Whatsapp – Attivissimo.me

Centomila messaggi WhatsApp a spasso: ma non c’era la crittografia end-to-end?

2023-03-09
di Paolo Attivissimo
crittografia, PodcastRSI, radio, Whatsapp

Centinaia di milioni di persone nel mondo usano WhatsApp per comunicare ogni
giorno, e molte di queste persone affidano a questa app confidenze e segreti
contando sulla sua promessa di crittografia end-to-end: tutti i
messaggi sono cifrati e non possono essere letti neppure dai dipendenti di
Meta, la società che possiede WhatsApp.

È una promessa molto forte, dichiarata dall’avviso che compare nell’app ogni
volta che si inizia una conversazione con un nuovo contatto:
“I messaggi e le chiamate sono crittografati end-to-end. Nessuno al di
fuori di questa chat, nemmeno WhatsApp, può leggerne o ascoltarne il
contenuto.”

Ma allora come è possibile che oltre centomila messaggi WhatsApp
privati siano stati resi estremamente pubblici in questi giorni? È quello che
sta succedendo con i cosiddetti Lockdown files, una raccolta di
messaggi WhatsApp risalenti al 2020 e 2021 e scambiati fra l’allora ministro
della sanità britannico Matt Hancock e vari esponenti del governo del paese
durante il lockdown legato alla pandemia.

Il giornale britannico
Telegraph
è entrato in possesso di tutti questi messaggi molto delicati e sta
pubblicando man mano quelli più significativi, che rivelerebbero errori e
manchevolezze della gestione governativa della crisi sanitaria.

Ma quello che conta, dal punto di vista informatico, è capire come il
Telegraph
sia riuscito a scavalcare la crittografia end-to-end di WhatsApp: un
dettaglio che
non sempre viene raccontato
dalle fonti giornalistiche
che stanno pubblicando articoli sulla vicenda britannica.

Hacking supersofisticato? Intervento degli esperti crittografi militari? Una
falla nelle sicurezze di WhatsApp? Niente di tutto questo. La crittografia
end-to-end, che si chiama così appunto perché protegge la comunicazione
da un capo all’altro, è stata sbaragliata semplicemente ottenendo accesso a
uno di questi capi.

Il ministro Hancock aveva infatti affidato alla giornalista Isabel Oakeshott
l’incarico di aiutarlo a scrivere la propria autobiografia del periodo
pandemico, e per questo lavoro le aveva dato pieno accesso a tutti i suoi
messaggi WhatsApp. La giornalista aveva firmato un accordo di riservatezza, ma
ora lo ha violato sostenendo che la pubblicazione di questi messaggi è di interesse
pubblico. E così la crittografia non è servita a nulla.

Questo è un principio spesso dimenticato nella sicurezza delle informazioni:
il segreto non è soltanto questione di tecnologia, ma dipende anche dai fattori
umani. Se uno dei partecipanti a una conversazione digitale cifrata rivela
tutto, non c’è promessa crittografica che tenga. E questo vale in particolar
modo per i gruppi, su WhatsApp o su qualunque altra piattaforma di
messaggistica cifrata: più sono numerosi i partecipanti, più è facile che uno
di loro si lasci sfuggire qualcosa o decida di violare il segreto. E ne basta
uno solo. Anche se non siete ministri, pensateci la prossima volta che
condividete un commento o un selfie discutibile fidandovi della
crittografia.

Fonti:
Washington Post,
Sky News, Channel 4, BBC.

WhatsApp, utente cambia numero di telefono e si ritrova i messaggi di qualcun altro

2023-02-24
di Paolo Attivissimo
furto di account, PodcastRSI, privacy, radio, Telegram, Whatsapp

Ultimo aggiornamento: 2023/02/22 17:35.

Scavalcare la crittografia end-to-end di WhatsApp e leggere tutti i
messaggi di un altro utente è facile. Così facile che può capitare addirittura
per caso: basta avere il numero di telefono di quell’utente (in altre parole,
è sufficiente essere un end di quell’end-to-end).

The Register
e
Gizmodo
hanno pubblicato il racconto della disavventura capitata a un utente europeo
che ha involontariamente avuto accesso a tutti i messaggi privati e ai gruppi
WhatsApp di un’altra persona.

L’utente diventato intruso per caso si chiama Ugo e per molto tempo ha avuto
un account WhatsApp legato al suo numero di telefono cellulare svizzero. A
ottobre scorso si è trasferito in Francia per lavoro e si è procurato un
numero di telefono cellulare francese, con relativa SIM nuova. Durante tutto
questo periodo ha continuato a usare WhatsApp senza problemi, ricevendo e
mandando messaggi come al solito.

Alla fine del mese di ottobre 2022 ha cambiato il proprio numero nell’app di
WhatsApp, dando quello francese. A quel punto il suo telefono è stato inondato
da tutti i gruppi e i messaggi personali e di lavoro di qualcun altro, quasi
tutti in italiano, e la sua foto di profilo è diventata quella di quella
persona (una donna). Ugo ha cercato di spiegare ai suoi interlocutori che lui
non era la persona con la quale credevano di parlare, ma senza molto successo.

In pratica, senza volerlo Ugo aveva preso il pieno controllo dell’account
WhatsApp di un’altra persona a lui sconosciuta.

Il padre di Ugo, che per lavoro ha esperienza nel settore e che ho contattato
direttamente via mail, mi ha spiegato che ha usato l’apposita
pagina di segnalazione di Meta
per avvisare del possibile bug di sicurezza: la risposta di Meta è
stata che non è un difetto di WhatsApp, ma è un problema degli operatori
telefonici, che riutilizzano i numeri di telefono.

Fra l’altro, si tratta di un problema noto e addirittura
documentato nelle FAQ di WhatsApp:

Tutti gli account WhatsApp sono collegati a un numero di cellulare. Dal
momento che riutilizzare i numeri di telefono è una prassi piuttosto comune
per gli operatori di telefonia mobile, è possibile che il precedente
proprietario del tuo numero di telefono usasse WhatsApp.
Se la persona
che usava il numero prima di te non ha eliminato il suo account WhatsApp, sia
tu che i tuoi contatti potreste vedere il numero su WhatsApp prima
dell’attivazione del tuo nuovo account. Potresti anche vedere che il tuo
numero di telefono è associato alla foto del profilo e alla sezione Info di
qualcun altro.
Non devi preoccuparti. Questo significa solo che l’account
precedente non è stato eliminato e nel sistema sono ancora presenti le vecchie
informazioni. Il precedente proprietario del tuo numero non avrà alcun tipo di
accesso all’account WhatsApp che attiverai con il tuo nuovo numero di
telefono. Le tue conversazioni e gli altri dati WhatsApp sono protetti.
Monitoriamo
l’inattività degli account per evitare eventuali confusioni provocate dal
riutilizzo dei numeri di telefono. Se un account non viene utilizzato per 45
giorni e quindi viene attivato nuovamente su un dispositivo mobile differente,
presumiamo che il numero sia stato riutilizzato. Quando si verificano queste
situazioni, eliminiamo i dati del vecchio account collegati al numero di
telefono, come ad esempio la foto del profilo e la sezione Info.

In pratica, qualche tempo prima la donna di cui Ugo stava leggendo i messaggi
WhatsApp aveva chiuso il numero di telefonino che usava per WhatsApp. Quel
numero era tornato disponibile e l’operatore telefonico lo aveva riutilizzato,
assegnandolo a Ugo.

Questa possibilità di accedere ai messaggi WhatsApp di un altro utente è una
falla di privacy considerevole, e il bello è che è nota
almeno da tre anni. Se qualcuno ha modo di farsi dare dall’operatore telefonico una SIM che ha
il numero della persona presa di mira, può leggerne tutti i messaggi. È una
tecnica chiamata SIM swap: i criminali informatici la usano contattando
gli operatori telefonici e spacciandosi per la vittima, chiedendo una SIM
nuova perché, dicono, quella corrente non funziona più o è stata smarrita. Nei
paesi nei quali gli operatori non verificano attentamente l’identità degli
utenti, la SIM nuova finisce nelle mani del criminale, che a quel punto può
ricevere tutti gli SMS di autenticazione dei vari servizi online della vittima
e prendere il controllo in particolare delle sue piattaforme social.

Nel caso di Ugo non c’è stata alcuna intenzione criminosa, ma la sua vicenda
dimostra che la riservatezza dei messaggi online non è robusta come molti
pensano.

Per contenere questo problema dei numeri riciclati, normalmente gli operatori
hanno un periodo piuttosto lungo di cosiddetta “quarantena”, durante il quale
il numero non viene riassegnato a nessuno, e WhatsApp dichiara che se si
accorge che un account non viene usato per un mese e mezzo e poi ricomincia a
essere usato su un dispositivo nuovo, eliminerà i dati del vecchio account. Ma
a Ugo e alla donna che è diventata sua vittima non intenzionale non è andata
così, perché l’account della donna non era inattivo. La donna aveva
cambiato numero di telefono e aveva continuato a usare WhatsApp sul nuovo
numero, ma senza cambiare il numero nell’app.

Infatti se non si avvisa WhatsApp del cambio di numero, WhatsApp continua a
credere che l’account sia associato ancora al numero vecchio, come dimostra il
padre di Ugo con un video dettagliatissimo, in cui usa due numeri di telefono
svizzeri e fa vedere che scambiando le SIM i due utenti, chiamiamoli Andrea e
Beatrice, continuano a ricevere i messaggi dei rispettivi account WhatsApp
come se niente fosse, nonostante lo scambio di SIM nei loro telefoni.

Ma se Andrea avvisa WhatsApp del cambio di numero, il suo telefono comincia a
ricevere i messaggi WhatsApp di Beatrice, perché il telefono di Andrea
contiene la SIM che prima era nel telefono di Beatrice.

Normalmente WhatsApp protegge il cambio di numero contro gli abusi inviando al
numero vecchio un SMS contenente un codice di sicurezza. Ma in questo
caso il vecchio numero di Beatrice ora ce l’ha Andrea, che quindi riceve il
codice e ha tutto il necessario per prendere il controllo dell’account
WhatsApp di Beatrice.

Va chiarito che questa tecnica non consente accesso ai messaggi
passati di WhatsApp: permette di leggere soltanto i messaggi che sono
stati inviati al proprietario precedente del numero dopo che il nuovo
proprietario ha usato quel numero per WhatsApp. Ma già così, ricevere le
comunicazioni e le foto destinate a un’altra persona e poterla impersonare
online, senza che quella persona lo sappia, è parecchio invadente e
preoccupante.

Va anche sottolineato che questa situazione offre un canale di sorveglianza
molto semplice alle forze di polizia: è sufficiente che chiedano all’operatore
telefonico di generare una seconda SIM con lo stesso numero e avranno accesso
ai messaggi WhatsApp inviati alla persona sorvegliata. Nel caso di altri
sistemi di messaggistica, come Telegram, che conservano i messaggi sui propri
server, questa tecnica probabilmente consente anche di recuperare tutti i
messaggi passati.

Noi utenti possiamo ridurre il rischio di violazioni della privacy come questa
con due passi piuttosto semplici. Il primo è attivare l’autenticazione a due
fattori su WhatsApp, sotto
Impostazioni – Account – Verifica in due passaggi. Il secondo è
avvisare WhatsApp se cambiamo numero, andando in
Impostazioni – Account – Cambia numero. Andrebbe fatto comunque, perché
altrimenti in caso di qualunque problema con il vostro account, WhatsApp non
potrà validarvi tramite il numero di telefono. Se infine decidete di smettere
di usare WhatsApp per qualunque motivo, ricordatevi prima di tutto di
eliminare l’account andando sempre in
Impostazioni – Account – Elimina account.

Aggiornate subito WhatsApp per chiudere due falle critiche

2022-09-29
di Paolo Attivissimo
aggiornamenti software, PodcastRSI, radio, Whatsapp

Il 27 settembre scorso è stato rilasciato un aggiornamento di sicurezza molto
importante per WhatsApp per Android e iOS, che va installato appena possibile,
perché chiude
due falle
estremamente gravi che permettono a un aggressore di prendere il controllo
degli smartphone semplicemente avviando una videochiamata oppure inviando alle
vittime un video appositamente alterato.

Le falle sono identificate formalmente con le sigle CVE-2022-36934 e
CVE-2022-27492. La prima è presente in WhatsApp normale e in WhatsApp Business
per Android e per iOS nelle versioni prima della 2.22.16.12; la seconda è
presente in Whatsapp per Android nelle versioni prima della 2.22.16.2 e in
WhatsApp per iOS nelle versioni prima della 2.22.15.9.

Se vi perdete nei numeri di versione, nessun problema: è sufficiente che
aggiorniate WhatsApp alla versione più recente disponibile su Google Play su
App Store.

Per gli amanti dei dettagli, la prima falla è un classico
integer overflow, ossia una situazione in cui un valore intero usato nell’app diventa troppo
grande per lo spazio che gli è stato assegnato, un po’ come quando occorre
compilare un formulario e le caselle a disposizione non bastano per immettere
il numero che bisogna scrivere. Questo produce un errore di calcolo, e se il
risultato di quel calcolo viene usato per controllare il comportamento
dell’app, l’errore può portare a problemi di sicurezza.

La seconda falla è invece l’esatto contrario, vale a dire un
integer underflow, un errore nel quale un calcolo produce un risultato troppo piccolo, per
esempio una sottrazione di un numero grande da un numero più piccolo che
produce un valore negativo in una situazione nella quale i valori negativi non
sono previsti.

Se pensate che questo tipo di falla sia troppo esotico per essere sfruttato,
tenete presente che una vulnerabilità analoga che c’era nelle chiamate vocali
di WhatsApp è stata utilizzata nel 2019 da una società che produce software
spia, NSO Group, per iniettare un suo programma di sorveglianza nascosta,
denominato
Pegasus, negli smartphone di bersagli politici, docenti, avvocati e collaboratori di
organizzazioni non governative.

Fonte aggiuntiva:
The Hacker News.

Come difendersi dai finti sondaggi sui telefonini: abboccare costa caro

2022-02-01
di Paolo Attivissimo
ReteTreRSI, SMS, SMS premium, truffe, Whatsapp

Credit: 20min.ch

Se ricevete sul telefonino, per esempio tramite WhatsApp, un invito a partecipare a un sondaggio che potrebbe farvi vincere dei soldi, lasciate perdere e non rispondete, anche se il sondaggio presenta un marchio famoso: è con tutta probabilità un tentativo di truffa che può svuotarvi il portafogli.

In queste ore circola in Svizzera un allarme specifico per un sondaggio diffuso tramite WhatsApp: ostenta marchi noti, come Migros e IKEA, ma non è organizzato da queste aziende o da WhatsApp. Promette una carta regalo da 150 o 500 franchi ma in realtà induce l’utente a immettere il proprio numero di telefonino e altri dati, sottoscrivendo un abbonamento a un servizio SMS premium nel quale ogni messaggio costa 5 franchi (circa 4,6 euro), prelevati tre volte a settimana. Un mese di quest’abbonamento costa insomma circa 60 franchi (circa 55 euro), addebitati in bolletta.

Nel caso del sondaggio attribuito fraudolentemente alla Migros viene citato il sito migros.geschenkkarten-aktion.com, che secondo Domaintools è stato creato il 12 ottobre scorso e non è intestato a Migros ma a una società di anonimizzazione statunitense, PrivacyGuardian.org.

Difendersi da questo genere di raggiro richiede un po’ di attenzione e prevenzione: se il nome del sito visualizzato non corrisponde a quello dell’azienda, è probabilmente una trappola, e se non si immette il numero del proprio telefonino non si sottoscrive l’abbonamento ingannevole. C’è comunque, tipicamente, un avviso che informa sui costi, ma spesso è in lingue diverse dall’italiano o è comunque scritto in forma poco chiara.

Per prevenire alla radice questo tipo di trappola si può chiedere al proprio operatore telefonico di bloccare completamente i servizi SMS premium: le istruzioni sono sui siti degli operatori (Sunrise, Salt, Swisscom). Maggiori informazioni sono sul sito dell’Ufficio federale delle comunicazioni.

Fonti: Migros, RSI, La Regione, Corriere del Ticino.

Truffa dei falsi buoni Ikea su WhatsApp

“Pensavo che era la solita fregatura e invece l’ho appena preso! […] Partecipa al nostro sondaggio per vincere… Ricevi subito un Buono Ikea del valore di £250”. Questo è il testo di un messaggio che sta girando da qualche giorno su WhatsApp.

È una truffa. Non cliccate sul link e non inoltrate quel messaggio a nessuno. Non ci sono buoni e non si vince nulla, ma si rischia di essere fregati.

Lo scopo dell’annuncio, infatti, sembra essere quello di abbonarvi con l’inganno a un servizio SMS Premium: a me, su computer, è comparsa l’offerta di abbonarmi al costo di 10 franchi la settimana a Ilovemobi.com, con rinnovo automatico. Il link completo (reso volutamente inservibile) è questo.

Gli indizi di truffa sono parecchi:

Perché Ikea dovrebbe ospitare una distribuzione di propri buoni su Chebuoni.win invece che su Ikea.com?
Chebuoni.win è stato registrato il 16 gennaio scorso e i suoi veri intestatari sono protetti tramite Whoisguard: Ikea non avrebbe motivo di nascondersi.
Il buono è in sterline (£).
I commenti positivi sul sito sembrano commenti di Facebook ma non lo sono: le immagini degli utenti sono uguali in tutte le lingue.

Le versioni in inglese e in italiano dei “commenti” su Chebuoni.win.

Compilando il “sondaggio” viene chiesto di segnalare la “promozione” su WhatsApp a 15 gruppi o amici: trucco tipico per fa diffondere il messaggio e aumentare il numero di vittime.
Tentando di inviare la “promozione” agli amici compare un messaggio precompilato (“Pensavo che era la solita fregatura…”) che include un link a ikea[punto]com-premium.pro che riporta a Chebuoni.win.
Il dominio Com-premium.pro è intestato a tale Cheney Pichette (con indirizzo postale svizzero). Probabilmente sono dati di fantasia. È stato creato il 22 gennaio scorso.
Non è la prima volta che Ikea viene presa di mira da campagne truffaldine come questa (Italia, novembre 2017 e gennaio 2018), tanto che l’azienda ha pubblicato da tempo (dal 2013) una smentita generale.

Se ricevete questo spam, cestinatelo e avvisate chi ve l’ha mandato.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Allarme su WhatsApp per messaggio che parla di Buffon morto: non è un virus, ma quasi

2022-02-01
di Paolo Attivissimo
ReteTreRSI, SMS premium, truffe, Whatsapp

Mi sta arrivando una pioggia di segnalazioni a proposito di un allarme circolante su WhatsApp e altre reti di messaggistica e che ha grosso modo questo contenuto: “Sta girando la foto di Buffon, morto in un incidente. Non aprire: è un virus! Passaparola. NON è una bufala! Confermato da Polizia Cantonale“.

In realtà il portiere Buffon è vivo e vegeto, ma secondo Bufale.net il resto dell’allerta è reale: esiste davvero un messaggio che annuncia la sua morte e che conduce a “una pagina creata apposta per iscrivere gli sfortunati utenti di utenze cellulari a servizi a pagamento”. Si tratta, fra l’altro, di una truffa che circolava già l’anno scorso.

Conviene fare prevenzione, chiedendo al proprio operatore telefonico di disabilitare preventivamente i servizi a pagamento (SMS premium) ed evitando di cliccare su qualunque messaggio di questo genere.

Perché l’esercito svizzero vieta l’uso di WhatsApp, Telegram e Signal? Ci sono motivi che toccano anche gli utenti comuni?

2022-01-20
di Paolo Attivissimo
crittografia, PodcastRSI, privacy, Whatsapp

Ultimo aggiornamento: 2022/01/20 18:30.

Di recente l’esercito svizzero ha bandito l’uso di WhatsApp, Signal, Telegram e
di qualunque altra applicazione di messaggistica diversa da
Threema per le comunicazioni legate al
servizio.

Il portavoce dell’esercito, Daniel Reist, ha spiegato che la decisione
è stata presa per questioni di sicurezza e di protezione dei dati. I militari
potranno continuare a utilizzare WhatsApp e altre applicazioni per le
comunicazioni private.

La decisione dell’esercito ha comprensibilmente spinto molte persone a farsi
tre domande:

cosa c’è di così pericoloso in WhatsApp, Signal, Telegram eccetera da
indurre l’esercito svizzero a compiere questo passo?
perché Threema invece non è pericolosa?
se lo fa l’esercito, dovremmo farlo anche noi?

Alcuni si saranno anche fatti una quarta domanda: Threema chi? In
effetti Threema non è molto popolare: i suoi circa
dieci milioni di utenti
sono trascurabili rispetto ai due miliardi di utenti di WhatsApp. Molte
persone non l’hanno mai sentita nominare e vengono a sapere della sua
esistenza soltanto a causa della risonanza della notizia di questa decisione
militare svizzera.

—

Cominciamo dalla prima domanda: le app di messaggistica non svizzere, come
appunto WhatsApp, Signal e Telegram, non rispettano le norme svizzere sulla
riservatezza. WhatsApp, in particolare, è soggetta alle leggi statunitensi e
in particolare al cosiddetto CLOUD Act (acronimo di
Clarifying Lawful Overseas Use of Data Act), una legge del 2018 che consente alle autorità statunitensi di acquisire
informazioni sul traffico di dati da tutti i gestori di servizi di
telecomunicazioni sottoposti alla giurisdizione degli Stati Uniti e lo
consente anche se questi dati si trovano fuori dal territorio americano e
anche se sono gestiti per esempio da società europee che hanno una filiale
negli Stati Uniti, come spiega in dettaglio la legal specialist e
data protection officer Barbara Calderini su
Agenda Digitale.

In parole povere, gli Stati Uniti possono ottenere, aggregare e analizzare
tutti i dati trasmessi su WhatsApp da qualunque militare svizzero o di
qualunque altro paese. Il rischio non è ipotetico: è già
capitato
che messaggi o post di militari russi abbiano rivelato la loro presenza in
Ucraìna
e in Siria, a volte smentendo le dichiarazioni ufficiali. La Russia ha
vietato
completamente l’uso degli smartphone durante il servizio militare nel 2019.

È vero che WhatsApp ha la cosiddetta crittografia end-to-end, per cui
Meta (la società che possiede WhatsApp insieme a Facebook e Instagram) non può
cedere a nessuno il contenuto delle conversazioni fatte tramite
WhatsApp semplicemente perché non le ha a disposizione.

Ma la crittografia non copre i dati di contorno di queste conversazioni, ossia
i cosiddetti metadati: con chi avete parlato, a che ora di quale giorno
l’avete fatto, per quanto tempo avete conversato e quante volte avete
scambiato messaggi con ciascuna delle persone con le quali avete comunicato
tramite WhatsApp. Usare WhatsApp significa quindi dare a Meta, e quindi alle
autorità statunitensi, l’elenco completo dei propri amici, contatti di lavoro
e commilitoni. Messi insieme, tutti questi metadati hanno un valore strategico
enorme.

Faccio un esempio concreto: qualche anno fa, nel 2017, sono stato invitato a
parlare a Locarno a una conferenza organizzata dall’esercito svizzero e
dedicata alla digitalizzazione legata alla sicurezza nazionale. Il pubblico
era composto quasi esclusivamente da militari. Ho chiesto quanti di loro
avessero uno smartphone acceso in tasca con la geolocalizzazione attiva e
WhatsApp installato: hanno risposto affermativamente quasi tutti. Ma allora,
ho proseguito, Google o Apple, e sicuramente Facebook, sanno che buona parte
degli ufficiali dell’esercito svizzero, provenienti da tutti i cantoni, si
trovano radunati in questo preciso luogo in questo preciso momento. E lo
possono sapere in tante altre circostanze e passare questi dati al proprio
governo. In sostanza, un paese straniero può monitorare i movimenti dei nostri
militari, e può farlo oltretutto in modo perfettamente legale. La mia
osservazione è stata accolta, come dire, con consapevole disagio.

Per chi è nelle forze armate elvetiche, insomma, usare WhatsApp (e, in misura minore, Signal o Telegram) o in
generale applicazioni di messaggistica gestite da operatori situati al di
fuori della Svizzera ha delle implicazioni reali di sicurezza militare.

—

Tutto questo spiega perché Threema, invece, non è considerata a rischio: si
tratta di un’app creata da una società che ha sede in Svizzera, a Pfäffikon,
nel canton Svitto, e che custodisce i dati in modo conforme alle leggi
nazionali e lo fa su server situati in Svizzera. Quindi non è soggetta al
CLOUD Act statunitense. Allo stesso tempo offre, come le app rivali, le stesse
protezioni di crittografia end-to-end ed è open source, quindi
liberamente ispezionabile. E a differenza delle altre app (in particolare di WhatsApp), non richiede di
dare al gestore un numero di telefono o altre informazioni personali e non si
mantiene offrendo queste informazioni ai pubblicitari (in questo senso Signal è più virtuosa rispetto a Telegram e WhatsApp). Threema è infatti
un’app a pagamento: costa quattro franchi, che si pagano una volta sola.
L’esercito svizzero pagherà questo abbonamento agli utenti militari.

La scelta dell’esercito di bandire le altre app dalle comunicazioni di
servizio ma consentire l’uso di WhatsApp e simili per comunicazioni private
non offre sicurezza assoluta: è un compromesso pragmatico, perché il semplice
fatto di usare queste app invia comunque dati preziosi e sensibili alle
società estere che le gestiscono. Ma è un passo nella direzione giusta.

—

Alla luce di tutto questo, noi utenti comuni cosa dobbiamo fare? Dipende tutto
dalla situazione personale, ma l’esempio dato dall’esercito svizzero è valido,
anche per chi vive al di fuori dei confini elvetici, ed è un buon promemoria
del fatto che per molte categorie professionali, come per esempio medici,
consulenti legali, giornalisti o fornitori di servizi bancari, usare WhatsApp
e simili per comunicazioni legate alla propria attività è già ora una
violazione delle norme nazionali sulla riservatezza dei propri pazienti,
clienti o interlocutori. Usarle per la sfera personale, invece, è meno
problematico, ma va comunque valutato con attenzione.

Allo stesso tempo, è inutile avere un’app ipersicura che però non viene usata
dalle persone con le quali si vuole comunicare, per cui è necessario valutare
la situazione caso per caso. Possiamo provare a chiedere ai nostri
interlocutori se accettano di installare e usare app come Threema accanto a
WhatsApp: anche questo è un passo nella direzione giusta.

Fonti:
RSI,
La Regione,
Swissinfo,
La Regione,
Start Magazine,
TvSvizzera.it.

Allora, i messaggi di WhatsApp sono cifrati e privati o no? Panico da ProPublica

2021-11-27
di Paolo Attivissimo
antibufala, PodcastRSI, ReteTreRSI, Whatsapp

Una recente indagine di ProPublica ha scatenato un putiferio di preoccupazioni sulla effettiva riservatezza dei messaggi di WhatsApp.

“WhatsApp legge i messaggi delle chat”, ha titolato ANSA. Un titolo che fa sembrare che WhatsApp legga, o possa leggere, tutti i messaggi che circolano sulla sua piattaforma. Ma non è così, e l’indagine di ProPublica non dice nulla del genere.

Cominciamo dai concetti di base. Le comunicazioni effettuate tramite WhatsApp sono cifrate con crittografia end-to-end. Questo vuol dire che sono cifrate da un capo all’altro della conversazione, ossia da quando escono dal dispositivo del mittente fino a quando arrivano sul dispositivo del destinatario. Di conseguenza, i contenuti di queste comunicazioni non sono intercettabili in transito, né da Facebook, proprietaria di WhatsApp dal 2014, né dalle forze dell’ordine.

Questo fa pensare a molti utenti che le comunicazioni fatte con WhatsApp siano assolutamente private, ma è sbagliato. Infatti l’indagine di ProPublica spiega che WhatsApp ha circa un migliaio di “moderatori” incaricati di valutare i messaggi che violano le regole di WhatsApp.

Ma qui sta l’equivoco: parecchi media hanno frainteso, pensando che l’esistenza dei moderatori implichi che queste persone possano leggere tutti i messaggi. Non è così: i moderatori possono leggere soltanto i messaggi che vengono segnalati dagli utenti.

Infatti se segnalate un messaggio, un gruppo o qualcuno su WhatsApp, “WhatsApp riceve i messaggi più recenti che ti sono stati inviati da un
contatto o un gruppo segnalati, nonché informazioni sulle tue recenti
interazioni con l’utente segnalato”. È scritto chiaro e tondo nelle pagine informative di WhatsApp. Secondo Ars Technica, WhatsApp riceve specificamente gli ultimi quattro messaggi precedenti nel thread oltre al messaggio segnalato.

WhatsApp riceve questi messaggi più recenti senza crittografia: è come se faceste uno screenshot ai messaggi in questione e lo mandaste a WhatsApp. Deve poterli leggere, altrimenti non li può valutare.

In altre parole, su questo punto ProPublica ha scoperto l’acqua calda. Il fatto che i moderatori di WhatsApp possano leggere i messaggi segnalati (e solo quelli) è noto e documentato da tempo.

—

C’è però anche un altro modo in cui i messaggi di WhatsApp non sono privati, e stavolta riguarda tutti i messaggi ed è stato ribadito correttamente da ProPublica. Facebook non può leggere i contenuti dei messaggi, ma può attingere ai loro metadati, ossia a tutte le informazioni di contorno di qualunque comunicazione effettuata tramite WhatsApp: chi ha parlato con chi, a che ora, per quanto tempo, se si sono scambiati foto o video, in quale gruppo è avvenuta la comunicazione, chi sono i partecipanti al gruppo, eccetera. Questo è sufficiente per la maggior parte delle indagini delle forze di polizia, come nota Ars Technica citando vari procedimenti legali negli Stati Uniti e in Brasile.

Per esempio, bastano i metadati per dimostrare che avete comunicato via WhatsApp con una persona sospettata di reato: spetterà poi a voi spiegare come mai avete comunicato e di cosa avete parlato. E a quel punto il vostro telefonino potrà probabilmente essere esaminato dagli inquirenti, che ne estrarranno tutte le conversazioni di WhatsApp (e non solo) con programmi come UFED o Oxygen.

In sintesi: se volete davvero comunicare in modo assolutamente privato, non usate WhatsApp, Telegram o qualunque altra applicazione di messaggistica commerciale. Threema, Signal e Wickr danno qualche garanzia in più, ma la sicurezza e la privacy sono un processo, non un prodotto. È inutile avere app ultraprotette se poi lasciate in giro tracce di altro genere.

WhatsApp cambia idea di nuovo

Nuova puntata nella saga dei cambiamenti di WhatsApp. I nuovi termini di
utilizzo di cui si parla ormai da mesi, quelli che dovevano entrare in vigore
l’8 febbraio ma poi sono stati
posticipati
al 15 maggio, adesso sono cambiati ancora una volta.

WhatsApp aveva annunciato una
riduzione graduale delle funzioni
per chi non avesse accettato le nuove regole. E invece no. WhatsApp ha cambiato di nuovo idea e ora dice che non prevede più
di limitare il funzionamento dell’app per chi non ha ancora accettato le
nuove condizioni di utilizzo.

L’azienda ha infatti dichiarato a
TheNextWeb che le “recenti discussioni con varie autorità e vari esperti di privacy” l’hanno portata a decidere di ”non avere intenzione di limitare la funzionalità di WhatsApp”, ma di “continuare a ricordare agli utenti periodicamente questo aggiornamento.”

WhatsApp ha aggiornato la propria pagina informativa, scrivendo che non intende al momento “rendere questi
promemoria persistenti né limitare le funzionalità dell’applicazione […] WhatsApp non eliminerà il tuo account se non accetti l’aggiornamento.”

Secondo Punto Informatico, il doppio cambiamento è probabilmente legato “alle pressioni ricevute da
alcuni paesi, tra cui la
Germania, oppure alla fuga di utenti verso i servizi concorrenti (Telegram e
Signal, in particolare)”.

Sia come sia, WhatsApp sta creando una gran confusione che non sembra indicare una pianificazione attenta e ponderata. Non saranno contenti quelli che hanno accettato le nuove condizioni, sotto la “minaccia” di essere banditi dall’app e quindi di perdere tantissimi contatti interpersonali, e ora scoprono che avrebbero potuto benissimo fare a meno di accettare.

Falso allarme Whatsapp per le impostazioni di gruppo

2021-11-27
di Paolo Attivissimo
antibufala, PodcastRSI, ReteTreRSI, Whatsapp

Sta circolando un avviso, diffuso dal passaparola degli utenti, secondo il quale WhatsApp avrebbe cambiato senza preavviso le impostazioni per i gruppi, attivando un’opzione che consente a chiunque di aggiungere un utente a un gruppo senza il suo consenso.

Il messaggio che circola è di questo genere:

WhatsApp ha aggiornato le sue impostazioni senza informare gli utenti!
Ha cambiato le sue impostazioni di gruppo e ti ha aggiunto a “tutti”.
Questo significa che qualsiasi utente di WhatsApp – anche se non lo conosci – può aggiungerti a qualsiasi gruppo senza che tu ne sia a conoscenza o abbia il tuo consenso.
Reimposta subito questo cambiamento come era prima e in modo che solo i tuoi contatti possano aggiungerti a gruppi evitando che si inseriscano contatti sconosciuti o non graditi.
Fai subito questa procedura:
1. vai su WhatsApp
2. vai su Impostazioni in alto a destra
3. andare su Account
4. vai a Privacy
5. vai a Gruppi
6. cambiare questa impostazione da “tutti” a “i miei contatti”.

Secondo Snopes, non c’è motivo di allarmarsi. L’impostazione non è stata aggiornata senza informare gli utenti, ma è così almeno dal 2019, quando è stata introdotta.

Il consiglio è comunque corretto: conviene non lasciare impostata a “Tutti” quest’opzione, perché si rischia di trovarsi iscritti a gruppi contro la propria volontà. Le istruzioni indicate nell’allarme sono sostanzialmente giuste: si va in Impostazioni, Account, Privacy, Gruppi e nella sezione “Chi può aggiungermi ai gruppi” si può scegliere fra “Tutti”, “I miei contatti” e “I miei contatti eccetto…”.

La scelta consigliata è “I miei contatti”, ma se fra i vostri contatti avete persone che hanno la cattiva abitudine di aggiungervi a gruppi senza chiedervelo, potete scegliere di escludere queste persone usando “I miei contatti eccetto…”.

Anche se scegliete “I miei contatti”, potrete comunque ricevere inviti ad aggiungervi a gruppi, ma non verrete iscritti automaticamente.

PGC New Edition su Niente Panico RSI – Puntata del 2026/06/01
credo che basti un semplice multimetro da 15 euro*. Per prova ho misurato poco fa la differenza di potenziale in…
germanio53 su Niente Panico RSI – Puntata del 2026/06/01
Piu' che "deboli correnti elettrostatiche" io propendo per "debolissime correnti di perdita verso terra". Si tratta di una normale ed…
Guastulfo su Niente Panico RSI – Puntata del 2026/06/01
Che bello! Mi fai sentire meno solo! :-D Io quando giocavo con i "cerca fase" avevo circa 7 anni. Me…
zoomx su Niente Panico RSI – Puntata del 2026/06/01
Dei disturbi me ne accorsi perché me li ritrovavo in dispositivi collegati via USB a portatili a loro volta collegati…
zoomx su Niente Panico RSI – Puntata del 2026/06/01
Devi avere le dita molto molto sottili! Le prese moderne sono hanno tutte un blocco in plastica per evitare di…
zoomx su Niente Panico RSI – Puntata del 2026/06/01
Alcuni dispositivi richiedono un preciso collegamento a fase e neutro
GalVinci su Niente Panico RSI – Puntata del 2026/06/01
Ecco cos'è!! Grazie! La cosa strana che avevo notato e che la finta vibrazione la senti con un singolo dito,…
mima85 su Niente Panico RSI – Puntata del 2026/06/01
Scherzi a parte, io da piccolo ero una mina vagante. Ne ho fatte “di ogni”, e, a proposito di corrente,…
Guido su Niente Panico RSI – Puntata del 2026/06/01
Normalmente viene scritto di tutto e non succede mai niente, salvo due circostanze: che chi scrive, come Paolo, abbia nemici…
Poz su Niente Panico RSI – Puntata del 2026/06/01
tutto vero, ma ricordiamoci un dettaglio: la sequenza di un alimentatore switching, dalla spina è tipicamente: fusibilevaristorifiltroraddrizzatore a pontecondensatorichopper...Al punto…

Archivi