Chat sicura: quali sono e come scegliere le migliori app per conversazioni private

Le applicazioni di messaggistica istantanea (Instant Messaging) sono in assoluto le applicazioni più usate e più scaricate negli smartphone di tutto il mondo, soprattutto in questo periodo di distanziamento sociale e di smart working in quanto offrono la possibilità di avviare una sessione di chat sicura cifrando le comunicazioni, in particolare quelle di lavoro.

Ma quanto sono davvero sicure le app di messaggistica istantanea? Visto il gran numero di applicazioni disponibili sui vari store mobile, non è semplice scegliere quella che offre il miglior livello di protezione delle nostre conversazioni. In questa guida ragionata impareremo tutti i segreti delle app di messaggistica istantanea, capiremo come funzionano e acquisiremo le competenze giuste per scegliere le migliori.

La diffusione della messaggistica istantanea

Le applicazioni di messaggistica istantanea stanno sostituendo anche le e-mail, perché più veloci e pratiche da usare.

WhatsApp è l’applicazione di messaggistica istantanea più diffusa al mondo: il 12 febbraio 2020 ha comunicato di aver raggiunto i 2 miliardi di utenti nel mondo. Creata nel 2009 da Jan Koum e Brian Acton, nel febbraio 2014 è stata acquistata da Facebook Inc. per 19 miliardi di dollari.

Stranamente, WhatsApp non è la più diffusa negli Usa dove registra 68 milioni di utenti (appena il 20% della popolazione) ed è solo al terzo posto, preceduta da Facebook Messenger (con 117 milioni a fine 2019) e iMessage di Apple.

WhatsApp è pressoché assente anche in Cina (dove predomina WeChat), perché proibita e usata solo clandestinamente. Ma nella gran parte del mondo WhatsApp è il sistema di chat più diffuso e lo è anche in Italia, con 32 milioni di utenti attivi (pari al 54% della popolazione ed a oltre il 95% di tutti gli utenti delle app di messaggistica).

Al secondo posto nella classifica delle app di messaggistica istantanea più utilizzate nel nostro Paese si colloca Facebook Messenger con poco più di 23 milioni di utenti mensili, seguono poi Telegram (9 milioni di utenti italiani, oltre 400 milioni nel mondo), Skype (3,5 milioni in Italia), infine iMessage (l’app di Apple, utilizzabile solo sugli iPhone) e Viber (840.000).

Chat sicura: come valutare le app di Instant Messaging

L’Instant Messaging viene usato spesso anche per comunicazioni aziendali, in alternativa all’e-mail. Questo non sarebbe sbagliato, in termini di sicurezza, perché oggi tutti i sistemi IM implementano nativamente la crittografia end-to-end (E2E) e ciò li rende intrinsecamente più sicuri dell’e-mail, che utilizza ancora protocolli di trasmissione come l’SMTP sviluppati negli Anni 80 e notoriamente insicuri.

Tuttavia, proprio a causa della loro enorme diffusione, sono diventate un obbiettivo appetibile anche per il cyber crime. Sono molte le applicazioni IM presenti sul Play Store di Google e sull’App Store di Apple e questa possibilità di scelta permette a chi è davvero attento alla propria privacy – o debba trattare informazioni delicate – di trovare interessanti soluzioni alternative a quelle più note, tra cui WhatsApp.

Nel valutare il livello di sicurezza delle applicazioni di messaggistica istantanea è importante tenere in considerazione alcuni aspetti:

1. la diffusione: un’applicazione molto diffusa sarà sicuramente più esposta ad ogni tipo di attacco: ci saranno molti gruppi di ricercatori, analisti e cyber attaccanti che continuamente ne ricercheranno vulnerabilità da sfruttare;

2. il business model: conoscere il modello di business sul quale queste applicazioni si reggono è fondamentale. Sono quasi tutte gratuite e questo ci obbliga a chiederci in che modo guadagnano o, quantomeno, su cosa si reggono. È persino superfluo richiamare qui la frase che “Se sul web qualcosa è gratis, tu sei il prodotto…”. L’asset intangibile che sta dietro al business potrebbero essere i dati, i nostri dati, quelli che Tim Berners-Lee (l’inventore del World Wide Web) ha definito efficacemente “il petrolio del terzo millennio”.

3. i dati che vengono trasmessi e ricevuti: sarebbe opportuno definire una tassonomia dei dati, in altre parole classificare il dato in funzione della sua importanza (pubblico, interno, riservato, ecc.). Potrebbe sembrare una misura ridondante (e lo è, se usiamo i messaggi solo per inviare le foto di una cena tra amici…), ma diventa importante nel momento in cui nei nostri messaggi viaggiano informazioni importanti, aziendali e riservate. In un certo senso, le metodologie che applichiamo nella privacy dovrebbero essere considerate anche quando abbiamo in mano lo smartphone.

Chat sicura: caratteristiche delle app di messaggistica istantanea

Sono fondamentalmente tre la caratteristiche di sicurezza da prendere in considerazione nella scelta dell’app di IM, soprattutto se questa verrà poi utilizzata in ambito aziendale e per lo scambio di materiale e informazioni riservate.

La crittografia end-to-end (E2E)

Oggi tutte le applicazioni di IM implementano nativamente la crittografia end-to-end (E2E), con la parziale eccezione di Telegram e di Facebook Messenger.

La crittografia end-to-end (letteralmente “da un estremo all’altro”) è un sistema di comunicazione cifrata dove solo il mittente ed il destinatario possono leggere i messaggi. Serve ad impedire l’attacco “man in the middle” (MITM). Questi attacchi puntano a rubare dati e informazioni personali, intercettando “in the middle” la comunicazione tra due utenti.

Acquisendo il traffico di rete di una comunicazione crittografata si ricavano invece pacchetti di dati incomprensibili ed inutilizzabili, dato che le chiavi con cui la comunicazione viene cifrata non sono conosciute dall’attaccante.

La crittografia end-to-end si basa sulla crittografia asimmetrica (detta “a chiave pubblica”), realizzata mediante la generazione di una coppia di chiavi, una “privata” e una “pubblica” che sono differenti, ma legate tra loro da un algoritmo.

Il doppio paio di chiavi crittografiche (ognuno dei due utenti che si scambia il messaggio avrà due chiavi) è necessario per cifrare e decifrare i messaggi in partenza ed in arrivo. Ogni utente utilizzerà una propria chiave pubblica e una propria chiave privata, La chiave privata è destinata a rimanere sul dispositivo di ciascuno dei due “endpoint” e servirà a decrittare i messaggi in arrivo; la chiave pubblica, invece, sarà condivisa con l’interlocutore e verrà utilizzata per crittografare i messaggi in uscita.

Grazie a questa tecnica, le comunicazioni, pur viaggiando attraverso canali “aperti” e potenzialmente intercettabili (come è Internet), saranno leggibili solo dal dispositivo che ospita la chiave privata legata alla chiave pubblica utilizzata nel processo di crittografia.

Quindi se una comunicazione è crittografata end-to-end è sicura? Tecnicamente lo è, ma questo non significa che qualcuno non possa riuscire a leggerla. Il punto debole può essere il dispositivo stesso e soprattutto l’uso che ne fa l’utente (e come sempre torniamo a porre l’attenzione sul “fattore umano”).

In altre parole: se una delle due estremità (endpoint) viene compromessa, se il nostro telefono viene rubato o violato (per esempio con uno spyware, o captatore informatico) o fisicamente confiscato dalla polizia e sbloccato, la crittografia non serve più a nulla.

I Metadati

Esiste nelle applicazioni di messaggistica un’altra criticità, poco nota e grandemente sottovalutata: sono i Metadati. Abbiamo spiegato che il messaggio non è leggibile grazie alla crittografia E2E, ma in realtà, assieme al messaggio, vengono trasmesse molte altre informazioni, definite appunto “metadati”.

I metadati vengono registrati anche quando scattiamo una foto con lo smartphone: sono il luogo ed ora dello scatto, nome del dispositivo utilizzato, l’apertura del diaframma, il tempo di esposizione e molte altre informazioni.

Si tratta quindi di una “fingerprint” (impronta digitale elettronica) che aggiunge automaticamente dati identificativi al messaggio. Tali dati possono fornire ad un soggetto terzo informazioni importanti. Questo permette di profilarci e di costruire il nostro grafo sociale (“Social Graph”).

Conservazione dei dati e backup delle chat

I messaggi ed i relativi metadati risiedono nel nostro smartphone, ma non solo. In alcuni casi potrebbero essere conservati anche sui server del fornitore dell’applicazione. Lo stesso accade per i tradizionali Sms che rimangono nelle mani (e nei server) delle società telefoniche che ci forniscono il servizio.

La scelta di salvare i messaggi ed i relativi backup sui server del provider e/o in cloud genera molte implicazioni che impattano sulla funzionalità della chat, ma anche sul suo livello di privacy e sicurezza.

I vantaggi sono:

• maggiore interoperabilità tra dispositivi diversi;
• possibilità di recupero dei messaggi;
• trasferimento delle chat verso un nuovo dispositivo;

mentre gli svantaggi sono:

• i dati ed i backup potrebbero non essere crittografati, quindi, accessibili per un attaccante o resi disponibili su richiesta di autorità governative o polizie;
• anche se crittografati, le chiavi crittografiche sono in possesso dei provider del servizio che potrebbero essere obbligati a consegnarle. Ricordiamo che dall’ottobre 2001 negli Stati Uniti è in vigore lo USA Patriot Act, che ha molto ampliato i poteri delle agenzie investigative statunitensi, quali CIA, FBI e NSA ed ha conseguentemente ridotto la privacy degli utenti. In forza di questa legge un provider americano (per esempio Facebook/WhatsApp) sarebbe obbligato a fornire l’accesso ai dati che gli venissero richiesti.

 

Fonte: Cybersecurity360