La Repubblica: Signal, Telegram e WhatsApp: il meglio e il peggio delle app per chattare

la-repubblica-it-logo

Signal, Telegram e WhatsApp: il meglio e il peggio delle app per chattare

A capodanno gli utenti di WhatsApp hanno inviato oltre 100 miliardi di messaggi in sole 24 ore. Adesso che il Coronavirus ci obbliga a mantenere le distanze la famosa app di messaggistica di sicuro avrà superato quel traguardo. Se la forza di WhatsApp è l’abitudine e l’ideologia quella di Telegram, sempre unite alla gratuità, oggi che gli operatori regalano messaggi illimitati il caro vecchio Sms potrebbe prendersi la sua piccola rivincita: perfino Google ha annunciato gli Sms 2.0. Ma quali sono le app di messaggistica più sicure?

I messaggi su WhatsApp sappiamo che possono essere spiati. La conferma viene dalla causa che Facebook, proprietaria di WhatsApp, ha intentato a NSO group, azienda israeliana di cybersecurity, per avere utilizzato la popolare app di messaggistica per sorvegliare giornalisti, attivisti e difensori della privacy. Ovviamente non si è trattato di un’operazione semplice. Non riuscendo a violare il sistema crittografico di WhatsApp la NSO ha creato un malware apposito in grado di consentire l’accesso ai contenuti dei suoi utenti con una semplice telefonata. Una volta aggiornato WhatsApp l’exploit, il trucco, non ha più funzionato.

E tuttavia la reputazione di WhatsApp ne ha risentito, favorendo due concorrenti: Telegram e Signal. E adesso che il loro uso si sta diffondendo. Persino la Commissione europea ne suggerisce l’uso, o almeno pare averlo fatto per Signal.
Poche settimane fa la Commissione ha fornito le linee guida per l’uso della messaggistica istantanea via WhatsApp, Messenger, Skype, Telegram, eccetera, per ragioni di servizio, suggerendo le applicazioni open source come Signal quando non occorre un livello di sicurezza ancora superiore, caso in cui vanno usati altri sistemi. Ma di fatto ha espresso sfiducia verso le app più popolari come WhatsApp e Messenger. Però Signal usa lo stesso sistema di crittografia end-to-end (E2E) delle app di Facebook come Messenger e WhatsApp per proteggere le comunicazioni riservate dall’occhio indiscreto di hacker, criminali e degli stessi operatori. Quali sono le differenze?

Uno spirito diverso

Intanto diciamo che le app di messaggistica ormai utilizzano tutte la crittografia E2E, cioè i messaggi non possono essere letti da un eventuale spione che si intrufola nella comunicazione, proprio perché cifrati. E il sistema di cifratura è lo stesso di Signal, realizzato da Trevor Perrin e Moxie Marlinspike nel 2013 proprio con l’obiettivo di garantire la privacy di tutti. Dall’app Textsecure e RedPhone è nata l’app Signal. Il suo protocollo di cifratura è stato acquistato da WhatsApp nel 2016, usato da Messenger di Facebook, ed è stato pure implementato in Skype di Microsoft. Nel frattempo Moxie e i suoi compagni hanno creato la startup Open Whisper System per migliorare l’app Signal che consente messaggi, chat di gruppo e chiamate vocali a prova di spione secondo un modello collaborativo e solidale. Il protocollo di cifratura adesso si chiama Signal protocol.

Signal, a differenza di WhatsApp, è gestito da una fondazione. E la fondazione riceve fondi e finanziamenti da singoli individui e supporto finanziario dalla Electronic Frontier Foundation e dall’Associazione americana per le libertà civili (ACLU). Il suo modello di business è quindi basato sulle donazioni e non sulla monetizzazione dei dati degli utenti. Ed ha appena ricevuto in regalo 50 milioni di dollari da Brian Acton (il creatore di WhatsApp).

Per garantire la sua indipendenza Signal ha sempre dichiarato di non conservare i metadati delle conversazioni. Il contrario di WhatsApp. Uno dei motivi per cui gli viene preferito.

Una diversa gestione dei dati

Infatti seppure il percorso del messaggio dal mittente al destinatario è illeggibile al “man in the middle”, lo spione in agguato, grazie alla crittografia E2E, questo non vale per i metadati: con chi, per quanto tempo e da dove abbiamo comunicato. Cose molto sensibili. WhatsApp conserva i metadati in forma non cifrata, come pure Telegram, l’altra app concorrente e creata da due russi, i fratelli Nikoli e Pavel Durov, noti avversari del regime di Vladimir Putin.

I metadati, cioè data e ora di invio, i numeri di telefono del mittente e del destinatario, la loro localizzazione possono fornire ad un soggetto terzo informazioni importanti a un malintenzionato e per questo Signal conserva solo il numero di telefono, la data di registrazione dell’account e l’ultima connessione ai server.
Inoltre con Signal i messaggi non vengono salvati nel backup di iCloud o iTunes mentre con Android la funzione di backup può essere utilizzata solo per trasferire i messaggi da uno smartphone ad un altro. Al contrario, con WhatsApp il backup delle chat può essere salvato al di fuori dello smartphone (sul cloud) e non è crittografato.
Eppure WhatsApp ha circa il 70% del mercato dei software di Instant Messaging con 2 miliardi di utenti connessi ogni giorno al suo circuito. Il motivo è sicuramente il marketing. Ma anche il fatto che è nata prima in un contesto in cui scambiarsi SMS costava parecchio: era il 2009. Nel primo mese dalla nascita WhatsApp aveva già raggiunto un milione di utenti. Telegram ne ha 300 milioni e Signal non sappiamo quanti ne ha oggi.

A favore di Signal

  • Realizzato con l’obiettivo di garantire la privacy
  • Basato su software free ed open source
  • Consente telefonate e audio cifrati
  • Consente messaggi a scomparsa
  • Non conserva i messaggi sui server
  • Non conserva i metadati
  • Oggetto di analisi indipendente del software

Contro Signal

  • Qualche perdita di segnale telefonico in assenza di wi-fi
  • Con una piccola base di utenti non riesce ancora a sfruttare l’effetto rete

A favore di WhatsApp

  • Usa la crittografia end to end
  • Leader di mercato, lo usano tutti
  • I messaggi sono cifrati in automatico
  • Telefonate, audio e video sono cifrati

Contro WhatsApp

  • Timori di un utilizzo scorretto dei dati da parte di Facebook
  • Non è open source
  • Conserva i messaggi
  • Conserva i metadati
  • Non rende note le analisi indipendenti del software

A favore di Telegram

  • Interfaccia semplice
  • Messaggi a scomparsa
  • Funzione di condivisione di file pesanti
  • Creazione di gruppi fino a 200 mila utenti
  • Consente di editare i messaggi inviati al gruppo
  • Non si deve esporre il numero di telefono per chattare

Contro Telegram

  • Le chat di default non sono cifrate
  • La crittografia funziona solo per le chat segrete
  • Il software è in parte proprietario
  • La base di utenti è più ristretta di WhatsApp

Nonostante la scelta di ciascuna app dipenda dal rischio percepito di ognuno, dalla consapevolezza dell’importanza della privacy e della libertà che consente, gli elementi di debolezza di queste app per comunicare in maniera riservata sono tuttavia sempre gli stessi: le implementazioni errate del software non ancora scoperte; la compromissione del dispositivo; eventuali “backdoor” aziendali o governative.

Per quanto sia potente la crittografia end-to-end se uno dei due ‘end point’ che comunicano è già stato violato, uno spione potrà leggere i dati prima che vengano cifrati. Il punto debole può essere insomma il dispositivo stesso, che si tratti di uno smartphone, un computer, un tablet, una consolle per videogame. Per questo strumenti come i captatori informatici governativi o i virus trojan rivestono una straordinaria importanza in questo tipo di attacchi.
Perciò gli esperti suggeriscono di non lasciare mai il telefono incustodito, di installare le app per la comunicazione sicura sui telefoni appena comprati, o almeno di scansionarli con un antivirus e aggiornare sempre sistema operativo e app usate. Facendo molta attenzione a usare un codice di sblocco complesso e dove possibile la doppia autenticazione.

Un elemento che può fare la differenza nella scelta delle app è se mantengono o no i dati sui loro server. Facebook, proprietaria di WhatsApp, essendo soggetta alle leggi antiterrorismo americane, ad esempio, come il famoso Patriot act, la legge antiterrorismo post 11 settembre che sta per esser innovato, offre un facile accesso ai dati che sono eventualmente richiesti dal governo.

E questo potrebbe essere proprio il motivo della preferenza dei burocrati di Bruxelles che, scambiandosi tonnellata di email gestite dalle piattaforme Usa (Gmail, Hotmail, Outlook), cercano di sottrarsi almeno nella messaggistica agli oligopoli americani. Ma l’hanno fatto esprimendo una posizione tecnica e non politica che gli analisti hanno interpretato come un sostegno verso l’industria crittografica continentale. I tradizionali messaggi di testo e le telefonate infatti non possono essere crittografate per consentire alla autorità di sorvegliarli mentre i sistemi di messaggistica non sono ancora regolati. Ma almeno i tradizionali Sms rimangono nelle mani delle società telefoniche e per averli ci vuole un mandato del giudice. Chissà. La materia sarà oggetto di dibattito nei prossimi mesi in Europa, Coronavirus permettendo.