La Crittografia End-To-End Di WhatsApp
Articolo pubblicato su "Il Quotidiano del Molise" del 20-06-2016
Articolo pubblicato su "www.isernianews.it" il 18-06-2016
(…e la vulnerabilità dell’SS7)
Nella sua ultima versione, WhatsApp, nota app di messaggistica istantanea, ha introdotto la c.d. crittografia “end-to-end”, ossia una specie di “lucchetto” le cui chiavi crittografiche sono note solo agli utenti che stanno instaurando una comunicazione personale. La crittografia end-to-end viene attivata automaticamente dall’app e segnalata all’inizio di ogni chat privata con una breve notifica. Questa tecnologia impedisce che terzi (WhatsApp compreso!) possano leggere i messaggi inviati e ricevuti o le stesse conversazioni audio che avvengono tra i due corrispondenti.
La scelta di adottare la crittografia end-to-end è dovuta al fatto che, molto spesso, gli utenti di WhatsApp comunicano e condividono informazioni personali e riservate. Pertanto, crittografando i messaggi, le foto, i video, i messaggi vocali, i documenti e le stesse chiamate, la Facebook Inc., ha voluto evitare che finissero in “mani sbagliate” di terzi “impiccioni”, garantendone la privacy. Con questa miglioria, l’azienda che diffonde ed implementa WhatsApp, ha voluto imitare il funzionamento di un’altra app di messaggistica istantanea: Telegram.
A differenza di WhatsApp, infatti, Telegram ha da sempre dato ai suoi utilizzatori la possibilità di cifrare punto-a-punto la conversazione attraverso “Chat Segrete”, anche se, di contro, questa particolare modalità impedisce di sincronizzare le conversazioni tra diversi dispositivi! Telegram offre ai suoi utenti anche la possibilità di impostare, per ogni messaggio, un “timer di distruzione”, ossia un tempo, scaduto il quale, il messaggio – con tutti i suoi allegati – viene automaticamente cancellato dopo essere stato visionato dal destinatario!
Tuttavia, nonostante l’uso diffuso della crittografia end-to-end, alcuni ricercatori (Tobias Engel, fondatore di “Sternraute” e Karsten Nohl, capo scienziato della “Security Research Labs”) sono riusciti a introdursi in diverse conversazioni private, scoprendo e sfruttando una falla dell’SS7. Il “Signaling System N.7” è un set standardizzato di protocolli di segnalazione utilizzati nelle reti telefoniche PSTN di tutto il mondo.
L’SS7 gestisce le chiamate, gli SMS, le fatturazioni dei sistemi prepagati, la traduzione del numero chiamato o chiamante, ed altri numerosi servizi utilizzati dai gestori telefonici. Le reti telefoniche mondiali sono interconnesse tra loro ed il protocollo SS7 serve proprio a controllare e gestire le chiamate che avvengono tra le varie reti. Engel e Nohl hanno dimostrato che l’inoltro di un particolare comando, dalla rete di un paese a quella di un altro, obbligherebbe la rete della vittima ad inoltrare le chiamate anche verso il cellulare di chi attacca, intercettando e controllando, così, conversazioni in entrata ed in uscita!
Sarebbe possibile anche ordinare alla rete della vittima di utilizzare una crittografia temporanea, debole e, pertanto, decifrabile. La vulnerabilità ha avvalorato che è più importante incrementare la sicurezza del protocollo per le interconnessioni che quella delle proprie reti telefoniche! Gli attacchi di Engel e Nohl sono riusciti a bypassare completamente la crittografia end-to-end delle comunicazioni private perché ha sfruttato una vulnerabilità che è, invece, presente nel canale comunicativo su cui esse avvengono, riuscendo perfino a monitorare la posizione geografica degli utenti!
Proteggere i software di comunicazione senza prima pensare all’infrastruttura su cui essi poggiano è come “proteggere la porta d’ingresso di una casa, mantenendo aperta quella sul retro! (cit. T. Engel)”. Probabilmente, i due ricercatori non sono stati i primi a scoprire questa falla nel protocollo, ma essa, nota da tempo, potrebbe essere già stata utilizzata (anche) da governi e da servizi segreti per compiere intercettazioni! I test penetrativi condotti dai due ricercatori sono stati effettuati, infatti, sul oltre 20 reti mondiali ed hanno sempre avuto successo a prescindere dalla nazionalità e dal tipo di rete analizzata!
I-Forensics Team
VISUALIZZA l'articolo sul "Il Quotidiano del Molise" <- - - - - - - > VISUALIZZA l'articolo su "IserniaNews