sicurezza

Whatsapp intercettato: ecco perché i dati sono a rischio (nonostante la crittografia)

Come è avvenuto l’ormai noto attacco a Whatsapp, come funziona la cifratura del sistema (che ha resistito) e come è possibile intercettare le comunicazioni dall’app di messaggistica. E, soprattutto, qualche consiglio per difendersi

08 Nov 2019
Paolo Dal Checco

Consulente Informatico Forense

garante privacy whatsapp

È ormai noto da alcuni giorni che Whatsapp Inc. ha denunciato la società israeliana NSO per aver utilizzato alcune falle nel celebre sistema di messaggistica al fine d’inoculare malware negli smartphone di oltre un migliaio di vittime, tra le quali politici, giornalisti e attivisti. Ma come è potuto accadere stante la crittografia end-to-end e, soprattutto, come i nostri dati sono al sicuro?

La denuncia di Whatsapp è pubblica

Cominciamo col dire che gli atti sono pubblici: Whatsapp ha predisposto una pagina con il riassunto di ciò che è successo dove spiega come a maggio 2019 ha interrotto un attacco sofisticato che ha sfruttato un baco sul sistema di videochiamate dell’App per infettare circa 1.400 utenti della piattaforma.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Per documentare le proprie osservazioni, Whatsapp ha persino messo online la denuncia completa degli allegati che descrive le doglianze di cui lamenta e per le quali chiede giustizia. Una lettura interessante e in parte piuttosto tecnica che percorre a fondo quelli che sono i contorni di questa vicenda che ha avuto conseguenze non soltanto sulla tecnologia ma anche sulle persone.

NSO ha risposto alla BBC che nega ogni accusa e che il solo scopo dei software prodotti è quello di supportare le agenzie d’intelligence dei governi e le forze dell’ordine a combattere il terrorismo e crimini. In sostanza, non negano che siano state sfruttate vulnerabilità di Whatsapp ma precisano che il loro software non deve essere utilizzato per violare diritti umani

Lo scenario

Da aprile 2016 Whatsapp cifra le comunicazioni degli utenti tramite un protocollo end-to-end che garantisce la privacy degli utenti e la riservatezza delle loro comunicazioni sia nei confronti di terzi sia nei confronti di Whatsapp stesso. Gli inquirenti si chiedono, da allora, come intercettare Whatsapp e come avere accesso alle comunicazioni private degli utilizzatori del sistema. A differenza della linea telefonica tradizionale, infatti, con Whatsapp gli utenti sanno di poter contare su di un protocollo di comunicazione protetto, oltre che da orecchie od occhi indiscreti, anche dagli accessi legittimi dell’Autorità giudiziaria.

Dato che la comunicazione avviene su un canale protetto, si è reso indispensabile poter avere accesso diretto al dispositivo per poter visionare o ascoltare i messaggi e le chiamate. Le società che si occupano d’intercettazioni hanno impiegato enormi risorse per trovare punti d’ingresso verso i dispositivi degli utenti, finalizzati a infettare i sistemi e poter così acquisire le comunicazioni in tempo reale, oltre ovviamente ai dati presenti sui dispositivi.

L’attacco

L’attacco descritto nella denuncia è basato su un baco rinvenuto nel sistema di videochiamata di Whatsapp, descritto in dettaglio nell’analisi tecnica di Citizen Lab. Il vettore d’infezione del software israeliano era infatti, tra gli altri, una videochiamata Whatsapp che permetteva d’infettare i dispositivi dei riceventi anche in caso di chiamata non risposta. Le tracce della telefonata, poi, venivano rimosse, in modo da non rendere visibile l’avvenuta infezione e lasciare che il malware operasse indisturbato. Una volta infettato il dispositivo, infatti, il software della società israeliana era in grado d’intercettare telefonate, messaggi, video e audio Whatsapp essendo già inserito all’interno del processo dell’applicazione di messaggeria istantanea.

Whatsapp è stato in grado di rilevare l’attacco e ricostruire come questo è stato portato avanti in modo da poter avvisare le vittime di quanto avvenuto. Le infezioni sono infatti state portate avanti utilizzando utenze specifiche e account che, una volta identificati, hanno permesso di ricostruire periodi di azione e bersagli.

La cifratura

La cifratura di Whatsapp, quindi ha resistito e sembra resistere fin dal principio. Il protocollo di gestione della chiave crittografica e della cifratura è robusto ed è stato testato in diversi contesti da cui non sono emerse vulnerabilità note. Non ha quindi senso tentare di forzare l’algoritmo o trovare la chiave, considerato anche che gli utenti hanno la possibilità di verificare se la comunicazione viene cifrata con una unica chiave comune oppure c’è un intruso sul canale che sta agendo da “man in the middle” decifrando e cifrando in ogni verso.

In passato alcune risorse non erano cifrate, oggi tutto ciò che passa all’interno del canale di comunicazione è crittografato e sicuro, quindi non c’è più modo d’intercettare ciò che viaggia all’interno collegamento tra due o più utenti. Acquisendo il traffico di rete di una comunicazione Whatsapp, infatti, si ottiene semplicemente un traffico incomprensibile e inutilizzabile, dato che le chiavi con cui la comunicazione viene cifrata non sono rese disponibili.

Come intercettare Whatsapp

Alla domanda su come intercettare Whatsapp, a questo punto, non si può rispondere che è sufficiente forzare la cifratura delle comunicazioni, perché risulta a oggi piuttosto sicura. Rimane la possibilità di forzare il telefono, cioè accedere in qualche modo al contenuto dello stesso e poter quindi leggere direttamente i database dell’applicazione d’instant messaging e i file multimediali allegati a chat e gruppi.

Tra l’altro, il database delle chat è memorizzato in chiaro sul dispositivo, quindi potenzialmente leggibile senza alcun tipo di cifratura. Il limite è che l’accesso al database, nelle versioni recenti di Whatsapp, è concesso solamente all’App stessa. Esistono però versioni del software obsolete fa che permettevano di accedere sia al database delle chat sia alle chiavi di cifratura dei backup così come possibilità di rooting temporaneo che permettono a software appositamente sviluppati di accedere per qualche istante al database e prelevare i messaggi. Rimane poi sempre la possibilità, per eventuali software malevoli, di acquisire le schermate dello smartphone, dove vengono mostrati gruppi e messaggi visionati dal proprietario del dispositivo.

Whatsapp, inoltre, produce backup che su Android vanno a finire nell’account Google Drive, mentre su iOS vanno a finire sull’account iCloud. Un tempo i backup di Whatsapp sul Cloud erano non erano cifrati ed erano visibili a chiunque avesse accesso all’area privata dell’utente. Da un paio di anni anche i backup delle chat vengono cifrati, riducendo quindi di molto la superficie d’attacco. Era infatti semplice, in passato, intercettare Whatsapp accedendo alla copia su cloud dei database dell’App ottenendo le credenziali degli account Google o iCloud. Oggi è necessario avere a disposizione anche le chiavi di cifratura con le quali vengono protetti i database, che sono memorizzate esclusivamente sui dispositivi o generabili tramite il protocollo di Whatsapp stesso a patto di avere accesso alla SIM sulla quale è attestata l’utenza e alle credenziali degli account Google o iCloud.

Questo tipo d’intercettazione di Whatsapp è ancora possibile ma è necessario possedere anche i dati dell’account Google o Apple e la chiave di cifratura con la quale vengono criptati i contenuti delle chat archiviate sul cloud. In alcuni casi, avendo già un backup, si riesce a bypassare l’accesso a Google o iCloud dovendo solamente dimostrare di avere accesso alla SIM utilizzata per l’attivazione del profilo Whatsapp. Ottenere la chiave di cifratura del database Whatsapp non è banale: si può ricavare dal dispositivo tramite un accesso in modalità “root” oppure installando una versione di Whatsapp obsoleta che non proteggeva la cartella dei dati, cosa però che non può facilmente essere fatta all’insaputa dell’utente. Questo metodo – utilizzato di frequente in informatica forense – si chiama APK downgrade e consiste proprio nell’installare una versione di Whatsapp che non bloccava l’accesso alla chiave né ai database in chiaro, permettendo quindi l’acquisizione degli stessi.

Rimane infine il sempreverde “Whatsapp Web”, il sistema che permette di accedere a un account Whatsapp da un altro dispositivo, che però rispetto al passato è più difficile da utilizzare senza destare sospetti. La vittima che viene monitorata tramite “Whatsapp web” vede, infatti, costantemente un messaggio di allerta proposto dall’App che indica come sia attivo un canale di visualizzazione delle chat su di un altro dispositivo.

Come difendersi dalle intercettazioni su Whatsapp

Dovrebbe essere chiaro a questo punto che un’intercettazione basata su un attacco perpetrato sfruttando vulnerabilità non note di un’App è difficilmente evitabile, se non rinunciando a utilizzare l’App specifica fin dal principio. Da valutare quindi la reale necessità di utilizzo di particolari programmi in ambiti dove la riservatezza e la sicurezza sono un requisito essenziale (come Signal), eventualmente separando su due dispositivi diversi le informazioni riservate o l’accesso ad account di posta e cloud lavorativi e i programmi di messaggistica, così da ridurre il rischio.

In ogni caso, la compromissione può avvenire anche tramite altre App, email, SMS o mediante link contenenti codice malevolo sui quali l’utente può essere invitato a cliccare. Per questo motivo, è consigliabile sempre massima attenzione nei confronti di link contenuti in messaggi, SMS o email anche provenienti da contatti noti, perché potrebbero facilmente essere “forgiati” per contenere materiale pericoloso.

Così come per i computer, è consigliabile installare sul proprio dispositivo mobile antivirus, firewall e se possibile una VPN, per filtrare il traffico e controllarne un minimo l’andamento, per quanto senza un’attenzione specifica una connessione malevola potrebbe tranquillamente sfuggire alle verifiche. Altro consiglio sempre valido è quello di mantenere aggiornato il sistema e le sue applicazioni, applicando patch e update man mano che risultano disponibili. Spesso i meccanismi d’infezione utilizzano vulnerabilità di Sistemi Operativi o delle App che sono state eliminate dai produttori ma è necessario che gli utenti aggiornino a loro volta il loro sistema e le relative applicazioni.

Infografica - Sicurezza dei dati in azienda la vulnerabilita da proteggere
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati