WhatsApp: l'ultima novità è pericolosa?
La UE ha costretto WhatsApp all'interoperabilità, che però nessuno ha chiesto e che potrebbe persino essere pericolosa per miliardi di utenti in tutto il mondo
Da un paio di settimane WhatsApp ha una nuova funzione, o almeno l’avrebbe se qualcuno dei suoi concorrenti la richiedesse. Stiamo parlando della “interoperabilità” tra le piattaforme di chat, imposta dall’Unione Europea con il Digital Markets Act, che costringe WhatsApp a permettere alle piattaforme minori di scambiare messaggi con l’app da 2 miliardi di utenti.
Da WhatsApp a Telegram, da Signal a WhatsApp, da Threema a WhatsApp, da WhatsApp a Viber (e viceversa) e così via. Ma questa novità, che a dire il vero è stata voluta più dall’Europa che dagli utenti, si sta scontrando su due grossissimi scogli: la sicurezza e la (scarsissima) volontà delle altre app di partecipare all’interoperabilità.
La crittografia di WhatsApp
Ormai tutte le app di messaggistica, WhatsApp compresa, sono dotate di un sistema di crittografia di tipo end-to-end (E2EE). Questa crittografia prevede che per decifrare i messaggi e leggerli sia necessario usare delle chiavi crittografiche che sono archiviate non nei server della piattaforma, ma direttamente sui telefoni o computer usati dagli utenti.
A custodire le chiavi sono le app stesse, quindi quando bisogna far comunicare due app diverse, entrambe con crittografia E2E, è un grosso problema perché bisogna creare una sorta di ponte, che non può che appoggiarsi su un server esterno e non più sui dispositivi.
La nota azienda di cybersicurezza Kaspersky, per questo, ha pubblicato sul suo blog un post di riflessione sui pericoli che potrebbero derivare da questa soluzione che, in pratica, tradisce l’essenza della crittografia end-to-end. E’ chiaro che, se questo ponte sta su un server esterno, migliaia di hacker proverebbero ad attaccare questo server per avere accesso alle chat di milioni di utenti.
Kaspersky va dritta al sodo, al nocciolo della questione: “Gli esperti di crittografia sono generalmente molto scettici riguardo all’idea di una E2EE multipiattaforma. Alcuni esperti ritengono che il problema possa essere risolto, ad esempio posizionando il bridge direttamente sul computer dell’utente o facendo adottare a tutte le piattaforme un unico protocollo di messaggistica decentralizzato. Tuttavia, i pesci grossi del mercato della messaggistica non stanno affatto nuotando in quella direzione. È difficile accusarli di pigrizia o inerzia: tutta l’esperienza pratica dimostra che una crittografia dei messaggi affidabile e di facile utilizzo all’interno di ecosistemi aperti è difficile da implementare“.
Interoperabilità? No, grazie
Il post sul blog della nota azienda di cybersicurezza è altrettanto onesto quando fa il conto delle piattaforme realmente interessate ad implementare l’interoperabilità: su 8 piattaforme prese in considerazione, solo una si è dichiarata interessata (Matrix), mentre un’altra si è dichiarata apertamente contraria per questioni di privacy e sicurezza (Threema).
Da tutte le altre piattaforme, invece, semplicemente non è arrivato nemmeno un accenno sulla possibilità di integrare le proprie chat con quelle di WhatsApp.
Anche perché sarebbe un lavoraccio, come già visto, che non è nemmeno obbligatorio: il DMA europeo, infatti, riconosce solo WhatsApp come attore sufficientemente grande da condizionare il mercato delle chat, e obbliga solo WhatsApp all’apertura. Tutte le piattaforme più piccole, compresa Telegram che veleggia verso il miliardo di utenti nel mondo, sono libere di aderire o non aderire all’interoperabilità.
