Le 11 app di messaggistica meno sicure

La scorsa settimana abbiamo parlato delle app di messaggistica più sicure secondo la Electronic Frontier Foundation, descrivendo le principali caratteristiche di nove di queste app. In questo post ci occuperemo

11 APP

La scorsa settimana abbiamo parlato delle app di messaggistica più sicure secondo la Electronic Frontier Foundation, descrivendo le principali caratteristiche di nove di queste app. In questo post ci occuperemo della parte bassa della classifica, ovvero delle app che hanno ricevuto i punteggi più bassi.

Se le app che mettono la sicurezza e la privacy al primo posto sono sconosciute ai più, vale la pena sottolineare che, al contrario, alcune app meno sicure sono molto popolari. A ragion di ciò, ci concentreremo soprattutto su quelle applicazioni di maggiore diffusione e poi su altre che, pur essendo meno popolari, hanno comunque ricevuto dei punteggi scarsi.

Premessa 

La EFF ha dato un voto ad ogni servizio in base a sette criteri. Abbiamo applicato un punteggio che varia da 0 a 2  per le seguenti categorie:

  1. I dati vengono criptati in transit?
  2. I dati vengono criptati in modo tale che neanche il fornitore del servizio possa leggerli?
  3. È possibile risalire alla vera identità dei contatti?
  4. Il fornitore del servizio mette in pratica quello che è conosciuto comeperfect forward secrecy, in italiano “segretezza in avanti” (il che significa che le crypto-chiavi sono temporanee e una chiave rubata non decifrerà le comunicazioni esistenti)?
  5. Il codice del service provider è open-source ed è disponibile ad un’analisi pubblica?
  6. Le procedure di implementazione crittografiche e i relativi processi sono documentati?
  7. Il servizio è stato sottoposto a un audit indipendente negli ultimi 12 mesi?

Queste sette categorie servono per sapere quali sono i migliori sistemi di protezione in caso di spionaggio da parte di governi, operazioni di spionaggio criminali o raccolta di dati da parte di aziende esterne. Ci teniamo a precisare che né la EFF né questo blog hanno intenzione di fare pubblicità ad alcuni programma. Nel seguente elenco vengono indicate le applicazioni che non seguono appieno le raccomandazioni sulla sicurezza.

Le pecore nere: 0 punti

Solo i servizi di messaggistica per dispositivi mobili Mxit e QQ hanno ricevuto zero punti, ma probabilmente non li avete mai usati. Vi sconsigliamo di usare queste app soprattutto perché non criptano i dati in transito; lo scambio di messaggi può essere visualizzato in plain text sia dal mittente, sia dal destinatario.

Male, ma un pochino meglio: 1 punto

Purtroppo a questa categoria appartengono 4 servizi di messaggistica che praticamente chiunque di noi ha utilizzato almeno una volta.

 

Il servizio di Yahoo Messenger, una tartaruga nell’occuparsi del tema della crittografia, solo cifra le comunicazioni in transito degli utenti. Ciò vuol dire che Yahoo! (come azienda) può leggere i vostri messaggi o passarli ai servizi di polizia se richiesto. Bisogna dire, però, che la compagnia ogni due anni pubblica un report di trasparenza dove indica la quantità di informazioni concesse agli enti governativi.

Su Yahoo Messenger gli utenti non possono verificare l’identità dei contatti né applicare il  sistema di perfect forward secrecy; inoltre, il codice non può essere sottoposto a revisione indipendente e le procedure di sicurezza non sono documentate adeguatamente. Infine, l’azienda non ha eseguito di recente un audit del codice. Yahoo, negli ultimi due anni, ha diversificato la propria offerta Web in termini di crittografia, per cui è probabile che in un futuro possa apportare le dovute modifiche anche al servizio di messaggistica.

Skype, l’onnipresente servizio di chiamate e messaggi di proprietà della Microsoft ha ottenuto lo stesso, basso punteggio di Yahoo! Messenger, un misero punto per la crittografia dei dati in transito, lasciando a secco tutte le altre categorie. Skype ha il record negativo in quanto a integrità nelle comunicazioni e per le numerose accuse di sorveglianza, oltre al fatto che si ritiene sia abbastanza facile farsi gli affari degli utenti che lo usano. Microsoft ha sempre negato ogni accusa.

 

Anche BlackBerry Messenger ha ottenuto lo stesso punteggio di Yahoo! Messenger e Skype. Un servizio, che all’inizio si chiamava Research In Motion (RIM), cripta le comunicazioni in transito (il che è positivo), ma comunque l’azienda può accedere ai dati, e poi non consente agli utente di verificare i contatti, non protegge le comunicazioni passate nel caso vengano rubate le password, non rende disponibile il codice a revisioni indipendenti, non documenta adeguatamente le misure di sicurezza né l’anno passato ha concesso un audit del codice.

AIM, conociuto ai più come l’Instant Messenger di American Online, circola da un po’ di tempo. Potremmo dire che dalla fine degli anni ’90 fino a metà degli anni 2000 è stato il top. Nonostante la sua popolarità abbia subito un calo soprattutto tra i giovani, è un servizio ancora piuttosto usato. Purtroppo, come gli altri servizi di cui abbiamo parlato, cripta i dati in transito ma non fa molto di più.

La piattaforma Secret Message si definisce sicura e lo stesso fa il client Hushmail quando in realtà vengono solo criptati i dati in transito. Le piattaforme Kik ed eBuddy XMS non si vantano delle loro funzionalità di sicurezza e anche loro hanno ricevuto lo stesso punteggio.

Ancora un pochino meglio ma ce n’è di strada da fare: due punti

SnapChat, la famosa applicazione di immagini e video “usa e getta” ha ottenuto due punti, uno per criptare i dati in transito dal mittente al destinatario passando per i server della app. L’altro per l’audit dello scorso anno. Come molti servizi presenti in questo elenco, SnapChat è stata oggetto di molte critiche, non tanto per la mancanza di sicurezza, quanto per non aver tenuto fede ai principi originari per i quali era stata sviluppata l’applicazione.

L’idea di base di SnapChat è che i messaggi, le foto e i video siano visualizzabili per un certo periodo di tempo definito dal mittente per poi scomparire per sempre. Il destinatario può comunque salvare i messaggi eseguendo screenshot anche se il mittente riceverebbe una notifica. C’è anche un’app, chiamata SnapHack, che consente ai destinatari di salvare gli snap (in gergo i messaggi su SnapChat). E infine, alcuni ricercatori hanno segnalato più volte che le immagini non vengono cancellate del tutto, sono solo più difficili da trovare.

Nella top 3 delle applicazioni più popolari presenti in questa classifica “negativa” troviamo gli Hangout di Google, con due punti. Hangout è una cross-platform, si tratta della chat interna non solo di Gmail ma anche di Google Plus e per i dispositivi Android. Google cripta i dati in transito degli Hangout e ha eseguito un audit lo scorso anno. Tuttavia, Google può leggere i messaggi, gli utenti non possono risalire all’identità dei contatti, non viene impiegata il sistema di perfect forward secrecy, il codice non è accessibile per una review indipendente e la  sicurezza non è adeguatamente documentata.

Anche la chat di Facebook, la versione mobile del servizio di messaggistica, ha ricevuto due punti. Come gli altri servizi popolari di cui abbiamo parlato, la chat di Facebook cripta i dati in transito ed è stato eseguito un audit; bocciata, però, nelle altre categorie.

Viber è di sicuro la meno popolare presente in questa sezione. Conosciuta come un servizio di messaggistica privato, ha ottenuto solo due punti per la crittografia dei dati in transito e per l’audit.

E ora arriviamo all’applicazione di messaggistica per antonomasia, WhatsApp. Ricordiamo che il gigante dei social media, Facebook, all’inizio di quest’anno l’ha acquistata per la modica cifra di 19 miliardi di dollari. È una sorta di alternativa agli “antichi” SMS solo che funziona con Internet invece che con la rete cellulare. EFF ha dato due punti come ad altri servizi, ma le cose potrebbero cambiare.

Proprio questa settimana, WhatsApp ha avviato una collaborazione con Open Whisper Systems per aggiungere di default su Android alcune opzioni per la crittografia. Giusto per darvi un’idea dell’importanza di questa partnership: Signal, RedPhone, SilentText e SilentPhone, tutte appartenenti a Whisper System, hanno ottenuto i punteggi massimi da parte di EFF. In definitiva, nei prossimi giorni o mesi WhatsApp potrebbe essere ancora più sicura.

Al momento, comunque, la crittografia è stata implementata esclusivamente su Android e per le comunicazioni tra singoli utenti. Chi possiede un iPhone o chi usa le conversazioni di gruppo dovrà attendere ancora un po’. WhisperSystem ha dichiarato di star lavorando anche su questi due fronti.

Ultima considerazione su WhatsApp: essendo l’app più popolare e di valore del momento, sapere che l’azienda sta prendendo sul serio questioni come la sicurezza e la privacy è davvero una buona notizia. Speriamo che altre aziende del settore seguano il suo esempio.

Consigli