WhatsApp e sistemi di messaggistica istantanea: ci possiamo fidare?

Oggi tutti usiamo le applicazioni di Messaggistica Instantanea (IM) e le usiamo anche per comunicazioni importanti e riservate, spesso come comoda alternativa all’email. Ma queste applicazioni sono sicure? E soprattutto quali sono le più adatte per difendere la nostra privacy?

Sommario

WhatsApp è l’applicazione di messaggistica istantanea più diffusa al mondo: il 12 febbraio 2020 ha comunicato di aver raggiunto i 2 miliardi di utenti nel mondo. Creata nel 2009 da Jan Koum e Brian Acton, nel febbraio 2014 è stata acquistata da Facebook Inc. per 19 miliardi di dollari.

Nell’immagine tratta dallo studio di “We are social” di gennaio 2020 si vede la distribuzione delle applicazioni IM nel mondo, ove le aree di colore verde sono proprio quelle dominate da WhatsApp.
Stranamente, WhatsApp non è la più diffusa negli Usa dove registra 68 milioni di utenti (appena il 20% della popolazione) ed è solo al terzo posto, preceduta da Facebook Messenger (con 117 milioni a fine 2019) e iMessage di Apple.
Si vede anche come WhatsApp sia pressoché assente in Cina (dove predomina WeChat), perché proibito ed usato solo clandestinamente.
Ma nella gran parte del mondo WhatsApp è il sistema di chat più diffuso e lo è anche in Italia con 32 milioni di utenti attivi (pari al 54% della popolazione ed a oltre il 95% di tutti gli utenti delle app di messaggistica).
Al secondo posto si colloca Facebook Messenger con poco più di 23 milioni di utenti mensili, seguono poi Telegram (9 milioni di utenti italiani, oltre 400 milioni nel mondo), Skype (3,5 milioni in Italia), infine iMessage (l’app di Apple, utilizzabile solo sugli iPhone) e Viber (840.000).

Proprio perché così diffusa, WhatsApp è stata oggetto di frequenti attacchi, come spiego in questo articolo. Tuttavia continua ad essere la più usata, anche da personaggi famosi, che – per la loro notorietà – dovrebbero fare molto attenzione a non essere spiati. E invece… 

Il caso più recente e clamoroso riguarda addirittura Jeff Bezos, il fondatore di Amazon, oltre che l’uomo più ricco del mondo.
Il fatto è stato reso noto dal Guardian a gennaio 2020, ma la storia risale a circa due anni fa: il primo maggio 2018 Jeff Bezos riceve un video su WhatsApp. A mandarglielo è una sua recente conoscenza, niente meno che Mohammed bin Salman (MBS come lo chiamano in molti), il principe ereditario dell’Arabia Saudita. Il breve video non ha nulla di particolare e Jeff Bezos lo apre, evidentemente senza farsi molte domande.
Da quel momento il suo iPhone inizia a trasmettere verso l’esterno una grande quantità di dati e questa attività è continuata per mesi. Tutto questo è stato scoperto quando Bezos, insospettito, ha fatto analizzare l’iPhone da una società di sicurezza. E si è saputo che attraverso il video di WhatsApp, nell’iPhone di Bezos era stato introdotto Pegasus, lo spyware più micidiale del mondo, prodotto dalla società israeliana NSO Group , leader mondiale dei software spia per dispositivi mobili.
L’Arabia Saudita e MBS hanno subito respinto sdegnosamente le accuse di spionaggio, ma il sospetto di un loro coinvolgimento è forte. Anche perché lo stesso spyware Pegasus è stato trovato anche nell’iPhone del giornalista e dissidente saudita Jamal Khashoggi, che  il 2 ottobre 2018 è scomparso all’interno del consolato saudita di Istanbul e poi ucciso. Khashoggi era un giornalista del Washington Post, il cui  proprietario è Jeff Bezos. Da tempo il Washington Post e Khashoggi conducevano una campagna di stampa dove non risparmiavano critiche a MBS contro la repressione dei diritti civili in Arabia Saudita. Quindi per l’erede al trono saudita sia Bezos che Khashoggi erano personaggi scomodi.

Ma perché un personaggio famoso come Bezos utilizzava WhatsApp per i suoi messaggi?

Come ha giustamente evidenziato Andrea Zapparoli Manzoni (membro del Comitato Direttivo Clusit e Direttore di Crowdfense): “Perché queste persone usano WhatsApp, che è un’applicazione commerciale senza particolari requisiti di sicurezza, per trattare informazioni delicate? Ciò li espone a rischi inutili. Chi tratta informazioni riservate non dovrebbe utilizzare – per policy – strumenti del genere, neanche per comunicazioni con amici o familiari. Non si può pretendere che un’app gratuita e di massa si preoccupi anche della nostra sicurezza”.

WhatsApp e sistemi di messaggistica istantanea: quanto sono sicuri? 

L’Instant Messaging (IM) è diventato il sistema di comunicazione più diffuso e viene usato spesso anche per comunicazioni aziendali, in alternativa all’email. Questo non è sbagliato, in termini di sicurezza, perché oggi tutti i sistemi IM implementano nativamente la crittografia end-to-end e ciò li rende intrinsecamente più sicuri dell’e-mail, che utilizza ancora protocolli di trasmissione come l’SMTP (Simple Mail Transfer Protocol) sviluppati negli Anni 80 e notoriamente insicuri.
Tuttavia, proprio a causa della loro enorme diffusione, sono diventate un obbiettivo appetibile anche per il cybercrime.
Si pone anche un problema di libertà, perché la vulnerabilità di queste applicazioni può mettere a rischio la libertà, la privacy e la sicurezza delle persone, come ha evidenziato EFF (Electronic Frontier Foundation), associazione che si occupa della difesa dei diritti della rete) che ha analizzato le app di messaggistica. Lo studio è stato realizzato a novembre 2014 ed aggiornato fino ad aprile 2016, quindi oggi è da considerarsi superato (perché le app vengono continuamente aggiornate), ma è comunque un documento interessante che può essere consultato a questo link.

Sono molte le applicazioni IM presenti sul Play Store di Google e sull’AppStore di Apple e questa possibilità di scelta permette a chi è per davvero attento alla propria privacy di trovare interessanti soluzioni alternative a WhatsApp.
Questa rimane la più diffusa ma non certo la più sicura, come vedremo ora.

Nel valutare il livello di sicurezza delle applicazioni di messaggistica istantanea è importante tenere in considerazione alcuni aspetti:

  1. la diffusione: un’applicazione molto diffusa sarà sicuramente più esposta ad ogni tipo di attacco: ci saranno molti gruppi di ricercatori, analisti e cyber attaccanti che continuamente ne ricercheranno vulnerabilità da sfruttare;
  2. il business model: conoscere il modello di business sul quale queste applicazioni si reggono è fondamentale. Sono quasi tutte gratuite e questo ci obbliga a chiederci in che modo guadagnano o, quantomeno, su cosa si reggono. È persino superfluo richiamare qui la frase che “Se sul web qualcosa è gratis, tu sei il prodotto…”. L’asset intangibile che sta dietro al business potrebbero essere i dati, i nostri dati, quelli che Tim Berners-Lee (l’inventore del World Wide Web) ha definito efficacemente “il petrolio del terzo millennio”.
  3. i dati che vengono trasmessi e ricevuti: sarebbe opportuno definire una tassonomia dei dati, in altre parole classificare il dato in funzione della sua importanza (pubblico, interno, riservato, ecc.). Potrebbe sembrare una misura ridondante (e lo è, se usiamo i messaggi solo per inviare le foto di una cena tra amici…), ma diventa importante nel momento in cui nei nostri messaggi viaggiano informazioni importanti, aziendali e riservate. In un certo senso, le metodologie che applichiamo nella privacy (GDPR insegna) dovrebbero essere considerate anche quando abbiamo in mano lo smartphone.

Le principali applicazioni di messaggistica istantanea: caratteristiche e differenze

Oggi tutte le applicazioni di IM implementano la crittografia end-to-end (E2E), con la parziale eccezione di Telegram, come vedremo in seguito.
La crittografia end-to-end (letteralmente “da un estremo all’altro”) è un sistema di comunicazione cifrata dove solo il mittente ed il destinatario possono leggere i messaggi.
Serve ad impedire l’attacco “man in the middle” (MITM). Questi attacchi puntano a rubare dati e informazioni personali, intercettando “in the middle” la comunicazione tra due utenti.
La crittografia end-to-end si basa sulla crittografia asimmetrica (detta “a chiave pubblica”), realizzata mediante la generazione di una coppia di chiavi, una “privata” ed una “pubblica” che sono differenti, ma legate tra loro da un algoritmo che è stato inventato nel 1976 da Whitfield Diffie e Martin E.Hellman (si parla infatti di algoritmo Diffie-Hellman per lo scambio delle chiavi).

Il doppio paio di chiavi crittografiche (ognuno dei due utenti che si scambia il messaggio avrà due chiavi) è necessario per cifrare e decifrare i messaggi in partenza ed in arrivo. Ogni utente utilizzerà una propria chiave pubblica e una propria chiave privata, La chiave privata è destinata a rimanere sul dispositivo di ciascuno dei due “endpoint” e servirà a decrittare i messaggi in arrivo; la chiave pubblica, invece, sarà condivisa con l’interlocutore e verrà utilizzata per crittografare i messaggi in uscita.
Grazie a questa tecnica, le comunicazioni, pur viaggiando attraverso canali “aperti” e potenzialmente intercettabili, saranno leggibili solo dal dispositivo che ospita la chiave privata legata alla chiave pubblica utilizzata nel processo di crittografia.
Quindi se una comunicazione è crittografata end-to-end è sicura. Ma questo non significa che qualcuno non possa riuscire a leggerla. Significa solamente che i suoi contenuti sono criptati nel percorso da un’estremità all’altra.
Ma se una delle due “estremità” viene compromessa, se il nostro telefono viene violato (per esempio con uno spyware, o captatore informatico, come quello realizzato da NSO Group) o fisicamente confiscato dalla polizia e sbloccato, la crittografia non serve più a nulla.

1. WhatsApp

WhatsApp ha implementato la crittografia end-to-end (E2E) solo nel 2016 quando ha acquistato l’algoritmo di crittografia da Open Whisper Systems, la fondazione non-profit sulla quale torneremo in seguito a proposito di Signal.
Tuttavia WhatsApp presenta alcune caratteristiche che ne indeboliscono la sicurezza: quanto questo sia voluto, tenuto conto che parliamo di Facebook, non è facile saperlo…
I Metadati: il messaggio non è leggibile grazie alla crittografia E2E, ma WhatsApp ne conserva i metadati in forma non criptata. Questi metadati vengono salvati sui server di WhatsApp, che dichiara di farlo per migliorare la qualità del servizio.
Per capire cosa sono i metadati e perché non sono da sottovalutare, citiamo un tweet di Edward Snowden : “Are your readers having trouble understanding the term “metadata”? Replace it with “activity records.” That’s what they are”.

Il tweet di Edward Snowden

Dunque, nel caso di un messaggio i metadati sono, per esempio: data e ora di invio, i numeri di telefono del mittente e del destinatario, la loro localizzazione, ecc. Si tratta quindi di una “fingerprint” (impronta digitale elettronica) che aggiunge automaticamente dati identificativi. Tali dati possono fornire ad un soggetto terzo informazioni importanti. Questo permette di profilarci e di costruire il nostro grafo sociale (“Social Graph”). Avete presente Facebook? Appunto…

Backup delle chat: per impostazione predefinita, WhatsApp memorizza i messaggi in modo da consentirne il backup nel cloud di iOS o Android. Questo può essere comodo, nel caso un utente cambi smartphone. Tuttavia, se i nostri messaggi contengono informazioni riservate è opportuno disattivare il backup della chat: WhatsApp permette di farlo sia in iOS che in Android, attraverso il menù delle impostazioni.
Consigliamo di farlo, perché – a differenza dei messaggi, che sono crittografati E2E – i backup di WhatsApp sono trattati in modo diverso e meno sicuro. Poiché su questo argomento c’è molta incertezza, abbiamo chiesto a Paolo Dal Checco, esperto di Digital Forensics, di fare chiarezza. Alla domanda “I backup di WhatsApp sono crittografati?” ecco cosa ci ha risposto: “Inizialmente i backup non erano cifrati. Lo sono da circa due anni, sia su Google Drive (per Android) che su iCloud (per iOS). Non dobbiamo però confondere la “cifratura end-to-end” (che riguarda i messaggi) con la “cifratura del backup”. Questo equivoco è causato anche dalle FAQ di WhatsApp stesso dove si trova scritto che “i file multimediali e i messaggi dei quali esegui un backup non sono protetti dalla crittografia end-to-end di WhatsApp quando sono su Google Drive. Il backup, infatti, non mantiene la cifratura end-to-end ma viene ricifrato con una chiave che WhatsApp conosce e invia all’utente via SMS. Questo significa che il processo non è sicuro al 100%: la chiave potrebbe essere rubata con una SIM swap fraud (clonazione della SIM). Se e quando invece sarà l’utente a poter scegliere la password, la sicurezza diverrà quasi totale. Aggiungiamo che la cifratura riguarda solo le chat, non gli allegati (“chats are always encrypted, while media files are not”) ed è chiaro come sia facile fraintendere”.

Nel caso di iOS la crittografia ai backup in iCloud “dovrebbe” essere stata implementata alla fine del 2016, secondo quanto dichiarato da un portavoce di WhatsApp a Forbes: “Quando un utente esegue il backup delle proprie chat attraverso WhatsApp su iCloud, i file di backup vengono inviati crittografati”.
A questo punto per riuscire a leggere questo backup è necessario avere accesso a una scheda SIM con lo stesso numero di cellulare che WhatsApp utilizza per inviare un codice di verifica che genera la chiave di crittografia per il backup iCloud. In altre parole: Whatsapp cifra i dati end-to-end ma poi i messaggi vengono salvati sui server Apple in modo non del tutto sicuro.

Vedremo successivamente che le app considerate più sicure trattano i backup in modo migliore o – addirittura – non li permettono neppure, proprio per ragioni di sicurezza (come Wickr, Signal e Confide).
La formula dubitativa sulla forma dei backup in iCloud è motivata dal fatto che WhatsApp ha un codice proprietario (non open source) che non è accessibile per analisi da parte di terze parti. La non conoscenza del codice sorgente limita la trasparenza del prodotto e delle sue caratteristiche. Tratteremo della sicurezza del backup di iCloud anche nel successivo capitolo dedicato ad iMessage.
Altre notizie sull’uso di WhatsApp e sugli attacchi informatici che ha subito si possono leggere in questo mio articolo: Le tecniche per spiare WhatsApp“, dove spiego anche quali sono le tecniche per spiare  le chat altrui e come metterle in sicurezza.

2. Facebook Messenger

Valgono le stesse considerazioni – e perplessità! – già espresse per il “fratello maggiore” WhatsApp. Inoltre, per Messenger la crittografia E2E non è di default e deve essere attivata dall’utente: è l’opzione “Conversazioni segrete” che Facebook ha reso disponibile nel 2016.
Quindi i messaggi inviati senza questa funzionalità vengono criptati solo per l’invio al server di Facebook e quindi una seconda volta per l’invio al destinatario (mentre la crittografia end-to-end avviene direttamente tra il mittente e il destinatario). Ciò significa che sui server di Facebook rimane archiviata una copia dei messaggi, quindi, se richiesto dalla legge, Facebook potrebbe consegnare i vostri messaggi. É lecito avere dei dubbi…

3. Telegram

Telegram è uno dei principali concorrenti di WhatsApp. A marzo 2018 aveva raggiunto 200 milioni di utenti attivi nel mondo, ad aprile 2020 ha tagliato il traguardo dei 400 milioni.
È stata creata nel 2013 dai fratelli russi Pavel e Nikolaj Durov, ma oggi è bandita in Russia, perché non ha voluto consegnare le chiavi di crittografia alle autorità russe. Pavel Durov è stato definito “il Mark Zuckerberg della Russia”, perché aveva precedentemente creato (2006) il social VK (VKontakte), considerata la versione russa di Facebook. Durov ha abbandonato VK nel 2014, a causa delle ingerenze di Putin e – per lo stesso motivo – ha lasciato la Russia. Pavel Durov ha espresso giudizi molto critici sul concorrente WhatsApp, affermando che: “WhatsApp non solo non protegge i messaggi, ma questa applicazione viene costantemente utilizzata come Trojan per tracciare foto e messaggi“.
Ha alcune funzioni molto pratiche, in particolare la possibilità di creare chat di gruppo con un massimo di 10.000 membri.
Per contro è una delle poche che non ha la crittografia E2E impostata di default: deve essere abilitata dall’utente, attivando le “chat segrete” . In caso contrario, se non si utilizza una chat segreta, i dati vengono salvati sui server di Telegram e questa è un’opzione senz’altro meno sicura.
Inoltre Telegram utilizza un algoritmo di crittografia proprietario, MTProto , sul quale molti esperti di crittografia hanno manifestato dubbi.
Sicuramente Telegram ha il vantaggio, essendo basata sul proprio cloud integrato, di permettere l’accesso alla cronologia dei messaggi Telegram da diversi dispositivi contemporaneamente, perché sono salvati nei server.
Il codice sorgente comunque è open source e chiunque lo può esaminare.
In conclusione: è sicuramente un prodotto di messaggistica molto pratico e ricco di funzionalità, che non è sottoposto alle logiche commerciali che caratterizzano WhatsApp. Sempre Durov ha affermato che “WhatsApp, come Facebook, condivide le informazioni degli utenti con quasi tutti coloro che affermavano di lavorare per il governo“.
Tuttavia, neppure Telegram può essere considerato il più affidabile in termini di sicurezza.

4. Apple iMessage

iMessage è il sistema IM proprietario di Apple, che funziona solo in iOS.
É crittografato E2E e si affida ad Apple iCloud per memorizzare la cronologia dei messaggi degli utenti e prevenire la perdita di dati nel caso in cui questi perdano il loro smartphone. I messaggi criptati rimangono archiviati nei server di Apple per sette giorni prima di essere eliminati.
É importante sapere che vengono crittografati solo i messaggi tra gli utenti di iOS (quelli con il fumetto blu). Un messaggio ad un utente di Android verrà inviato come SMS normale (in verde) senza crittografia.
Il codice sorgente è segreto.
iMessage esegue il backup in iCloud e lo fa in forma crittografata. Recentemente sono stati avanzati dubbi sul fatto che iCloud sia realmente crittografato (fonte Reuters)

Apple avrebbe abbandonato il piano per permettere agli utenti di iPhone di criptare i backup in iCloud, dopo le pressioni di FBI. La crittografia del backup in iCloud avrebbe impedito ad Apple di avere le chiavi per sbloccare i dati criptati, quindi questa non sarebbe più stata in grado di consegnare il materiale in forma leggibile, anche se richiesto con un ordine della magistratura.
La svolta sembra essere il risultato di un lungo braccio di ferro tra le richieste degli investigatori e la salvaguardia della privacy degli utenti da parte delle aziende tecnologiche.
Sia Apple che FBI si sono rifiutati di rilasciare dichiarazioni sulla gestione della crittografia da parte dell’azienda e nei rapporti con FBI.
Tuttavia è possibile ricavare maggiori informazioni consultando direttamente il documento rilasciato da Apple “Legal Process Guidelines – Government & Law Enforcement within the United States“, dove la stessa Apple illustra dettagliatamente cosa può e cosa non può fornire all’Autorità Giudiziaria degli Stati Uniti.
Ed al cap. III. Information Available from Apple, nei paragrafi G. e Q. abbiamo dettagli interessanti:

  • G. iCloud: Tutti i dati dei contenuti iCloud memorizzati da Apple sono crittografati nel server. Apple conserva le chiavi di cifratura nei propri centri dati statunitensi. Il contenuto di iCloud, così come esiste nell’account dell’abbonato, può essere fornito in risposta a un mandato di perquisizione emesso in seguito a una dimostrazione di una causa.
  • Q. iMessage: Le comunicazioni iMessage sono cifrate end-to-end e Apple non ha modo di decifrare i dati iMessage quando sono in transito tra i dispositivi. I log di iMessage sono conservati fino a 30 giorni. I log di iMessage, se disponibili, possono essere ottenuti con un ordine ai sensi del 18 U.S.C. §2703(d) o un’ordinanza del tribunale o mandato di perquisizione.

Quindi la crittografia del backup di iCloud e quella E2E di iMessage esiste, ma le chiavi sono in possesso di Apple stessa, che può accedere direttamente ai dati dell’utente, salvati sui suoi server. Questa rappresenta una protezione da eventuali attaccanti, ma non esclude la possibilità che un’autorità giudiziaria degli Stati Uniti possa avere accesso a questi dati, se ne fa richiesta. Il motivo per cui le chiavi di crittografia sono nella disponibilità di Apple è anche un altro e dimostra – ancora una volta – come la praticità d’uso sia preferita alla sicurezza. Se le chiavi fossero solo in possesso dell’utente (e non di Apple), se l’utente dimentica la password, perderebbe i suoi dati. Invece ora Apple può permettere una procedura di recupero della password dimenticata e consentire all’utente di recuperare i suoi dati in iCloud.

Per un ulteriore approfondimento sulla gestione del backup iCloud da parte di Apple , invito a leggere il dettagliato articolo di Paolo Dal Checco su Cybersecurity360.

5. Signal: la più sicura, consigliata da Edward Snowden

Signal è l’applicazione di messaggistica che gode della miglior reputazione tra gli esperti di sicurezza. È quella preferita da Edward Snowden, che ha affermato: “Use anything by Open Whisper Systems”.

Signal è stata creata da Moxie Marlinspike con Open Whisper Systems, una fondazione non profit che sviluppa software open source per la sicurezza delle comunicazioni.
Marlinspike è tra i maggiori esperti mondiali di crittografia e sicurezza informatica oggi viventi. Dopo essere stato a capo della sicurezza Twitter, ha creato Open Whisper System, che si finanzia esclusivamente con donazioni, non richiede alcun pagamento ed è priva di pubblicità. Oggi è finanziata anche da Brian Acton (co-fondatore nel 2009 di WhatsApp assieme a Jan Koum). 
Signal utilizza un protocollo di crittografia E2E proprietario: Signal Encryption Protocol ideato da Marlinspike e considerato più sicuro anche del protocollo PGP (Pretty Good Privacy).
Signal Encryption Protocol è basato sull’algoritmo di cifratura ChaCha20, derivato da Salsa20. Entrambi sono stati ideati da Daniel J. Bernstein con l’obiettivo di garantire elevata sicurezza assieme a prestazioni elevate. ChaCha20 è infatti considerato più veloce e performante di AES.
Da aprile 2016 il Signal Encryption Protocol è stato implementato anche in WhatsApp e successivamente in Skype.
Ma Signal garantisce un livello di privacy e sicurezza superiore a WhatsApp, per i motivi che andiamo ad evidenziare.
Metadati: Signal – a differenza di WhatsApp – memorizza solo i metadati necessari per il suo funzionamento, che sono: il numero di telefono, la data di creazione dell’account e l’ora dell’ultima connessione ai server di Signal. Non salva alcuna informazione relativa alla conversazione. Inoltre non salva questi metadati dei messaggi sui propri server (come fa invece WhatsApp). I numeri di telefono vengono trasmessi al server in forma crittografata.
Backup: sempre per ragioni di sicurezza, in Signal i messaggi sono memorizzati localmente sul dispositivo e non vengono neppure salvati nel backup di iCloud (nel caso di iPhone). Solo in Android è disponibile una funzione di esportazione che può essere utilizzata esclusivamente per trasferire i messaggi da uno smartphone ad un altro. Per questo, se qualcuno chiedesse a Open Whisper di fornirgli i dati di un utente, questa non potrebbe darglieli, semplicemente perché non li ha.
Codice sorgente: quello di Signal è pubblico, secondo la logica dell’open source. Si trova su GitHub, quindi accessibile per analisi, mentre quelli di WhatsApp e di iMessage – in quanto prodotti commerciali – non lo sono.
Audit: Signal è stato sottoposto, già nel 2016, ad un audit di sicurezza da parte di un team indipendente. Questo è quello che viene riportato: “Signal è ampiamente considerato il “gold standard” delle applicazioni di messaggistica criptata sicura. Un team internazionale di ricercatori sulla sicurezza ha dato alla piattaforma di messaggistica recensioni entusiastiche sulla sicurezza nel suo primo audit di sicurezza formale. I ricercatori dell’Università di Oxford nel Regno Unito, della Queensland University of Technology in Australia e della McMaster University in Canada hanno dato all’applicazione di messaggistica un giudizio positivo (a fervent thumbs up). “Non abbiamo trovato grandi difetti nel suo design, il che è molto incoraggiante”, hanno scritto i cinque ricercatori”.

Signal si basa su un software open source ed ha ora sviluppato anche una versione desktop che – come l’app – può essere utilizzata per inviare e ricevere messaggi privati, di gruppo, allegati e messaggi multimediali.
Signal è ancora un’app di nicchia, con una diffusione piuttosto limitata. Non ci sono dati relativi ad iOS, ma si stima che nel mondo Android sia stata scaricata nel Play Store da non più di cinque milioni di utenti nel mondo.
Uno dei motivi che ne limitano la diffusione è proprio legato all’approccio di sicurezza di Signal, che non permette il backup della chat. Questo rappresenta una barriera di ingresso per quei tanti utenti che non vogliono perdere tutta la loro storia di messaggi quando cambiano i loro telefoni.
Perché l’utente medio continuerà a preferire la praticità d’uso e la diffusione rispetto alla sicurezza (purtroppo!).

Concludiamo ricordando una recente comunicazione della Commissione Europea al suo staff in materia di app di messaggistica. In una nota interna diffusa il 19 febbraio 2020 la Commissione ha raccomandato l’utilizzo di Signal per le comunicazioni tra il personale e le persone esterne alle istituzioni, in alternativa ad altre chat, Whatsapp in primis: “Signal has been selected as the recommended application for public instant messaging”.

6. Altre applicazioni di messaggistica

Esistono altre applicazioni IM che sono tra le più sicure, ma che hanno una diffusione ancora minore di Signal. Tra queste consigliamo:

Wire (di Wire Swiss GmbH): è gratuita e disponibile anche in versione desktop (per Windows e macOS). Ha anche le versioni Pro ed Enterprise a pagamento con funzionalità aggiuntive.
Wire si distingue per la qualità delle chiamate vocali e video e la possibilità di uso simultaneo su 8 dispositivi. Il codice è open source.

Threema (di Threema GmbH): ha un software proprietario ed è a pagamento. Non salva metadati e non comunica le informazioni relative al messaggio (mittente, destinatario, ora di invio e ricezione, ecc.). I server di Threema si trovano in Svizzera e sottostanno alle rigide regole di protezione dei dati vigenti sul territorio svizzero. Diffusione: 4,5 milioni di utenti (dati aggiornati al 2018).

Confide: disponibile per iPhone e Android. Esiste anche la versione desktop per Windows.
Oltre ad usare la crittografia E2E, ha una caratteristica che la contraddistingue: una volta letto, il messaggio si autodistrugge e con esso tutti gli allegati, comprese le registrazioni vocali. Inoltre il messaggio non viene visualizzato per intero, ma solo per singola parola, che viene resa visibile trascinando il dito sopra, mentre le altre parole rimangono oscurate. Questa è un’efficace protezione contro gli screenshot, suggestiva ma in realtà abbastanza poco pratica.

Per un ulteriore approfondimento sulla messaggistica istantanea, rimando anche agli articoli:


© Copyright 2020 Giorgio Sbaraglia
All rights reserved.

Questa immagine ha l'attributo alt vuoto; il nome del file è by-nc-nd.eu_-300x105.png

Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Non opere derivate 4.0 Internazionale.