Messaggistica su altre piattaforme tramite WhatsApp: pro e contro

In risposta alle normative UE, WhatsApp offrirà presto l’interoperabilità con altri strumenti di messaggistica. Ne abbiamo bisogno? Ed è sicura?

Il Digital Markets Act (DMA) dell’UE richiede alle principali aziende tecnologiche di rendere i loro prodotti più aperti e interoperabili per allargare la concorrenza. Grazie al DMA, iOS consentirà presto l’installazione di app store di terze parti e le principali piattaforme di messaggistica dovranno consentire la comunicazione con altre app simili, consentendo la compatibilità multipiattaforma. Gli ingegneri di Meta (Facebook) hanno recentemente descritto in dettaglio come verrà messa in atto questa compatibilità in WhatsApp e Messenger. I vantaggi dell’interoperabilità sono chiari a chiunque abbia mai inviato messaggi di testo o e-mail. Rende possibile inviare o ricevere messaggi senza preoccuparsi di quale telefono, computer o app l’altra persona utilizzi, o del Paese in cui si trova. Presenta però anche alcuni svantaggi: terze parti (dalle agenzie di intelligence agli hacker) possono accedere ai messaggi, e i messaggi stessi sono potenziali bersagli di spam e phishing. Ciò detto, il DMA sarà in grado di garantire l’interoperabilità e i relativi vantaggi, eliminandone al contempo gli svantaggi?

È importante notare che mentre l’impatto del DMA sull’App Store iOS avrà effetto solo sugli utenti dell’UE, la messaggistica multipiattaforma avrà probabilmente un impatto su tutti, anche se saranno solo i partner dell’UE a connettersi all’infrastruttura di WhatsApp.

Si può già chattare su WhatsApp con utenti di altre piattaforme?

In teoria sì, ma in pratica non ancora. Meta ha pubblicato specifiche e requisiti tecnici per i partner che desiderano che le loro app siano interoperabili con WhatsApp o Messenger. Ora la palla è nel campo di questi partner: tocca a loro sviluppare un ponte tra il loro servizio e WhatsApp. A oggi non sono state annunciate iniziative di questo tipo.

I proprietari e gli sviluppatori di altri servizi di messaggistica potrebbero essere riluttanti a mettere in atto tale funzionalità. Alcuni la considerano non sicura; altri non sono disposti a investire risorse in un’integrazione di grande complessità. Meta richiede ai potenziali partner di implementare un criptaggio end-to-end (E2EE) non più debole di quello di WhatsApp: una sfida significativa per molte piattaforme

Anche quando (o se) verranno visualizzati servizi di terzi, solo gli utenti di WhatsApp che abbiano deciso di aderirvi esplicitamente saranno in grado di inviare messaggi attraverso varie piattaforme. L’opzione non sarà abilitata per impostazione predefinita.

Come sarà il messaging fatto in questo modo?

In base alle versioni beta di WhatsApp, i messaggi con gli utenti su altre piattaforme saranno ospitati in una sezione separata dell’app per distinguerli dalle chat con gli utenti di WhatsApp.

Inizialmente saranno supportati solo i messaggi uno-a-uno e la condivisione di file/immagini/video. Il supporto per chiamate e chat di gruppo non sarà disponibile per almeno un altro anno.

L’identificazione dell’utente rimane una questione aperta. In WhatsApp, gli utenti trovano i contatti in base al numero di telefono, mentre su Facebook lo fanno cercando nome, luogo di lavoro, scuola, amici di amici o altri identificatori simili (e infine tramite un ID univoco). Altre piattaforme potrebbero utilizzare identificatori incompatibili, come i nomi utente brevi in Discord o gli ID alfanumerici in Threema. Probabilmente ciò impedirà la ricerca automatica e la corrispondenza degli utenti e allo stesso tempo faciliterà gli attacchi di impersonificazione da parte di truffatori.

Le sfide del criptaggio

Una delle sfide principali nell’integrazione di diverse piattaforme di messaggistica è la messa in opera di un criptaggio affidabile. Anche se due piattaforme utilizzano lo stesso protocollo di criptaggio, sussistono problemi tecnici con l’archiviazione e l’accordo delle chiavi, l’autenticazione dell’utente e altro ancora.

Se il metodo di criptaggio differisce in modo significativo, sarà probabilmente necessario un “bridge”, cioè un server intermedio per decrittare i messaggi da un protocollo e criptarli nuovamente in un altro. Se definissimo la cosa un attacco man-in-the-middle (MITM) sotto mentite spoglie, risultante in eavesdropping, non ci sbaglieremmo di molto. L’app Nothing Chats, che ha utilizzato uno schema simile per abilitare iMessage su Android, ha recentemente dimostrato questa vulnerabilità. Gli sforzi mostrati da Meta sono altrettanto esplicativi: la messaggistica criptata tra Messenger e Instagram è stata annunciata più di cinque anni fa, ma il criptaggio completo in Messenger è arrivato solo lo scorso dicembre e l’E2EE in Instagram non è ancora completamente funzionante. Come spiegato in questo articolo di approfondimento, non è questione di pigrizia o di mancanza di tempo, ma piuttosto della notevole complessità tecnica del progetto.

Gli esperti di criptaggio sono generalmente molto scettici sull’idea di un E2EE multipiattaforma. Alcuni esperti ritengono che il problema sia risolvibile, ad esempio posizionando il bridge direttamente nel computer dell’utente o facendo in modo che tutte le piattaforme adottino un unico protocollo di messaggistica decentralizzato. Tuttavia, i pesci grossi del mercato della messaggistica non stanno affatto nuotando in questa direzione. È difficile accusarli di pigrizia o inerzia: tutta l’esperienza pratica dimostra quanto sia difficile mettere in atto un criptaggio dei messaggi affidabile e di facile utilizzo all’interno degli ecosistemi aperti. Basta guardare la saga del criptaggio PGP nelle e-mail e le confessioni dei migliori esperti di criptaggio.

Abbiamo raccolto informazioni sui piani di integrazione WhatsApp/Messenger delle principali piattaforme di comunicazione e abbiamo valutato la fattibilità tecnica della funzionalità multipiattaforma:

 

Servizio Dichiarazione sulla compatibilità con WhatsApp Compatibilità con il criptaggio
Discord Nessuna Nessun supporto E2EE, integrazione improbabile
iMessage Nessuna Utilizza il criptaggio, paragonabile in forza a WhatsApp
Matrix Interessato all’integrazione tecnica con WhatsApp e supporta genericamente il DMA Utilizza il criptaggio, paragonabile in forza a WhatsApp
Signal Nessuna Utilizza il protocollo Signal, così come WhatsApp
Skype Nessuna Utilizza il protocollo Signal, come WhatsApp, ma solo per conversazioni private
Telegram Nessuna La maggior parte delle chat non è criptata e le conversazioni private sono criptate con un algoritmo inaffidabile
Threema Si dicono preoccupati per i rischi alla privacy associati all’integrazione di WhatsApp. Integrazione improbabile Utilizza il criptaggio, paragonabile in forza a WhatsApp
Viber Nessuna Utilizza il criptaggio, paragonabile in forza a WhatsApp

Problemi di sicurezza

Oltre ai problemi di criptaggio, l’integrazione di servizi introduce ulteriori sfide nella protezione da spam, phishing e altre minacce informatiche. Se ricevi spam su WhatsApp, puoi bloccare subito il mittente. Dopo essere stato bloccato da diversi utenti, lo spammer avrà una capacità limitata di inviare messaggi a estranei. Resta da vedere in che misura tali tecniche anti-spam funzioneranno con i servizi di terze parti.

Un altro problema è la moderazione dei contenuti indesiderati, dalla pornografia ai falsi premi. Quando sono coinvolti algoritmi ed esperti di non una ma due aziende, la velocità e la qualità della risposta sono destinate a risentirne.

Anche le preoccupazioni sulla privacy si fanno più complesse. Supponi di installare l’app Skype: in tal modo condividerai i dati con Microsoft, che li memorizzerà. Tuttavia, non appena invii un messaggio a qualcuno su WhatsApp da Skype, alcune informazioni su di te e sulla tua attività arriveranno ai server di Meta. Per inciso, WhatsApp ha già in vigore un cosiddetto accordo per gli ospiti per questi casi. È questo li problema che il team svizzero di Threema trova inquietante: cioè il rischio che la messaggistica con gli utenti di WhatsApp possa portare alla de-anonimizzazione degli utenti di Threema.

E non dimentichiamo che la notizia del supporto multipiattaforma è musica per le orecchie degli autori di malware: sarà molto più facile per loro attirare le vittime con “mod di WhatsApp per la messaggistica con Telegram” o altre offerte fittizie. Di tutti i problemi questo è in effetti il più semplice da risolvere: basta installare app solo dagli store ufficiali e utilizzare una protezione affidabile su smartphone e computer.

Cosa devi fare?

Se usi WhatsApp e vuoi inviare messaggi a utenti di altri servizi

Conta approssimativamente quanti utenti non-WhatsApp ci sono nella tua cerchia che utilizzano piattaforme che hanno annunciato l’interoperabilità con WhatsApp. Se non ce ne sono molti, è meglio non abilitare il supporto per tutte le piattaforme di terze parti: i rischi di spam e messaggi indesiderati supererebbero i potenziali benefici.

Se hai molti contatti di questo tipo, valuta se con costoro parli di argomenti riservati. Anche con i requisiti di criptaggio di Meta, la messaggistica multipiattaforma tramite un bridge deve essere considerata vulnerabile all’intercettazione e alla modifica non autorizzata. Pertanto, è meglio utilizzare lo stesso programma di messaggistica sicuro (come Signal) per le comunicazioni riservate.

Se decidi che WhatsApp + app di terze parti è la formula vincente, assicurati di massimizzare le impostazioni sulla privacy in WhatsApp e diffidare dei messaggi strani, specialmente di estranei, ma anche di quelli di amici su argomenti insoliti. Prova a ricontrollare chi afferma di essere per escludere che sia un truffatore che ti invia messaggi tramite un servizio di terze parti.

Se utilizzi un altro strumento di messaggistica che ha annunciato l’interoperabilità con WhatsApp

Per quanto allettante sia l’idea di accedere a tutti gli utenti di WhatsApp all’interno del tuo strumento di messaggistica preferito, tieni presente che se ne utilizzi uno diverso per una maggiore privacy, la connessione a WhatsApp probabilmente la ridurrà. I meta servizi raccoglieranno determinati metadati durante le conversazioni, portando potenzialmente alla de-anonimizzazione dell’account e il bridge di crittografia potrebbe essere vulnerabile alle intercettazioni. In generale, non è consigliabile attivare questa funzionalità negli strumenti di messaggistica sicuri, se anche dovesse essere disponibile.

Suggerimenti per tutti

Fai attenzione alle “mod” e alle app poco conosciute che promettono messaggistica multipiattaforma e altre meraviglie. In agguato dietro una seducente interfaccia c’è probabilmente un malware. Assicurati di installare una protezione su computer e smartphone per impedire agli aggressori di rubare la tua corrispondenza all’interno di strumenti di messaggistica legittimi.

Consigli