Un ricercatore di sicurezza ha trovato una backdoor nel servizio di crittografia end-to-end utilizzato da WhatsApp. Questa vulnerabilità permetterebbe a Facebook di leggere i messaggi inviati tramite un servizio solo apparentemente sicuro, oltre a rendere possibile per l’azienda rispettare le ordinanze dei tribunali e degli enti governativi che chiederanno la condivisione dei messaggi per le indagini di una certa rilevanza.
La crittografia end-to-end, infatti, rende normalmente impossibile (anche alla società che gestisce il servizio) decifrare i messaggi condivisi tra gli utenti. Peccato, però, che il ricercatore di sicurezza Tobias Boelter abbia scoperto una backdoor all’interno del sistema di crittografia presente in Whatsapp.
Questo significa che Facebook può forzare un cambiamento nella chiave di cifratura e superare tale crittografia. Cambiata questa chiave, tutti i messaggi potrebbero essere carpiti dall’azienda, senza che il destinatario se ne possa accorgere. Al mittente, invece, il cambiamento nella chiave di crittografia viene notificato solo se ha attivato gli avvisi di crittografia nelle impostazioni dell’app, e solo dopo che i messaggi sono stati inviati.
In pratica, questa ri-codifica permette a WhatsApp e Facebook di intercettare e leggere i messaggi degli utenti. Dato che WhatsApp si basa sul protocollo Open Whisper Systems utilizzato da altre app che non hanno questa backdoor, ci si chiede se quella di Facebook sia stata una svista o un atto deliberato.
Boelter afferma di aver informato Facebook già nel mese di aprile, con l’azienda che avrebbe confermato che tale comportamento era “ampiamente previsto“. Questo significa che i tribunali e gli enti governativi possono ora chiedere tale backdoor a Facebook, così da poter avere a disposizione i messaggi condivisi dagli utenti coinvolti in un’indagine.
The Guardian ha confermato che la backdoor esiste ancora oggi, ma non sappiamo se questa chiave viene attivata a piacere da Facebook, o soltanto su richiesta di governi e tribunali.