questo è sufficiente per la maggior parte delle indagini delle forze di polizia, come nota Ars Technica citando vari procedimenti legali negli Stati Uniti e in Brasile.

Per esempio, bastano i metadati per dimostrare che avete comunicato via WhatsApp con una persona sospettata di reato: spetterà poi a voi spiegare come mai avete comunicato e di cosa avete parlato. E a quel punto il vostro telefonino potrà probabilmente essere esaminato dagli inquirenti, che ne estrarranno tutte le conversazioni di WhatsApp (e non solo) con programmi come UFED o Oxygen.

In sintesi: se volete davvero comunicare in modo assolutamente privato, non usate WhatsApp, Telegram o qualunque altra applicazione di messaggistica commerciale. Threema, Signal e Wickr danno qualche garanzia in più, ma la sicurezza e la privacy sono un processo, non un prodotto. È inutile avere app ultraprotette se poi lasciate in giro tracce di altro genere.

Chi le riceve verrà avvisato da un’apposita icona che si tratta di contenuti temporanei, simili ai messaggi temporanei che già esistono da qualche mese in WhatsApp, come in altre app di messaggistica. 

Queste foto e questi video non potranno essere inoltrati usando WhatsApp, non verranno salvati nella galleria di immagini e verranno eliminati automaticamente dopo 14 giorni se non sono stati visti.

Interessante, ma attenzione a non interpretare questa nuova funzione come una giustificazione per pensare di potere condividere disinvoltamente foto intime o personali contando sul fatto che una volta viste spariranno per sempre: come per tutte le foto “autocancellanti”, esistono modi banalissimi (dallo screenshot in su) per rendere quelle immagini assolutamente permanenti.

Ben venga, quindi, l’uso di questa funzione per eliminare automaticamente le foto che scattiamo per usi temporanei, come per esempio quelle fatte per mostrare a qualcuno un prodotto o un vestito visto in un negozio, ma niente di più. La funzione è utile per non occupare spazio inutilmente sul proprio smartphone riempiendolo di foto e video che non servono, ma prima di usare questo servizio di “cancellazione” automatica, chiedetevi che cosa succederebbe se la foto “temporanea” diventasse permanente e circolasse.

Nuova puntata nella saga dei cambiamenti di WhatsApp. I nuovi termini di utilizzo di cui si parla ormai da mesi, quelli che dovevano entrare in vigore l’8 febbraio ma poi sono stati posticipati al 15 maggio, adesso sono cambiati ancora una volta.

WhatsApp aveva annunciato una riduzione graduale delle funzioni per chi non avesse accettato le nuove regole. E invece no. WhatsApp ha cambiato di nuovo idea e ora dice che non prevede più di limitare il funzionamento dell’app per chi non ha ancora accettato le nuove condizioni di utilizzo. 

L’azienda ha infatti dichiarato a TheNextWeb che le “recenti discussioni con varie autorità e vari esperti di privacy” l’hanno portata a decidere di ”non avere intenzione di limitare la funzionalità di WhatsApp”, ma di “continuare a ricordare agli utenti periodicamente questo aggiornamento.”

WhatsApp ha aggiornato la propria pagina informativa, scrivendo che non intende al momento “rendere questi promemoria persistenti né limitare le funzionalità dell'applicazione [...] WhatsApp non eliminerà il tuo account se non accetti l'aggiornamento.”

Secondo Punto Informatico, il doppio cambiamento è probabilmente legato “alle pressioni ricevute da alcuni paesi, tra cui la Germania, oppure alla fuga di utenti verso i servizi concorrenti (Telegram e Signal, in particolare)”.

Sia come sia, WhatsApp sta creando una gran confusione che non sembra indicare una pianificazione attenta e ponderata. Non saranno contenti quelli che hanno accettato le nuove condizioni, sotto la “minaccia” di essere banditi dall’app e quindi di perdere tantissimi contatti interpersonali, e ora scoprono che avrebbero potuto benissimo fare a meno di accettare.

Il messaggio che circola è di questo genere:

WhatsApp ha aggiornato le sue impostazioni senza informare gli utenti!
Ha cambiato le sue impostazioni di gruppo e ti ha aggiunto a "tutti".
Questo significa che qualsiasi utente di WhatsApp - anche se non lo conosci - può aggiungerti a qualsiasi gruppo senza che tu ne sia a conoscenza o abbia il tuo consenso.
Reimposta subito questo cambiamento come era prima e in modo che solo i tuoi contatti possano aggiungerti a gruppi evitando che si inseriscano contatti sconosciuti o non graditi.
Fai subito questa procedura:
1. vai su WhatsApp
2. vai su Impostazioni in alto a destra
3. andare su Account
4. vai a Privacy
5. vai a Gruppi
6. cambiare questa impostazione da "tutti" a "i miei contatti". 

Secondo Snopes, non c’è motivo di allarmarsi. L’impostazione non è stata aggiornata senza informare gli utenti, ma è così almeno dal 2019, quando è stata introdotta.

Il consiglio è comunque corretto: conviene non lasciare impostata a “Tutti” quest’opzione, perché si rischia di trovarsi iscritti a gruppi contro la propria volontà. Le istruzioni indicate nell’allarme sono sostanzialmente giuste: si va in Impostazioni, Account, Privacy, Gruppi e nella sezione “Chi può aggiungermi ai gruppi” si può scegliere fra “Tutti”, “I miei contatti” e “I miei contatti eccetto...”.

La scelta consigliata è “I miei contatti”, ma se fra i vostri contatti avete persone che hanno la cattiva abitudine di aggiungervi a gruppi senza chiedervelo, potete scegliere di escludere queste persone usando “I miei contatti eccetto...”.

Anche se scegliete “I miei contatti”, potrete comunque ricevere inviti ad aggiungervi a gruppi, ma non verrete iscritti automaticamente.

Ultimo aggiornamento: 2021/05/15 15:35.

Siete agitati e ansiosi perché avete letto che WhatsApp il 15 maggio cambierà le proprie regole? Rilassatevi. Soprattutto se risiedete nella “regione europea” (che WhatsApp definisce qui e include la Svizzera), i cambiamenti sono minimi.

Per chi risiede in questa regione, valgono questi nuovi termini di servizio e vale questa informativa sulla privacy (entrambi sono disponibili in italiano e varie altre lingue); per chi sta altrove, invece, valgono questi termini e questa informativa. Colgo l’occasione per ricordare che nella regione europea il limite minimo di età per iscriversi è 16 anni ma 13 nel resto del mondo.

Nella regione europea, accettare i nuovi termini e la nuova informativa significa in sostanza che WhatsApp continuerà a non poter usare i dati che raccoglie per aiutare gli inserzionisti a mostrare annunci su Facebook (WhatsApp, insieme a Instagram, fa parte del gruppo delle aziende di Facebook): “Accettare i nuovi Termini di servizio non accresce la capacità di WhatsApp di condividere i dati degli utenti con la società madre, Facebook”, dice questa FAQ di WhatsApp.

Al di fuori della regione europea potrà invece usare questi dati, soprattutto per il servizio WhatsApp Business, come spiegato in questa pagina informativa. Le novità, infatti, riguardano soprattutto lo scambio facoltativo di messaggi con aziende che usano WhatsApp.

Se non accettate i nuovi termini (che inizialmente dovevano entrare in vigore l’8 febbraio ma sono stati posticipati al 15 maggio), il vostro account non verrà disabilitato o limitato immediatamente: ci sarà invece una riduzione graduale delle funzioni. Dopo alcune settimane potrete solo leggere e rispondere alle chat e ricevere chiamate ma non potrete avviare nuove conversazioni. Solo dopo altre settimane verrà tutto bloccato e sarete quindi considerati inattivi. 

In teoria, dopo 120 giorni di inattività, secondo le regole preesistenti di WhatsApp gli account inattivi vengono eliminati e quindi dovrebbe essere eliminato anche il vostro, se non avete accettato i termini nel frattempo. 

Restano invariate le altre regole: WhatsApp continuerà a non poter leggere il contenuto dei messaggi o ascoltare le chiamate e non condividerà i contatti con Facebook. WhatsApp ha pubblicato una pagina informativa di risposta alle domande più frequenti. Ma i garanti europei non sono soddisfatti e chiedono maggiore chiarezza e trasparenza.

Fonti aggiuntive: RSI, Cybersecurity360.it (anche qui), Gizmodo (anche e soprattutto qui), The Verge, Engadget.

Ultimo aggiornamento: 2021/05/06 10:40.

WhatsApp lo dice chiaro e tondo nelle FAQ: “non è possibile nascondere o disattivare il proprio stato online o sta scrivendo”. Inoltre tutti gli utenti di WhatsApp possono vedere le conferme di lettura e l’ultimo accesso effettuato di chiunque.

Questo vale anche se si imposta la visibilità di Ultimo accesso a Nessuno (in Impostazioni - Account - Privacy).

Vale anche se si imposta lo Stato come visibile a nessun contatto, andando in Impostazioni - Account - Privacy - Stato, perché quest’impostazione in realtà regola la visibilità dello Stato (un’immagine temporanea, simile alle Storie di Instagram o Snapchat), che è una cosa completamente diversa dallo stato online (che indica a tutti se siete online su WhatsApp) ma stupidamente ha un nome praticamente uguale.

In altre parole, queste impostazioni sono totalmente ingannevoli.

Siccome quindi non è possibile nascondere il proprio stato online, esistono siti che consentono di verificare se un utente è online sapendone soltanto il numero di telefonino e permettono persino di confrontare lo stato di due utenti per dedurre se stanno comunicando tra loro.

Lo ha segnalato Lorenzo Franceschi-Bicchierai su Vice.com, citando l’esistenza di varie app (che non nomina e che non mi sembra opportuno nominare qui) che si vantano pubblicamente di poter sapere con precisione quando qualcuno si è collegato a WhatsApp, con che probabilità due utenti hanno chattato nel corso della giornata, quando un utente è andato a dormire, quando si è svegliato e con quanti contatti hanno chattato. Si può anche sapere quanto tempo un utente ha trascorso online per ciascuna sessione di chat e si possono ricevere notifiche per essere avvisati quando quell’utente torna online.

In termini tecnici questo è cyberstalking, ed è una funzione integrata in WhatsApp. Non è un difetto o un bug: WhatsApp è proprio progettato così.

Ho provato uno di questi servizi su uno dei miei numeri, sul quale ho attivato WhatsApp, ed è decisamente impressionante. Ha rilevato correttamente i miei orari di attività in WhatsApp.

Ho poi creato una rubrica di numeri da monitorare e il servizio mi ha offerto informazioni non solo sulle ultime 24 ore ma anche su date passate. Ha identificato correttamente gli orari nei quali ho scambiato messaggi su WhatsApp:

Se per caso pensavate che le promesse di crittografia end-to-end di un’azienda che dipende dai dati personali degli utenti per guadagnare potessero essere una garanzia di riservatezza, forse vi conviene pensare di nuovo.

---

Rispondo qui a una domanda ricorrente: e Telegram? Nelle impostazioni (tre linee orizzontali/ingranaggio - Impostazioni) c’è la voce Privacy e sicurezza - Ultimo accesso e in linea, che permette di scegliere di non far vedere a nessuno il proprio stato. Su alcuni dispositivi bisogna confermare la scelta toccando il segno di spunta e poi OK. Questo farà vedere a tutti solo un orario approssimativo di ultimo accesso (una cosa del tipo “di recente, entro una settimana, entro un mese”, dicono le info interne dell’app Telegram).

Anche la Polizia di Stato italiana si associa all’allarme per i furti di account WhatsApp: in un comunicato, segnala e spiega la tecnica utilizzata dai ladri.

La vittima riceve un messaggio sul proprio telefonino con una richiesta apparentemente innocente: “Scusa, ti ho inviato per sbaglio un codice, me lo puoi rimandare?” o qualcosa di analogo. La vittima ha in effetti ricevuto pochi istanti prima via SMS un codice di sei cifre e quindi pensa di fare un favore al proprio interlocutore rimandandoglielo.

Ma è una trappola: il codice, infatti, è quello che WhatsApp manda all’utente quando si vuole trasferire il proprio account a un altro telefono o a un altro numero. Chi ha quel codice può prendere il controllo dell’account.

La trappola è particolarmente credibile perché spesso la richiesta di mandare il codice sembra arrivare da una persona che si conosce e di cui quindi ci si fida: in realtà, spiega la Polizia di Stato, solitamente il conoscente è “un’altra vittima della frode che ha già subito il furto dei dati, in particolare della rubrica, nella quale c’era anche il vostro numero di telefono”.

La difesa è semplice: se ricevete una richiesta di questo genere, per prima cosa ignoratela e non mandate nessun codice a nessuno. Se conoscete il mittente, contattatelo usando un altro canale (una telefonata o un incontro di persona) e avvisatela del problema. E se potete, segnalate il caso alle autorità. Per maggiore sicurezza, attivate l’autenticazione a due fattori (o verifica in due passaggi) su WhatsApp, spiegata qui.

Se il furto di account è già avvenuto, potete consultare le apposite FAQ di WhatsApp per tentare il recupero dell’account.

Wickr in Mr. Robot.

Ultimo aggiornamento: 2021/01/13 18:15.

Se siete tentati di lasciare WhatsApp, o almeno affiancargli un’alternativa, a causa dei recenti e confusionari cambiamenti delle sue regole di privacy, ci sono varie opzioni.

La prima è Telegram: l’app è gratuita, anche se sarà presto sostenuta dalla pubblicità nei canali pubblici e nei servizi business e premium (ma le funzioni di base resteranno gratuite e senza pubblicità, dice il fondatore, Pavel Durov). Telegram consente non solo di scambiare messaggi ma anche di fare videochiamate, ed esiste anche una versione Web che consente di usare Telegram sul computer (c’è anche un client per Windows, Mac e Linux). La cifratura (end-to-end) si ha però solo quando si usano le cosiddette chat segrete: le chat normali e le chat di gruppo non sono cifrate, e i messaggi non cifrati vengono custoditi sui server di Telegram. È insomma una buona soluzione per chi non vuole farsi tracciare pubblicitariamente dall’impero di Facebook/WhatsApp/Instagram, ma non è l’ideale per chi vuole proteggere le proprie conversazioni.

La seconda è Signal, che offre la stessa crittografia di WhatsApp, anche sulle chiamate audio e video, ed è disponibile anche in versione desktop. Soprattutto ha una normativa di privacy e delle condizioni di servizio ben più semplici di quelle chilometriche di WhatsApp, che ammontano a oltre 8000 parole in legalese stretto.

Segnalo anche Threema, che non richiede di associarvi un numero di telefono, è open source e offre crittografia end-to-end e una versione web. In più è un’app svizzera, conforme al GDPR, che non raccoglie dati personali perché si mantiene con un piccolo costo iniziale e con i servizi alla clientela business.

Infine cito Wickr, crittografatissimo e gratuito in versione personale ma a pagamento in versione business. Molti lo conosceranno per le sue apparizioni nella serie TV hacking-centrica Mr. Robot.

La scelta non manca, insomma: il vero problema è convincere gli altri a usare la stessa app che usiamo noi. In questo senso WhatsApp è assolutamente dominante, ma nulla vieta di usare più di una app di messaggistica.

Ultimo aggiornamento: 2021/01/13 9:20.

Si sta diffondendo la notizia che WhatsApp ha aggiornato i propri termini di servizio e da febbraio 2021 obbligherà i suoi utenti a condividere informazioni personali con Facebook e le altre società del gruppo Facebook. Molti temono che questo significhi che non ci sarà più privacy in WhatsApp. Non è proprio così. Per gli utenti europei non cambia praticamente nulla: restano i problemi di privacy che c’erano già prima.

Infatti dalla novità sono esclusi gli utenti della cosiddetta regione europea, che include la Svizzera e che è servita da WhatsApp Ireland Limited (la cui informativa sulla privacy in italiano è qui). Questa maggiore protezione europea è frutto del GDPR, come fa notare Cybersecurity360.it, dove trovate anche altri dettagli sui cambiamenti di WhatsApp.

Il resto del mondo segue regole differenti, descritte qui: dall’8 febbraio prossimo gli utenti dovranno accettarle per poter continuare a usare WhatsApp. 

Tutti gli utenti verranno allertati dell’aggiornamento dei termini di servizio da un apposito avviso dell’app, mostrato qui accanto. L’avviso per la regione europea sarà diverso ed è mostrato qui sotto. Tutti dovranno accettarlo per poter continuare a usare WhatsApp.

È un bel dietrofront rispetto alle promesse fatte nel 2014, quando WhatsApp fu comprato da Facebook: il CEO di allora, Jan Koum, aveva scritto che ci teneva davvero tanto alla privacy. Ma nel 2018 Koum se n’è andato altrove.

I dati che verranno condivisi con Facebook saranno i nomi, le foto di profilo, gli aggiornamenti di stato, i numeri di telefono, gli elenchi dei contatti, gli indirizzi IP, le informazioni tecniche sul proprio dispositivo come marca e modello, versione di sistema operativo e operatore telefonico; se interagiscono con aziende tramite WhatsApp, Facebook riceverà gli indirizzi postali di spedizione e gli importi spesi in acquisti.

La notizia ha generato un certo clamore mediatico, e WhatsApp si è affrettata a chiarire che appunto i cambiamenti riguardano “soltanto” gli utenti non europei e che comunque non condividerà con Facebook neppure i dati personali degli utenti non europei che hanno in passato scelto l’opzione di non condividere i propri dati con il social network.

Va ricordato che WhatsApp ha già ora dei problemi di privacy: se lo usate, prende tutti i numeri di telefono della vostra rubrica, anche quelli degli amici che vi hanno confidato il loro numero chiedendo di tenerlo riservato, e li passa a Facebook. Il contenuto delle conversazioni fatte con WhatsApp è protetto dalla crittografia, ma tutti i dati di contorno (metadati) no: WhatsApp (e quindi Facebook) sa con chi parlate, quando parlate, quanto parlate, se mandate foto o video o messaggi vocali, chi sono i vostri amici, eccetera eccetera. Già questi dati sono sufficienti per profilarvi a scopo pubblicitario.

Se volete sottrarvi allo sfruttamento commerciale dei vostri dati da parte di Facebook, cambiate app in favore di alternative come Signal o Telegram o Threema.

In sintesi: grande confusione per i due miliardi di utenti di WhatsApp. Che succede per esempio ai dati di una comunicazione fra un utente europeo e uno non europeo? Non è chiaro. Forse, appunto, si fa prima a cambiare app in favore di qualcos’altro di maggiormente rispettoso della privacy o perlomeno sganciato dalla galassia succhiadati di Facebook.

Fonti: The Register, Punto Informatico, Ars Technica.