Ha fatto scalpore la
notizia, pubblicata da Reuters, che dei ricercatori informatici (Collin Anderson e Claudio Guarnieri) hanno denunciato la violazione di alcuni account della popolare app di messaggistica cifrata
Telegram appartenenti ad attivisti politici iraniani e sono riusciti a identificare i numeri di telefono di circa 15 milioni di utenti Telegram del paese. L’annuncio ha creato dubbi sull’effettiva riservatezza delle comunicazioni effettuate con quest’app.
Le violazioni sono avvenute sfruttando il fatto che Telegram utilizza gli SMS per abilitare nuovi dispositivi all’uso di un account. Se questi SMS vengono intercettati, per esempio tramite l’operatore della rete cellulare, un intruso può aggiungere un nuovo dispositivo a un account e quindi ricevere i messaggi scambiati dall’utente di quell’account e leggere le cronologie delle chat. Questo significa che Telegram è vulnerabile nei paesi nei quali gli operatori telefonici collaborano strettamente con i governi.
Secondo i responsabili di Telegram, tuttavia, la vulnerabilità è risolvibile evitando di usare gli SMS di verifica e usando al loro posto una password robusta e una casella di mail ben protetta, ossia la
verifica in due passaggi introdotta da Telegram l’anno scorso.
L’identificazione di massa degli utenti, invece, è stata
liquidata da Telegram come un non problema, perché
“sono stati raccolti soltanto dati pubblicamente disponibili” e non sono stati violati gli account. Ma in realtà sapere chi usa Telegram, e saperlo in modo massiccio come in questo caso, è comunque un problema di sicurezza per gli utenti.
Una catalogazione di massa degli utenti Telegram di un paese consente infatti ai governanti di sapere chi sente il bisogno di comunicare in modo segreto. Come mai lo fa? Cos’ha da nascondere? In molti paesi il solo fatto di usare app che fanno cifratura è considerato sospetto. Avendo i numeri di telefonino degli utenti Telegram, un governo può non solo identificare gli utenti, ma sapere dove abitano, chi chiamano e dove si trovano. In caso di manifestazione in piazza, per esempio, un governo può usare la rete cellulare per sapere chi ha partecipato e quali dei partecipanti usano Telegram e quindi sono più sospetti.
Come sempre, insomma, si può sapere molto di una persona anche senza intercettare il
contenuto delle sue comunicazioni ma sfruttando soltanto i
metadati che le descrivono: con chi ha comunicato, a che ora, per quanto tempo, e dove si trovavano gli interlocutori. È meglio tenerlo ben presente prima di fidarsi ciecamente delle promesse di sicurezza offerte dalle app di messaggistica.
Fonti: Sophos, @pwnallthethings.