Signal: la app per chi si preoccupa della privacy

Tutto quello che dovete sapere sull’app di messaggistica incentrata sulla privacy.

La popolarità dell’app di messaggistica Signal è cresciuta a gennaio 2021, quando WhatsApp ha cambiato la sua politica sulla privacy. A seguito del laconico appello di Elon Musk a usare Signal, milioni di utenti hanno scaricato l’app, con conseguenti problemi tecnici temporanei per il servizio.

Tuttavia, gli esperti di cybersecurity conoscevano Signal già da tempo e non c’è da meravigliarsi: gli sviluppatori, infatti, hanno trascorso anni a perfezionare la privacy e la sicurezza dell’applicazione. Ecco cosa hanno ottenuto e come rendere Signal uno strumento ancora più sicuro.

Caratteristiche di Signal

Le funzionalità disponibili per tutti gli utenti di Signal includono la cifratura end-to-end, l’archiviazione sicura dei dati e la possibilità di visualizzare il codice sorgente di Signal.

Cifratura end-to-end, un pilastro della privacy

Uno dei vantaggi indiscutibili di Signal è il suo uso predefinito della cifratura end-to-end. Ciò significa che solo le parti coinvolte nella chat possono leggere i messaggi e nessuno, nemmeno gli sviluppatori dell’app, può origliare le chiamate individuali o di gruppo. L’uso della cifratura end-to-end è uno strumento importante per migliorare la sicurezza dello scambio di messaggi.

Per molti versi, è stato grazie a Signal che la cifratura end-to-end è ora così diffusa tra le app di messaggistica. Anche la concorrenza, come WhatsApp, Facebook Messenger e Skype usano il Signal Protocol per la comunicazione sicura ma, in confronto, Signal cifra molti più dati.

A differenza di Telegram, dove la cifratura end-to-end è attiva solo per le cosiddette chat segrete tra due utenti, Signal cifra anche le chat di gruppo e le chiamate. Inoltre, il servizio non memorizza le informazioni di gruppo come i partecipanti, il titolo e l’avatar.

Gli sviluppatori di Signal proteggono anche i metadati della chat, informazioni extra su chi ha scritto a chi, che possono contenere informazioni non meno sensibili rispetto al contenuto della chat ed è una fonte frequente di fughe di informazioni riservate.

Infine, Signal cifra anche le informazioni del profilo utente. Solo gli utenti approvati (contatti, persone a cui avete scritto, e quelli a cui permettete espressamente di visualizzare i dati del vostro account) possono visualizzare nome, avatar e stato.

Privacy dei contatti e secure enclave

Signal impiega il cosiddetto secure enclave, sistema di archiviazione isolato sui server a cui nemmeno i proprietari degli stessi hanno accesso. È grazie a questo isolamento che è possibile sapere quali dei vostri contatti usano Signal senza rivelare la vostra rubrica agli sviluppatori. L’app invia una richiesta cifrata all’enclave; quest’ultima incrocia i vostri contatti con i numeri degli utenti registrati e restituisce una risposta cifrata. Nessun altro vedrà il contenuto della vostra richiesta.

Politica di trasparenza

In quanto progetto open-source, Signal ha reso pubblico il suo codice sorgente; quindi un utente esperto di tecnologia può leggere o costruire il codice per il software server di Signal, per le app Android e iOS, e le versioni desktop per Windows, macOS e Linux, assicurandosi che non contengano backdoor che potrebbero fornire accesso ai dati sensibili degli utenti.

Come configurare Signal

Oltre alla sicurezza intrinseca dell’app, Signal permette agli utenti di optare per una maggiore privacy e sicurezza grazie a una vasta gamma di impostazioni.

PIN di Signal

Se perdete il vostro dispositivo o reinstallate l’applicazione, potete usare un PIN di Signal per recuperare il vostro profilo, così come le impostazioni e i contatti che salvate sulla app (cioè i contatti non presenti nella vostra rubrica), e l’elenco dei vostri contatti bloccati.

Questo significa che i vostri dati sono effettivamente memorizzati sui server Signal e accessibili agli sviluppatori o agli hacker? Sì e no. Sì, le informazioni sono davvero memorizzate sui server. Ma no, non possono essere rubate perché sono cifrate e conservate nei secure enclave di cui sopra, e l’unica chiave per accedervi è quel PIN che solo voi conoscete.

L’app chiede agli utenti di impostare un PIN al momento della registrazione, che può essere modificato successivamente nelle impostazioni. Nel caso in cui non vi fidiate abbastanza del PIN e dell’enclave, potete disattivare la funzione sia durante la registrazione, sia attraverso le impostazioni. Se lo fate, però, nel caso in cui cancelliate la app, eliminerete anche tutti i dati memorizzati sul vostro dispositivo, compresi i contatti non presenti nella vostra rubrica.

Inoltre, senza un PIN, qualcun altro potrebbe registrarsi su Signal usando il vostro numero di telefono, per esempio usando una tecnica chiamata SIM swapping. Lo stesso può accadere se non avete usato il numero abbastanza a lungo da essere disattivato e viene assegnato a un’altra persona.

Impostazioni della privacy

Per proteggere le vostre chat da chiunque si trovi a maneggiare il vostro smartphone, vi consigliamo di attivare la funzione di blocco dello schermo nelle impostazioni della app. Una volta attiva, dovrete usare lo stesso codice, impronta digitale o Face ID per accedere all’app che vi serve per sbloccare il telefono.

Per impostazione predefinita, l’app non si blocca quando la chiudete, quindi assicuratevi di modificare questa impostazione. Sia gli utenti Android che iOS possono impostare una durata del timeout del blocco dello schermo nelle impostazioni della privacy, oppure potete scegliere il blocco istantaneo. Una volta bloccato il telefono, Signal richiederà il vostro codice, l’impronta digitale o Face ID ogni volta che tornerete sulla app.

Gli utenti Android, oltre a fare affidamento sul timeout di inattività, in alternativa possono bloccare l’app manualmente dalla barra di notifica.

La versione Android di Signal offre un’altra funzione di privacy molto utile, presente nelle impostazioni: la tastiera in incognito. Se la attivate, il vostro smartphone non memorizzerà più le parole e frasi nuove o usate più di frequente e non ve le suggerirà durante la scrittura, il che significa che la tastiera della app non elaborerà e conserverà il testo che digitate. La tastiera in incognito potrebbe non funzionare con alcuni dispositivi, nel qual caso l’app vi avviserà quando proverete ad attivare questa funzionalità.

Infine, potete decidere se i vostri contatti potranno sapere se avete letto un messaggio o se state scrivendo. Come per altre app di messaggistica, una volta disattivata l’opzione, non riceverete più le stesse informazioni da parte degli altri utenti.

Dispositivi collegati

Potete chattare su Signal sul vostro smartphone, tablet e computer allo stesso tempo; dovete solo collegare i dispositivi aggiuntivi al vostro account.

Per farlo, andate su Dispositivi collegati e fate tap su + per attivare la fotocamera e ricevere un codice QR da scansionare. Successivamente, eseguite Signal sul secondo dispositivo (per esempio, il PC) e seguite le istruzioni.

Vedrete un elenco di tutti i vostri dispositivi collegati nelle impostazioni dell’applicazione.

Raccomandiamo di controllare di tanto in tanto l’elenco per individuare eventuali dispositivi sconosciuti, ovvero utenti non registrati. Inoltre, non dimenticate di scollegare i dispositivi che non vi servono più.

Backup delle chat

Per impostazione predefinita, Signal non crea il backup delle chat, tuttavia è possibile attivare la funzione in modo da poter recuperare le chat se necessario. Seguite le istruzioni nelle impostazioni, e assicuratevi di salvare la frase-password di 30 caratteri che l’applicazione crea per voi. Se la perdete, la vostra copia di backup diventa inutilizzabile.

Signal memorizza le copie di backup sul dispositivo, quindi se avete bisogno di recuperare i vostri dati su un nuovo telefono, avrete ancora bisogno di accedere al vostro vecchio dispositivo. Ciò significa che, se perdete il vostro smartphone o si rompe, non sarete in grado di ripristinare le vostre chat.

Impostazioni avanzate (per i più cauti)

Queste opzioni nasconderanno completamente le vostre attività di messaggistica da occhi indiscreti.

  • Nella sezione Chat, disattivate il recupero delle anteprime dei link per i vostri messaggi. Questo impedirà a Signal di inviare un’ulteriore query Web al sito di riferimento, che altrimenti sarebbe disponibile al vostro provider di servizi Internet;
  • Nelle impostazioni avanzate della privacy, impostate le chiamate vocali in modo che si colleghino attraverso i server Signal invece di connettersi direttamente al vostro contatto. In questo modo verrà nascosto il vostro indirizzo IP, opzione che può rivelarsi utile in determinate circostanze, anche se gli sviluppatori avvertono che questa scelta può minare la qualità della chiamata;
  • Attivate un proxy per evitare in modo ancora più efficace un’eventuale sorveglianza. Il proxy è un elemento di protezione tra il vostro dispositivo e i server dell’applicazione (il sito web del servizio contiene istruzioni dettagliate). Con un proxy, nemmeno Signal saprà nulla del vostro indirizzo IP. Questa opzione può essere utile nei paesi dove Signal è bloccato.

Ultime raccomandazioni

Ora che la privacy dei vostri dati personali su Signal è garantita (chat, metadati e informazioni del profilo compresi), assicuratevi anche di aver preso provvedimenti per prevenire l’accesso non autorizzato, fisico o remoto, al vostro dispositivo. Bloccate sempre il vostro smartphone, aggiornate tutte le vostre app e il sistema operativo in modo tempestivo e installate una soluzione di sicurezza affidabile. E un ultimo consiglio per gli utenti di altre app di messaggistica: non dimenticate di configurare adeguatamente Discord e Telegram per una maggiore sicurezza e una maggiore privacy.

Consigli