Sicurezza di Telegram: uno sguardo obiettivo sulla situazione attuale

Il tuo accesso a Telegram e alla sua privacy dopo l’arresto di Pavel Durov ti desta preoccupazione? Ecco cosa dovresti (e non dovresti) fare adesso.

Al momento della pubblicazione, Pavel Durov, accusato in Francia, è stato rilasciato su cauzione di 5 milioni di euro e gli è stato vietato di uscire dai confini della Francia. Come andranno le cose in futuro non è ancora molto chiaro, ma nel frattempo i truffatori stanno già sfruttando la massiccia attenzione e il panico che circondano Telegram, mentre circolano molti suggerimenti dalla dubbia efficacia sui social media su cosa fare ora con l’app. Ecco in breve la nostra opinione: gli utenti di Telegram dovrebbero mantenere la calma e agire in base ai fatti così come si presentano attualmente. Per quello che possiamo consigliare oggi in merito…

Privacy della chat e “chiavi di Telegram”

In parole povere, la maggior parte delle chat su Telegram non può essere considerata riservata , ed è così da sempre. Se hai scambiato informazioni sensibili su Telegram senza utilizzare chat segrete, considerale compromesse. Sposta le tue comunicazioni private su un’altra applicazione di messaggistica seguendo questi suggerimenti.

Molte testate giornalistiche suggeriscono che la principale accusa contro Durov e Telegram sia il loro rifiuto di cooperare con le autorità francesi e di fornire le “chiavi di Telegram”. Presumibilmente, Durov possiede una sorta di chiavi crittografiche, che possono essere utilizzate per leggere i messaggi degli utenti. In effetti, poche persone sanno davvero come è strutturato il server di Telegram, ma in base alle informazioni disponibili è noto che la maggior parte della corrispondenza è archiviata nei server in forma minimamente crittografata, ovvero le chiavi di decrittografia sono archiviate all’interno della stessa infrastruttura di Telegram. Gli autori affermano che le chat sono archiviate in un paese, mentre le chiavi in un altro, ma considerando che tutti i server comunicano tra loro, non è chiaro quanto sia efficace questa misura di sicurezza da un punto di vista pratico. Sarebbe utile se i server venissero confiscati in un paese, ma questo è tutto. La crittografia end-to-end, che è standard in altre applicazioni di messaggistica (WhatsApp, Signal e persino Viber), è chiamata “chat segreta” in Telegram. È in qualche modo nascosta nelle profondità dell’interfaccia e deve essere attivata manualmente per le chat personali selezionate. Tutte le chat di gruppo, i canali e la corrispondenza personale standard sono prive di crittografia end-to-end e possono essere lette almeno sui server di Telegram. Inoltre, sia per le chat segrete che per tutto il resto, Telegram utilizza il proprio protocollo non standard, MTProto: è noto che questo protocollo contenga gravi vulnerabilità crittografiche. Pertanto, la corrispondenza di Telegram può essere teoricamente letta da:

  • Amministratori dei server di Telegram
  • Hacker che hanno violato con successo i server di Telegram e installato spyware
  • Soggetti esterni con qualche tipo di accesso concesso dagli amministratori di Telegram
  • Un soggetto esterno che ha scoperto vulnerabilità crittografiche nei protocolli di Telegram può leggere (selettivamente o nella loro interezza) almeno le chat non segrete intercettando il traffico di alcuni utenti

Eliminazione della corrispondenza

Ad alcune categorie di utenti è stato consigliato di eliminare le vecchie chat in Telegram, come quelle relative al lavoro. Questo suggerimento sembra discutibile, perché nei database (dove la corrispondenza è archiviata nel server), le voci vengono raramente eliminate; sono semplicemente contrassegnate come tali. Inoltre, come qualsiasi grande infrastruttura IT, Telegram probabilmente implementa un robusto sistema di backup dei dati, il che significa che i messaggi “eliminati” verranno conservati almeno nei backup del database. Potrebbe essere più efficace per entrambi i partecipanti alla chat (o per gli amministratori del gruppo) eliminare completamente la chat. Tuttavia, il problema dei backup rimarrebbe.

Backup delle chat

Diversi osservatori hanno espresso il timore che Telegram possa essere rimosso dagli app store, bloccato o altrimenti interrotto. Sebbene questa possibilità sembri improbabile, il backup di corrispondenza, foto e documenti importanti resta comunque una best practice di igiene digitale.

Per salvare un backup della corrispondenza personale importante, devi installare Telegram sul computer (client ufficiale qui), accedere al tuo account e quindi passare a Impostazioni → Avanzate → Esporta dati Telegram.

Come esportare tutti i dati da Telegram

Come esportare tutti i dati da Telegram

Nella finestra pop-up, puoi selezionare i dati che vuoi esportare (chat personali, chat di gruppo, con o senza foto e video), impostare limiti per le dimensioni del download e scegliere il formato dei dati: HTML, che può essere visualizzato in qualsiasi browser o JSON per l’elaborazione automatizzata da parte di app di terzi.

Impostazioni per il backup dei dati di Telegram

Impostazioni per il backup dei dati di Telegram

Il download dei dati nel computer potrebbe richiedere diverse ore e decine o addirittura centinaia di gigabyte di spazio libero, a seconda di quanto si utilizza Telegram e delle impostazioni di esportazione. Puoi chiudere la finestra di esportazione, ma assicurati di non uscire dall’app stessa o di scollegare il computer da Internet o dalla presa di corrente. Ti suggeriamo di utilizzare solo la funzionalità di backup nel client ufficiale.

“Prevenire l’eliminazione di Telegram” dagli smartphone

Per prima cosa, diamo un’occhiata a iOS. I team di Cupertino non rimuovono le app dagli smartphone degli utenti, anche se le app vengono rimosse dall’App Store, quindi qualsiasi suggerimento su come impedire l’eliminazione di Telegram dagli iPhone è inutile. Inoltre, un metodo popolare per la “prevenzione dell’eliminazione di Telegram” che circola online, in cui si che utilizza il menu Screen Time, non impedisce ad Apple di eliminare le app; impedisce solo a determinati utenti (ad esempio i bambini) di eliminare le app: in quanto tale, è una funzionalità di controllo genitori. E c’è di più: l’arresto di Durov ha riportato alla ribalta la vecchia e fasulla affermazione sulla rimozione di Telegram dagli iPhone, che sia Apple che Telegram hanno ufficialmente negato nel 2021.

Per quanto riguarda Android, anche Google in genere non elimina le app, tranne quando si tratta di software totalmente dannoso. È vero che tali garanzie non valgono per tutti i detentori di altri ecosistemi (Samsung, Xiaomi e così via), ma su Android è facile installare Telegram direttamente dal sito di Telegram.

Client alternativi

Esistono client non ufficiali ma ancora funzionanti e legali per Telegram e persino un “client alternativo ufficiale”: Telegram X. Questi client utilizzano tutti l’API di Telegram, ma non è chiaro se forniscano vantaggi aggiuntivi o una maggiore sicurezza. I primi cinque client alternativi su Google Play parlano di “sicurezza migliorata”, ma si riferiscono solo ad alcune funzionalità, ad esempio quella che consente di nascondere le chat su un dispositivo.

Ovviamente, potresti finire per scaricare malware camuffato da client Telegram alternativo: i truffatori non perdono l’occasione di sfruttare la popolarità dell’app. Se stai considerando client alternativi, segui queste linee guida sulla sicurezza:

  • Scaricali solo dagli app store ufficiali.
  • Assicurati che l’app sia in circolazione da un po’ di tempo, che abbia buone valutazioni e un numero elevato di download.
  • Utilizza una protezione antivirus affidabile su tutte le piattaforme come [placeholder Kaspersky Premium].

Raccolta fondi per Durov e difesa della libertà di parola

Questo non è direttamente correlato alle chat di Telegram, ma è importante prestare attenzione anche ai truffatori che si spacciano per organizzazioni che raccolgono fondi per la difesa legale di Pavel Durov (come se avesse davvero bisogno di soldi), mentre in realtà mirano a sottrarre dati di pagamento o donazioni di criptovaluta. Considera questo tipo richieste come estremamente sospette e verifica se la presunta organizzazione esiste davvero e sta davvero conducendo una campagna del genere. Per ulteriori informazioni sulle truffe di beneficenza, consulta il nostro articolo dedicato.

Consigli