Quanto sono sicure le App di messaggistica per il mobile: Signal, WhatshApp, Telegram, SnapChat, Messenger, Viber, solo per citare le più famose? Soprattutto da quando smartphone e tablets hanno cominciato rapidamente a rimpiazzare i vecchi PC, agevolando la comunicazione in mobilità.

A leggere bene l’articolo che The Intercept ha pubblicato sull’argomento, si scoprono parecchie cose importanti sulle funzionalità di queste utili ed importanti App.

In questo articolo ho provato qui di sintetizzare le informazioni raccolte da varie fonti per cercare di ottenere un quadro più chiaro sull’argomento.

Che cosa è WhatsApp

La domanda potrebbe sembrare oziosa ed inutile, ma a leggere le varie note che mirano a dare una risposta, ci si accorge presto che troppo spesso rimangono sul vago, enfatizzando molto alcuni aspetti e glissando miseramente su altri. Non a caso, ricercando nel web, è estremamente facile imbattersi in affermazioni che suonano pressappoco così:

WhatsApp è un’applicazione di messaggistica multi-piattaforma che permette di inviare messaggi, foto, video, documenti e registrazioni vocali ad altri utenti via Internet utilizzando come identificativo il proprio numero di telefono.

Il che è senz’altro vero, anzi, verissimo. Tuttavia, troppo spesso, poco o nulla viene detto (o detto sottovoce) a riguardo delle implicazioni nell’utilizzo di questa App. Ma cerchiamo di partire dall’inizio e di seguire un percorso logico.

Un po’ di storia di WhatsApp

WhatsApp è un’applicazione inizialmente sviluppata nel 2009 da Jan Koum e da Brian Acton, due ex dipendenti di Yahoo!, che fondarono WhatsApp Inc. e ne iniziarono la commercializzazione.

Cosa piuttosto curiosa in questo ambiente, l’applicazione richiedeva all’iscrizione, il pagamento di una quota di pochi centesimi l’anno per poterla utilizzare e sembra che sia stata proprio questa la chiave del suo successo: il fatto che non fosse Gratis ne faceva qualcosa di implicitamente “serio” ed attendibile.

Nel tempo, l’applicazione è diventata via via sempre più popolare ed utilizzata dagli utenti. Finché, un bel giorno, il signor Mark Zuckerberg (CEO di Facebook) fiutò l’affare e l’acquisì nel 2014. Sborsando la ragguardevole cifra di 19 miliardi di dollari (fonte: Wikipedia) diventò il nuovo proprietario di WhatsApp e dei dati personali di un immenso bacino di utenti.

Con una così poderosa azienda alle spalle, WhatsApp ha ulteriormente guadagnato fette di mercato sempre più grandi; tanto che, ad oggi, si stima che abbia raggiunto la spaventosa cifra di oltre un miliardo di utenti (1 miliardo stimato a febbraio 2016, secondo Wikipedia). Un bel successo, non c’è che dire.

Nel frattempo l’applicazione ha subito varie rivisitazioni e rimaneggiamenti; fintanto che sulla spinta della poderosa degli utenti che chiedevano più privacy e sicurezza, è stata equipaggiata con quella che comunemente viene chiamata: Crittografia End-To-End (ovvero: solo il mittente ed il destinatario possono conoscere i contenuti della conversazione).

Alcune cose Pro e Contro WhatsApp

Addentriamoci ora nell’argomento alquanto spinoso dei Pro e Contro si questa popolare App.

Le Stalker Features

Cioè tutte quelle funzionalità che dicono un mucchio di cose, ma che nulla hanno a che fare con la comunicazione. Forse sono utili se si lavora alla CIA o al Foreign Office; ma credo che sì si utilizzi dell’altro per comunicare.

Contatto Online. Sostanzialmente informa se Tizio o Caio sono online e da quando (ore, minuti, secondi). È davvero importante, oppure serve semplicemente solo ad innescare la paranoia del guardone?
Ultimo Accesso. Come sopra. Non è per caso che ci troviamo in presenza di un’invasione della privacy da brividi lungo la schiena. È vero che si può disabilitare, ma è attiva di default (non so se il fornaio o il chirurgo, o il mio avvocato sanno manovrare questi settaggi).
Messaggio Consegnato/Letto. I famosi 3 “baffetti”. 1° – Informa se il messaggio è stato inviato 2° – se il messaggio è stato è stato consegnato, 3° – se il messaggio è stato letto. Beh, se il messaggio è stato consegnato, posso stare tranquillo: il destinatario lo leggerà quando è comodo. Altrimenti, suggerirei di chiamare il destinatario e parlare con lui/lei, che magari è anche meglio.
Messaggio Ignorato. Come sopra. Nel momento in cui mi arriva un messaggio, magari ho un milione di motivi: sono occupato e potrò leggerlo solo fa qualche ora, non che voglio ignorare il mittente. Perché il mittente deve per forza farsi idee sbagliate su di me?
Indicazione “Sta Scrivendo…”. Molto utile per qualcuno che ha la smania di sapere cosa sta facendo il suo interlocutore. M a mio parere, utile solo per aumentare l’ansia per quello che si leggerà di lì a poco. Direi: inutile e dannosa.

La riservatezza dei Dati

Ovvero, che fine fanno le informazioni delle conversazioni (testo, immagini, eccetera), e quelle nel dispositivo.

Messaggi di testo. Da quando, nel 2016 WhatsApp ha introdotto la crittografia end-to-end, (da un capo all’altro della conversazione), WhatsApp non può leggere i contenuti dei messaggi; tuttavia l’Azienda si riserva di mantenere i Metadati, tramite i quali è sempre possibile risalire a “chi a conversato con chi”. Non vorrei trovarmi nelle condizioni in cui, se qualcuno ha problemi con la giustizia, a dovermi giustificare sul perché il mio numero di telefono si trova nei suoi contatti e perché ha conversato con me.
Messaggi multimediali. Da non dimenticare mai, che le foto ed i filmati vengono salvati sullo smartphone e verranno inesorabilmente salvati nel Cloud, ad ogni backup del telefono. In questo modo, anche se il messaggio era in origine criptato, ora verrà salvato in chiaro nel Cloud. Con buona pace della privacy e tutto il resto. Inoltre, tutti questi dati, occupano inesorabilmente prezioso spazio nel mio dispositivo mobile! Esiste comunque la possibilità di evitare che tutti i video e le foto vengano salvati nello smartphone, questa opzione è attivata di default, e per disattivarla bisogna intervenire manualmente.
I Contatti. Si, esattamente. I contatti che sono nello smartphone; in altre parole la rubrica. Durante l’installazione WhatsApp chiede (è costretto a farlo), se si desidera sincronizzare i contatti con l’applicazione. Che potrebbe essere tradotto in: “Desideri trasferire i dati della tua rubrica nei server di WhatsApp? Bada, che se non lo fai, molte funzionalità dell’applicazione potrebbero non essere disponibili!“? Ma che ci fa WhatsApp Inc. con la rubrica del mio telefono? Forse la vende a qualcuno? Dice che serve per far alcune statistiche utili a migliorare il servizio. Credo piuttosto che le sia utilissima per ricostruire la rete di relazioni tra le persone e che sarebbe interessante approfondire questo aspetto.
Il Profilo. Come sopra. L’applicazione WhatsApp legge il profilo, quello del proprietario dello smartphone. Che ci fa? a chi lo manda? E chi lo riceve, che utilizzo ne fa? Come viene correlato alle informazioni dei contatti? Anche questo aspetto dovrebbe essere approfondito e chissà cosa ne potrebbe saltar fuori.
La Posizione Geografica. Come sopra. Sappiamo bene che dietro a tutto questo ci sono fior fior di antropologi, sociologi e psicologi che studiano costantemente il comportamento umano (e delle masse) per fornire preziose informazioni ai settori dell’azienda che si occupano di monetizzare. Anche per questo aspetto, potrebbe essere utilissimo un approfondimento.
Il Dispositivo. Anche le informazioni riguardanti il dispositivo in sé, vengono raccolte e spedite ai server di WhatsApp. Tra cui, quali e quante altre App sono installate, il tipo di dispositivo, lo stato, quanta memoria, con quale rete accedo ad internet più di frequente, e via discorrendo. Capisco l’invasione della mia vita privata, ma anche quella del mio smartphone, mi sembra un tantino eccessivo.
Backup delle Conversazioni. Se è attivo il backup dello smartphone o del tablet, le conversazioni, le foto, le immagini, i filmati e quant’altro sono trasferiti nel Cloud (che sia Google o iCloud). Pertanto Tutta questa roba personale, andrà a finire da qualche parte, chissà dove nel Cloud; alla mercé di qualche smaliziato individuo che potrà disporne a suo piacimento. Va però detto che WhatsApp mette a disposizione dell’utente la possibilità di disattivare questa opzione, intervenendo manualmente. Resta il fatto che il postino, il macellaio o l’avvocato forse non sono tutti così smart da sapere come fare.

In Generale

Ovvero, il problema delle Easter Eggs e dei cavalli di Troia.

Pubblicità. L’app non inserisce alcun banner pubblicitario (il che è un’ottima cosa)
Il comportamento della App. Nessuno degli utilizzatori sa per certo cosa in realtà cosa faccia il programma che fa funzionare l’App vera e propria. Il codice del programma non è di dominio pubblico, pertanto non è possibile sapere a priori se esiste qualche meccanismo che possa in qualche modo ed in qualche circostanza aggirare gli ostacoli della cifratura delle conversazioni, rendendole (anche solo in parte) note ai gestori del servizio.
Utilizzo dal PC. Esistono diverse applicazioni disponibili in rete per rendere possibile l’uso di WhatsApp dal PC; tuttavia, tutte queste prevedono che il proprio smartphone sia acceso e collegato ad internet, durante l’utilizzo dell’App sul PC.
Lo Standard. Non utilizza uno standard universale vero e proprio, per cui solo se hai WhatsApp puoi comunicare con altri utenti WhatsApp.

Altre Note su WhatsApp

Ovvero Tutto ciò che non è stato detto fin qui di WhatsApp.

Personalmente diffido sempre delle applicazioni gratuite rilasciate da grandi aziende come WhatsApp (leggi Facebook). Mi insospettisce il fatto che chi ti sta regalando qualcosa sia qualcuno che, o ti fa pagare anche l’aria che respiri, oppure ti bombarda di pubblicità: perché mai dovrebbe farti un regalo così costoso?

Non dimentichiamo che lo sviluppo di un’applicazione del tipo di WhatsApp richiede tipicamente qualche migliaio di ore-uomo di lavoro. Chi paga per questo? A tale proposito mi torna sempre in mente una frase che mi diceva spesso un mio vecchio e caro amico:

Quando il diavolo ti accarezza, vuole la tua anima
Citazione popolare

Che cos’è Signal

Signal è anch’essa un’applicazione di messaggistica istantanea ed a leggere bene l’articolo di Wikipedia, ci si accorge subito che fa uso della crittografia; che in questo caso sembra essere un aspetto importante della questione.

Brevissima storia di Signal

La storia di Signal è piuttosto breve e travagliata. In estrema sintesi, Signal nasce dal ricercatore di sicurezza, noto con lo pseudonimo Moxie Marlinspike e lo studioso di robotica Stuart Anderson, che insieme fondarono nel 2010 Whisper Systems commercializzando inizialmente “TextSecure”, un’applicazione per inviare e ricevere SMS cifrati e “RedPhone”, un’applicazione per le chiamate vocali cifrate.

Nel 2011 Twitter acquisisce Whisper Systems, per tentare di integrare questa tecnologia ai propri servizi. Poco dopo però Marlinspike lascia Twitter e fonda Open Whisper Systems, come progetto di collaborazione Open Source per lo sviluppo dei client “TextSecure” e “RedPhone”, molto apprezzati nei paesi con regimi autoritari.

Alcune cose Pro e Contro Signal

Anche Signal ha i sui Pro e Contro. Cerchiamo di scoprire quali sono, tenendo sempre a mente che la lista potrebbe essere incompleta per via del continuo rilascio di nuove versioni prodotte dal gruppo di sviluppo software della App.

Le Stalker Features.

Sostanzialmente non ve ne sono o sono pochissime.

Contatto Online. Semplicemente, non c’è. Non è possibile sapere se uno dei tuoi contatti ha il telefono acceso oppure no, se è online oppure no. Con buona pace della privacy.
Ultimo Accesso. Come sopra. Non c’è.
Messaggio Consegnato/Letto. Qui i “baffetti” sono solo 2: 1° – Informa se il messaggio è stato inviato; 2° – se il messaggio è stato è stato consegnato, ma non “quando”. Il destinatario lo leggerà, se vorrà, quando più gli aggrada.
Messaggio Ignorato. Come sopra. Nel momento in cui mi arriva un messaggio, magari ho un milione di motivi per non rispondere immediatamente: sono occupato e potrò leggerlo solo fa qualche ora, non che voglio ignorare il mittente. Perché il mittente deve per forza farsi idee sbagliate su di me?
Indicazione “Sta Scrivendo…”. Come sopra. Questa indicazione non c’è in Signal. Chi scrive può prendersela comoda e chi legge non deve farsi per forza venire l’ansia da messaggio.

La riservatezza dei dati

Ovvero, che fine fanno le informazioni delle conversazioni(testo, immagini, eccetera), e quelle nel dispositivo.

Messaggi di testo. Signal non conserva in alcun modo i messaggi di testo, che tuttavia restano sempre criptati, né i Metadati della conversazione i quali, secondo quanto concisamente citato dalla Privacy Policy, Signal non salva i Metadati.
Messaggi multimediali. Le immagini e i filmati in Signal non appaiono sfocate sullo schermo; è immediatamente visibile la miniatura, così che sarà possibile decidere se aprirla o no (WhatsApp presenta solo immagini sfuocate ed incomprensibili, bisogna aprirle, per capire di che si tratta). Quando si apre l’immagine o il filmato, si potrà scegliere se salvarlo o meno sul dispositivo, e comunque cancellarlo anche in un secondo momento. Le comunicazioni, le immagini ed i filmati non sono sotto il controllo del Backup del telefono, pertanto non vengono mai trasferite nel Cloud.
I Contatti. La rubrica viene effettivamente inviata ai server di Signal, ma prima di essere inviata viene cifrata, tramite una funzione di hashing (quindi, offuscata) e comunque non collezionabile, anche per via del fatto che i numeri di telefono della rubrica vengono troncati. A Signal, non interessano i numeri di telefono, per individuare un contatto è sufficiente l’identificativo.
Il Profilo. Anche Signal salva nei suoi server parte del profilo, ma a giudicare dalla lettura della Privacy Policy, viene salvato solo ciò che è strettamente funzionale alle funzionalità di base (come ad esempio, l’avatar utilizzato).
La Posizione Geografica. Non viene rilevata. Anche se l’App richiede l’accesso locale al dispositivo per la geo-localizzazione, ma tali informazioni non vengono trasmesse ai server di Signal.
Il Dispositivo. Sono rilevate localmente dalla App alcuni dispositivi interni per le funzionalità di base, ma tali informazioni non vengono trasmesse ai server di Signal.
Backup delle Conversazioni. Semplicemente non c’è modo di fare il backup nel Cloud. Ovvero, se è attivo il backup dello smartphone o del tablet, le conversazioni, le foto, le immagini, i filmati e quant’altro NON sono trasferiti nel Cloud, sia che si tratti di Google o di Apple. Il backup delle conversazioni, dei contenuti multimediali ed i Metadati delle conversazioni vocali può essere fatto solo manualmente, seguendo un’apposita procedura manuale.

In Generale

Ovvero, siamo sicuri che l’App fa proprio quello che dice di fare?

Pubblicità. L’app non inserisce alcun banner pubblicitario (il che è un’ottima cosa).
Il comportamento della App. Chiunque può sapere come effettivamente funziona l’App. Open Source.
Utilizzo dal PC. Esistono diverse applicazioni disponibili in rete per rendere possibile l’uso di Signal dal PC. Nella fattispecie puoi si può scaricare l’applicazione Signal Private Messenger per Desktop direttamente dal sito ufficiale dell’applicazione Signal. È molto efficace, anche se con alcune minime limitazioni rispetto all’App installata nello smartphone. Dai un’occhiata all’immagine di seguito.
Lo Standard. Non utilizza uno standard universale vero e proprio, per cui solo se hai Signal puoi comunicare con altri utenti Signal. Che è una limitazione di tutte le app di messaggistica in quanto utilizzano protocolli diversi.

Altre Note su Signal

Ovvero Tutto ciò che non abbiamo detto fin qui dell’App Signal.

Come sottolineato, Signal è Open Source e rilasciata con licenza GPLv3, pertanto il codice sorgente dell’applicazione è pubblico; è sufficiente avere la capacità di leggerlo, oltre ad un po di voglia di farlo, per accertarsi sul reale comportamento dell’App. Ciò è un aspetto cruciale, per quanto riguarda sia la sicurezza che la privacy; in quanto, la comunità degli sviluppatori, costantemente impegnati a migliorare il codice sorgente, contribuisce non poco a far si che Signal sia sempre aggiornato ai più rigidi standard per la comunicazione sicura.

Per i più curiosi e gli smanettoni, il software è liberamente disponibile per il download: qui per la versione Android, qui per la versione iOS e qui per il qui per il codice sorgente del Server. Per dirla tutta, potremmo ricreare Signal in tutte le sue parti, a casa nostra; ovviamente potendo disporre di tutte le conoscenze necessarie.

Inoltre, sappiamo per certo che Edward J. Snowden, il famoso ex tecnico della CIA noto per la pubblicazione di documenti riservati dell’Intelligence USA, utilizza Signal per le sue comunicazioni riservate; come per altro, affermato da egli stesso in un suo famoso Tweet.

È ovvio che questo può significare poco e non può considerarsi una garanzia, ma se un personaggio del calibro di Snowden, utilizza questo strumento, vale la pena almeno farci un pensierino.

E come la mettiamo, con Signal, riguardo alla faccenda del “quando il diavolo ti accarezza vuole la tua anima” Questo contesto sembra essere assai diverso!

Forse un giorno grande e nota azienda privata acquisterà Signal e vorrà piegarla ai suoi interessi, snaturandola in qualche misura delle sue principali qualità. Ricordiamo tutti cosa è successo a Skype a tale proposito.

Ma a me piace piace pensare che proprio le sue peculiarità e specificità non la rendono, almeno per il momento, molto appetibile ai Signori del Web. Pertanto, fino ad allora, è e rimane la mia App preferita.

Conclusioni

In questa rapida carrellata abbiamo voluto mettere a confronto Signal e Whatsapp per cercare di sottolineare pregi e difetti delle due applicazioni di messaggistica.

Sicuramente nessuna applicazione di messaggistica è perfetta. Ossia, nessuna di esse riesce a soddisfare tutti i requisiti di sicurezza e riservatezza, insieme alla flessibilità ed alla semplicità d’uso da parte dell’utente.

Questo è ancor più vero se si tiene conto delle esigenze dei fornitori di servizi di messaggistica di generare un profitto adeguato dall’utilizzo di questi strumenti da parte degli utenti finali.

Profitto, non dovrebbe mai andare ad intaccare l’imprescindibile diritto dell’utente alla riservatezza delle proprie comunicazioni.

Articoli sull'argomento:

I Figli delle App
Le nuove tecnologie tendo...Maggio 19, 2017

L'erba del vicino è sempre più verde
Se l'erba del vicino è se...Marzo 3, 2017

Aggiornamento sito ad Https
Il sito è stato aggiornat...Gennaio 30, 2017

Auguri per un Felice Natale ed un Sereno 2017
Il Natale è alle porte e ...Dicembre 22, 2016

Referendum 2016. Forse che Si, forse che No
Il giorno del voto è fina...Dicembre 4, 2016

Condividi con chi ami

Questa pagina potrebbe contenere link di affiliazione. Gli acquisti o gli ordini che effettuerai tramite tali link possono generare commissioni che ci aiutano a sostenere questo sito web.

Cookie	Durata	Descrizione
cookielawinfo-checbox-analytics	11 months	Questo cookie è impostato dal plugin "GDPR Cookie Consent". Il cookie è utilizzato per salvare il consenso dell'utente per i cookie della categoria "Analitics".
cookielawinfo-checbox-functional	11 months	Questo cookie è impostato dal plugin "GDPR Cookie Consent". Il cookie è utilizzato per salvare il consenso dell'utente per i cookie della categoria "Funzionali".
cookielawinfo-checbox-others	11 months	Questo cookie è impostato dal plugin "GDPR Cookie Consent". Il cookie è utilizzato per salvare il consenso dell'utente per i cookie della categoria "Altro".
cookielawinfo-checkbox-advertisement	1 year	Questo cookie è impostato dal plugin "GDPR Cookie Consent". Il cookie è utilizzato per salvare il consenso dell'utente per i cookie della categoria "Pubblicità".
cookielawinfo-checkbox-necessary	11 months	Questo cookie è impostato dal plugin "GDPR Cookie Consent". Il cookie è utilizzato per salvare il consenso dell'utente per i cookie della categoria "Necessari".
cookielawinfo-checkbox-performance	11 months	Questo cookie è impostato dal plugin "GDPR Cookie Consent". Il cookie è utilizzato per salvare il consenso dell'utente per i cookie della categoria "Performance".
CookieLawInfoConsent	1 year	Questo cookie registra il valore di default dello stato del pulsante della categoria di cookie corrispondente. Funziona esclusivamente in coordinamento del cookie primario.
viewed_cookie_policy	11 months	Questo cookie è impostato dal plugin "GDPR Cookie Consent". Il cookie è utilizzato per salvare se l'utente abbia dato il proprio consenso all'utilizzo dei cookie e non salva acun dato personale dell'utente.
wordpress_test_cookie	session	Questo cookie è utilizzato esclusivamente da questo sito web per verificare se i cookie sono abilitati all'interno del browser dell'utente.

Cookie	Durata	Descrizione
wp-resetpass-9f4ed46c3692f094c573777cfd5973cc	past	Questo cookie è utilizzato da questo sito web per motivi di sicurezza nel caso di richiesta di "Reset password"
wpcom_highlander_3pc_check	session	Questo cookie è utilizzato da questo sito web per funzionalità interne di controllo.

Cookie	Durata	Descrizione
__gads	1 year 24 days	Questo cookie è impostato da Google ed è salvato all'interno del dominio DoubleClick. Esso traccia il numero di volte che un utente visualizza una pubblicità; misura il successo di una campagna pubblicitaria e calcola il suo guadagno. Questo cookie può essere letto solo dal dominio che lo ha impostato e non traccia alcun dato dell'utente durante la navigazione in altri siti web.
CONSENT	2 years	Questo cookie è impostato da YouTube tramite gli "embedded youtube-videos" e registra dati statistici anonimi.

Cookie	Durata	Descrizione
GoogleAdServingTest	session	Questo cookie è impostato da Google ed è utilizzato per il tracciamento pubblicitario. Informazioni più dettagliate su questo cookie non sono disponibili.
IDE	1 year 24 days	Questo cookie è impostato da DoubleClick ed è utilizzato da Google per conservare informazioni circa le modalità di utilizzo del sito web da parte dell'utente in modo da poter presentare all'utente stesso annunci pubblicitari pertinenti, in accordo con il profilo dell'utente.
test_cookie	15 minutes	Questo cookie è impostato da doubleclick.net ed è utilizzato per determinare se il browser dell'utente supporta i cookie.
VISITOR_INFO1_LIVE	5 months 27 days	Questo cookie è impostato da YouTube per misurare il quantitativo di banda trasmissiva disponibile dell'utente in modo da poter determinare la tipologia e la versione dell'interfaccia dello YouTube Player da utilizzare.
YSC	session	Questo cookie è impostato da YouTube ed è utilizzato per tracciare le visualizzazioni dei video integrati nelle pagine di YouTube.
yt-remote-connected-devices	never	Questo cookie è impostato da YouTube ed è utilizzato per salvare le preferenze dell'utente che utilizza i video integrati di YouTube.
yt-remote-device-id	never	Questo cookie è impostato da YouTube ed è utilizzato per salvare le preferenze dell'utente che utilizza i video integrati di YouTube.

Signal o WhatsApp. Sicurezza e Privacy

Che cosa è WhatsApp

Un po’ di storia di WhatsApp