Signal vs WhatsApp

Signal o WhatsApp. Sicurezza e Privacy

Quanto sono sicure le App di messaggistica per il mobile: Signal, WhatshApp, Telegram, SnapChat, Messenger, Viber, solo per citare le più famose? Soprattutto da quando smartphone e tablets hanno cominciato rapidamente a rimpiazzare i vecchi PC, agevolando la comunicazione in mobilità.

A leggere bene l’articolo che The Intercept  ha pubblicato recentemente sull’argomento, si scoprono parecchie cose importanti sulle funzionalità di queste utili ed importanti App. In questo articolo ho provato qui di sintetizzare le informazioni raccolte da varie fonti per cercare di ottenere un quadro più chiaro sull’argomento.

WhatsApp LogoChe cosa è WhatsApp

La domanda potrebbe sembrare oziosa ed inutile, ma a leggere le varie note che mirano a dare una risposta, ci si accorge presto che troppo spesso rimangono sul vago, enfatizzando molto alcuni aspetti e glissando miseramente su altri. Non a caso, ricercando nel web, è estremamente facile imbattersi in affermazioni che suonano pressappoco così:

WhatsApp è un’applicazione di messaggistica multi-piattaforma che permette di inviare messaggi, foto, video, documenti e registrazioni vocali ad altri utenti via Internet utilizzando come identificativo il proprio numero di telefono.

Il che è senz’altro vero, anzi, verissimo. Tuttavia, troppo spesso, poco o nulla viene detto (o detto sottovoce) a riguardo delle implicazioni nell’utilizzo di questa App. Ma cerchiamo di partire dall’inizio e di seguire un percorso logico.

Un po’ di storia di WhatsApp

WhatsApp è un’applicazione inizialmente sviluppata nel 2009 da Jan Koum e da Brian Acton, due ex dipendenti di Yahoo!, che fondarono WhatsApp Inc. e ne iniziarono la commercializzazione. Cosa piuttosto curiosa in questo ambiente, l’applicazione richiedeva all’iscrizione, il pagamento di una quota di pochi centesimi l’anno per poterla utilizzare e sembra che sia stata proprio questa la chiave del suo successo: il fatto che non fosse Gratis ne faceva qualcosa di implicitamente “serio” ed attendibile. Nel tempo, l’applicazione è diventata via via sempre più popolare ed utilizzata; finché, un bel giorno, il signor Mark Zuckerberg (CEO di Facebook) fiutò l’affare e l’acquisì nel 2014, sborsando la ragguardevole cifra di 19 miliardi di dollari (fonte: Wikipedia).

Con una così poderosa azienda alle spalle, WhatsApp ha ulteriormente guadagnato fette di mercato sempre più grandi; tanto che, ad oggi, si stima che abbia raggiunto la spaventosa cifra di oltre un miliardo di utenti (1 miliardo stimato a febbraio 2016, secondo Wikipedia). Un bel successo, non c’è che dire.

Nel frattempo l’applicazione ha subito varie rivisitazioni e rimaneggiamenti; fintanto che sulla spinta della poderosa degli utenti che chiedevano più privacy e sicurezza, è stata equipaggiata con quella che comunemente viene chiamata: Crittografia End-To-End (ovvero: solo il mittente ed il destinatario possono conoscere i contenuti della conversazione).

Alcune cose Pro e Contro WhatsApp

Le Stalker Features

Cioè tutte quelle funzionalità che dicono un mucchio di cose, ma che nulla hanno a che fare con la comunicazione. Forse sono utili se si lavora alla CIA o al Foreign Office; ma credo che sì si utilizzi dell’altro per comunicare.

  • Contatto Online. Sostanzialmente informa se Tizio o Caio sono online e da quando (ore, minuti, secondi). È davvero importante, oppure serve semplicemente solo ad innescare la paranoia del guardone?
  • Ultimo Accesso. Come sopra. Non è per caso che ci troviamo in presenza di un’invasione della privacy da brividi lungo la schiena. È vero che si può disabilitare, ma è attiva di default (non so se il fornaio o il chirurgo, o il mio avvocato sanno manovrare questi settaggi).
  • Messaggio Consegnato/Letto. I famosi 3 “baffetti”. 1° – Informa se il messaggio è stato inviato 2° – se il messaggio è stato è stato consegnato, 3° – se il messaggio è stato letto. Beh, se il messaggio è stato consegnato, posso stare tranquillo: il destinatario lo leggerà quando è comodo. Altrimenti, suggerirei di chiamare il destinatario e parlare con lui/lei, che magari è anche meglio.
  • Messaggio Ignorato. Come sopra. Nel momento in cui mi arriva un messaggio, magari ho un milione di motivi: sono occupato e potrò leggerlo solo fa qualche ora, non che voglio ignorare il mittente. Perché il mittente deve per forza farsi idee sbagliate su di me?
  • Indicazione “Sta Scrivendo…”. Molto utile per qualcuno che ha la smania di sapere cosa sta facendo il suo interlocutore. M a mio parere, utile solo per aumentare l’ansia per quello che si leggerà di lì a poco. Direi: inutile e dannosa.
Leggi anche:  Fidel Castro. Addio Líder Máximo

La riservatezza dei Dati

Ovvero, che fine fanno le informazioni delle conversazioni (testo, immagini, eccetera), e quelle nel dispositivo.

  • Messaggi di testo. Da quando, nel 2016 WhatsApp ha introdotto la crittografia end-to-end, (da un capo all’altro della conversazione),  WhatsApp non può leggere i contenuti dei messaggi; tuttavia l’Azienda si riserva di mantenere i Metadati, tramite i quali è sempre possibile risalire a “chi a conversato con chi”. Non vorrei trovarmi nelle condizioni in cui, se qualcuno ha problemi con la giustizia, a dovermi giustificare sul perché il mio numero di telefono si trova nei suoi contatti e perché ha conversato con me.
  • Messaggi multimediali. Da non dimenticare mai, che le foto ed i filmati vengono salvati sullo smartphone e verranno inesorabilmente salvati nel Cloud, ad ogni backup del telefono. In questo modo, anche se il messaggio era in origine criptato, ora verrà salvato in chiaro nel Cloud. Con buona pace della privacy e tutto il resto. Inoltre, tutti questi dati, occupano inesorabilmente prezioso spazio nel mio dispositivo mobile! Esiste comunque la possibilità di evitare che tutti i video e le foto vengano salvati nello smartphone, questa opzione  è attivata di default, e per disattivarla bisogna intervenire manualmente.
  • I Contatti. Si, esattamente. I contatti che sono nello smartphone; in altre parole la rubrica. Durante l’installazione WhatsApp chiede (è costretto a farlo), se si desidera sincronizzare i contatti con l’applicazione. Che potrebbe essere tradotto in: “Desideri trasferire i dati della tua rubrica nei server di WhatsApp? Bada, che se non lo fai, molte funzionalità dell’applicazione potrebbero non essere disponibili!“? Ma che ci fa WhatsApp Inc. con la rubrica del mio telefono? Forse la vende a qualcuno? Dice che serve per far alcune statistiche utili a migliorare il servizio. Credo piuttosto che le sia utilissima per ricostruire la rete di relazioni tra le persone e che sarebbe interessante approfondire questo aspetto.
  • Il Profilo. Come sopra. L’applicazione WhatsApp legge il profilo, quello del proprietario dello smartphone. Che ci fa? a chi lo manda? E chi lo riceve, che utilizzo ne fa? Come viene correlato alle informazioni dei contatti? Anche questo aspetto dovrebbe essere approfondito e chissà cosa ne potrebbe saltar fuori.
  • La Posizione Geografica. Come sopra. Sappiamo bene che dietro a tutto questo ci sono fior fior di antropologi, sociologi e psicologi che studiano costantemente il comportamento umano (e delle masse) per fornire preziose informazioni ai settori dell’azienda che si occupano di monetizzare. Anche per questo aspetto, potrebbe essere utilissimo un approfondimento.
  • Il Dispositivo. Anche le informazioni riguardanti il dispositivo in sé, vengono raccolte e spedite ai server di WhatsApp. Tra cui, quali e quante altre App sono installate, il tipo di dispositivo, lo stato, quanta memoria, con quale rete accedo ad internet più di frequente, e via discorrendo. Capisco l’invasione della mia vita privata, ma anche quella del mio smartphone, mi sembra un tantino eccessivo.
  • Backup delle Conversazioni. Se è attivo il backup dello smartphone o del tablet, le conversazioni, le foto, le immagini, i filmati e quant’altro sono trasferiti nel Cloud (che sia Google o iCloud). Pertanto Tutta questa roba personale, andrà a finire da qualche parte, chissà dove nel Cloud; alla mercé di qualche smaliziato individuo che potrà disporne a suo piacimento. Va però detto che WhatsApp mette a disposizione dell’utente la possibilità di disattivare questa opzione, intervenendo manualmente: resta il fatto che il postino, il macellaio o l’avvocato forse non sono tutti così smart da sapere come fare.

In Generale

Ovvero, il problema delle Easter Eggs e dei cavalli di Troia.

  • Pubblicità. L’app non inserisce alcun banner pubblicitario (il che è un’ottima cosa)
  • Il comportamento della App. Nessuno degli utilizzatori sa per certo cosa in realtà cosa faccia il programma che fa funzionare l’App vera e propria. Il codice del programma non è di dominio pubblico, pertanto non è possibile sapere a priori se esiste qualche meccanismo che possa in qualche modo ed in qualche circostanza aggirare gli ostacoli della cifratura delle conversazioni, rendendole (anche solo in parte) note ai gestori del servizio.
  • Utilizzo dal PC. Esistono diverse applicazioni disponibili in rete per rendere possibile l’uso di WhatsApp dal PC; tuttavia, tutte queste prevedono che il proprio smartphone sia acceso e collegato ad internet, durante l’utilizzo dell’App sul PC.
  • Lo Standard. Non utilizza uno standard universale vero e proprio, per cui solo se hai WhatsApp puoi comunicare con altri utenti WhatsApp.
Leggi anche:  L'erba del vicino è sempre più verde

Altre Note

Ovvero Tutto ciò che non è stato detto fin qui di WhatsApp.

Personalmente diffido sempre delle applicazioni gratuite rilasciate da grandi aziende come WhatsApp (leggi Facebook). Mi insospettisce il fatto che chi ti sta regalando qualcosa sia qualcuno che, o ti fa pagare anche l’aria che respiri, oppure ti bombarda di pubblicità: perché mai dovrebbe farti un regalo così costoso? Non dimentichiamo che lo sviluppo di un’applicazione del tipo di WhatsApp richiede tipicamente qualche migliaio di ore-uomo di lavoro. Chi paga per questo? A tale proposito mi torna sempre in mente una frase che mi diceva spesso un mio vecchio e caro amico:

Quando il diavolo ti accarezza, vuole la tua anima

Autore ignoto

 

Signal LogoChe cos’è Signal

Signal è anch’essa un’applicazione di messaggistica istantanea ed a leggere bene l’articolo di Wikipedia, ci si accorge subito che fa uso della crittografia; che in questo caso sembra essere un aspetto importante della questione.

Brevissima storia di Signal

La storia di Signal è piuttosto breve e travagliata. In estrema sintesi, Signal nasce dal ricercatore di sicurezza, noto con lo pseudonimo Moxie Marlinspike e lo studioso di robotica Stuart Anderson, che insieme fondarono nel 2010 Whisper Systems commercializzando inizialmente “TextSecure”, un’applicazione per inviare e ricevere SMS cifrati e “RedPhone”, un’applicazione per le chiamate vocali cifrate. Nel 2011 Twitter acquisisce Whisper Systems, per tentare di integrare questa tecnologia ai propri servizi. Poco dopo però Marlinspike lascia Twitter e fonda Open Whisper Systems, come progetto di collaborazione Open Source per lo sviluppo dei client “TextSecure” e “RedPhone”, molto apprezzati  nei paesi con regimi autoritari.

Alcune cose Pro e Contro Signal

Le Stalker Features.

Sostanzialmente non ve ne sono o sono pochissime.

  • Contatto Online. Semplicemente, non c’è. Non è possibile sapere se uno dei tuoi contatti ha il telefono acceso oppure no, se è online oppure no. Con buona pace della privacy.
  • Ultimo Accesso. Come sopra. Non c’è.
  • Messaggio Consegnato/Letto. Qui i “baffetti” sono solo 2: 1° – Informa se il messaggio è stato inviato; 2° – se il messaggio è stato è stato consegnato, ma non “quando”.  Il destinatario lo leggerà, se vorrà, quando più gli aggrada.
  • Messaggio Ignorato. Come sopra. Nel momento in cui mi arriva un messaggio, magari ho un milione di motivi per non rispondere immediatamente: sono occupato e potrò leggerlo solo fa qualche ora, non che voglio ignorare il mittente. Perché il mittente deve per forza farsi idee sbagliate su di me?
  • Indicazione “Sta Scrivendo…”. Come sopra. Questa indicazione non c’è in Signal. Chi scrive può prendersela comoda e chi legge non deve farsi per forza venire l’ansia da messaggio.

La riservatezza dei dati

Ovvero, che fine fanno le informazioni delle conversazioni(testo, immagini, eccetera), e quelle nel dispositivo.

  • Messaggi di testo. Signal non conserva in alcun modo i messaggi di testo, che tuttavia restano sempre criptati, né i Metadati della conversazione i quali, secondo quanto concisamente citato dalla Privacy Policy, Signal non salva i Metadati.
  • Messaggi multimediali. Le immagini e i filmati in Signal non appaiono sfocate sullo schermo, fin quando non vengono aperte; è immediatamente visibile la miniatura, così che sarà possibile decidere se aprirla o no (WhatsApp presenta solo immagini sfuocate ed incomprensibili, che devo necessariamente aprire, per capire di che si tratta). Quando si apre l’immagine o il filmato, si potrà scegliere se salvarlo o meno sul dispositivo, e comunque cancellarlo anche in un secondo momento. Le comunicazioni, le immagini ed i filmati non sono sotto il controllo del Backup del telefono, pertanto non vengono mai trasferite nel Cloud.
  • I Contatti. La rubrica viene effettivamente inviata ai server di Signal, ma prima di essere inviata viene cifrata, tramite una funzione di hashing (quindi, offuscata)  e comunque non collezionabile, anche per via del fatto che i numeri di telefono della rubrica vengono troncati. A Signal, non interessano i numeri di telefono, per individuare un contatto è sufficiente l’identificativo.
  • Il Profilo. Anche Signal salva nei suoi server parte del profilo, ma a giudicare dalla lettura della Privacy Policy, viene salvato solo ciò che è strettamente funzionale alle funzionalità di base (come ad esempio, l’avatar utilizzato).
  • La Posizione Geografica. Non viene rilevata. Anche se l’App richiede l’accesso locale al dispositivo per la geo-localizzazione, ma tali informazioni non vengono trasmesse ai server di Signal.
  • Il Dispositivo.  Sono rilevate localmente dalla App alcuni dispositivi interni per le funzionalità di base, ma tali informazioni non vengono trasmesse ai server di Signal.
  • Backup delle Conversazioni. Semplicemente non c’è modo di fare il backup nel Cloud. Ovvero, se è attivo il backup dello smartphone o del tablet, le conversazioni, le foto, le immagini, i filmati e quant’altro NON sono trasferiti nel Cloud, sia che si tratti di Google o di Apple. Il backup delle conversazioni, dei contenuti multimediali ed i Metadati delle conversazioni vocali può essere fatto solo manualmente, seguendo un’apposita procedura manuale.
Leggi anche:  Auguri per un Felice Natale ed un Sereno 2017

In Generale

Ovvero, siamo sicure che l’App fa proprio quello che dice di fare?

  • Pubblicità. L’app non inserisce alcun banner pubblicitario (il che è un’ottima cosa).
  • Il comportamento della App. Chiunque può sapere come effettivamente funziona l’App. Open Source.
  • Signal for Google Chrome on PCUtilizzo dal PC. Esistono diverse applicazioni disponibili in rete per rendere possibile l’uso di Signal dal PC. Nella fattispecie l’estensione Signal Private Messenger per google-chrome, che puoi trovare qui, è molto efficace, anche se con alcune limitazioni rispetto all’App installata nello smartphone. Dai un’occhiata all’immagine di seguito.
  • Lo Standard. Non utilizza uno standard universale vero e proprio, per cui solo se hai Signal puoi comunicare con altri utenti Signal.

Altre Note

Ovvero Tutto ciò che non è stato detto fin qui di Signal.

Come sottolineato, Signal è Open Source e rilasciata con licenza GPLv3, pertanto il codice sorgente dell’applicazione è pubblico; è sufficiente avere la capacità di leggerlo, oltre ad un po di voglia di farlo, per accertarsi sul reale comportamento dell’App. Ciò è un aspetto cruciale, per quanto riguarda sia la sicurezza che la privacy; in quanto, la comunità degli sviluppatori, costantemente impegnati a migliorare il codice sorgente, contribuisce non poco a far si che Signal sia sempre aggiornato ai più rigidi standard per la comunicazione sicura.

Per i più curiosi e gli smanettoni, il software è liberamente disponibile per il download:  qui per la versione Android, qui per la versione iOS e qui per il qui per il codice sorgente del Server. Per dirla tutta, potremmo ricreare Signal in tutte le sue parti, a casa nostra; ovviamente potendo disporre di tutte le conoscenze necessarie.

Inoltre, sappiamo per certo che Edward J. Snowden, il famoso ex tecnico della CIA noto per la pubblicazione di documenti riservati dell’Intelligence USA, utilizza Signal per le sue comunicazioni riservate; come per altro, affermato da egli stesso in un suo famoso Tweet.

Edward Snowden uses Signal

È ovvio che questo può significare poco e non può considerarsi una garanzia, ma se un personaggio del calibro di Snowden, utilizza questo strumento, vale la pena almeno farci un pensierino.

E come la mettiamo, con Signal, la faccenda del “quando il diavolo ti accarezza vuole la tua anima“? In questo contesto è assai diverso! Forse anche Signal un giorno verrà acquistata da qualche grande e nota azienda privata che vorrà piegarla ai suoi interessi, snaturandola in qualche misura delle sue principali qualità (ricordiamo tutti cosa è successo a Skype…), ma mi piace pensare che proprio le sue peculiarità non la rendono, almeno per il momento, appetibile ai Signori del Web. Pertanto, fino ad allora, è e rimane l’App preferita.

 

Please follow and like us:

Commenta

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.