Una delle funzioni più amate di WhatsApp è pericolosissima

Il recente arresto in Francia del fondatore di Telegram, Pavel Durov, ha alzato nuovamente l’attenzione del grande pubblico su quanto siano, o non siano, sicure e private le nostre chat. Nel corso degli anni tutte le app di messaggistica hanno lanciato nuove funzioni volte a migliorare la sicurezza delle conversazioni e a offrire strumenti aggiuntivi per comunicare in modo riservato.

WhatsApp, ad esempio, ha lanciato a fine 2021 la funzione “Visualizza una volta“, che non fa altro che distruggere i messaggi multimediali (audio, foto e video) subito dopo che chi li ha ricevuti li ha visualizzati. Questa funzione è stata realizzata per aumentare la privacy: se mandiamo un messaggio che sparisce, infatti, nessuno potrà in seguito dimostrare che quel messaggio è stato realmente inviato.

Ma, a quasi tre anni dal lancio, ora si scopre che questa funzione non è affatto sicura e non garantisce per nulla che i messaggi inviati spariscano dopo la prima visualizzazione. La notizia arriva da Zengo, azienda che da anni si occupa di criptovalute e finanza decentrata e che, ultimamente, si è messa a lavorare anche sulle piattaforme di messaggistica e su come migliorare la privacy delle comunicazioni.

Messaggi che (non) spariscono

La funzione Visualizza una volta di WhatsApp, oltre a fare sparire i messaggi dopo la prima visualizzazione, ne impedisce anche la copia tramite screenshot e l’inoltro ad altri profili o gruppi. In teoria, quindi, è perfetta per impedire a chi riceve il messaggio di diffonderlo a destra e a manca senza la nostra autorizzazione.

Zengo, però, ha scoperto che in pratica le cose stanno in modo ben diverso. Un messaggio “che sparisce“, infatti, non è altro che un messaggio normale al quale WhatsApp aggiunge un “flag“, una sorta di attributo, che dice all’app di chi riceve di cancellarlo dopo averlo mostrato la prima volta.

Basta togliere quel flag, quindi, per trasformare un messaggio visualizzabile una sola volta in un messaggio normalissimo, come tutti gli altri.

App alternative ed estensioni del browser

L’app ufficiale di WhatsApp non esegue mai questa manovra di rimozione del flag “Visualizza una volta“, ma altre app possono farlo. Sul Google Play Store, e anche su altri store non di Google (e persino su store alternativi per gli iPhone), app del genere ce ne sono molte: sono app compatibili con WhatsApp ma alternative a WhatsApp.

Sono app alle quali l’utente concede il pieno accesso alle conversazioni di WhatsApp in cambio di una maggiore possibilità di personalizzare l’interfaccia, o di funzioni aggiuntive. Più volte, qui su Libero Tecnologia, vi abbiamo sconsigliato di usarle perché, in fin dei conti, non è mai sicuro affidare le proprie conversazioni private ad un’app meno affidabile di quella ufficiale.

Zengo ha scoperto che alcune di queste app possono togliere il flag “View Once” ai messaggi e trasformarli in messaggi normali. Lo stesso possono fare anche alcune estensioni per i browser, dedicate espressamente a WhatsApp Web e che funzionano in modo del tutto analogo alle app WhatsApp alternative.

Tramite queste estensioni si può fare anche qualcosa in più: scaricare l’anteprima del messaggio che si autodistrugge, aprirla in una tab separata e poi, con tutta la calma del mondo, copiare, inoltrare, salvare il messaggio che (non) si autodistrugge.

Non c’è ancora una soluzione

Il magazine online specializzato in cybersicurezza BleepingComputer ha contattato Meta per avere un commento in merito a questa vicenda. Meta, in buona sostanza, ha confermato che Visualizza una volta non è una funzione sicura al 100% e ha promesso una soluzione in tempi rapidi per la versione desktop.

Nessuna risposta concreta, invece, per le app alternative. Al momento, quindi, una delle funzioni di WhatsApp più amate da chi tiene alla privacy non è, di fatto, in grado di tutelare la privacy. E questo, purtroppo, la rende molto pericolosa.