Whatsapp, Telegram o Signal, ecco qual è la chat più sicura: tutto quello che c’è da sapere - Agenda Digitale

Cyber Saiyan

Whatsapp, Telegram o Signal, ecco qual è la chat più sicura: tutto quello che c’è da sapere

Un’analisi multidisciplinare delle tre più diffuse applicazioni di messaggistica per avere tutti gli elementi che ci consentano di effettuare una scelta consapevole e informata

04 Feb 2021
Alberto Caponi

Direttivo Cyber Saiyan

Giovanni Mellini

Direttivo Cyber Saiyan

Il dibattito sempre attuale sulla sicurezza delle applicazioni di messaggistica istantanea si è riacceso in seguito al recente aggiornamento delle condizioni d’uso da parte di WhatsApp portando ad una migrazione – più o meno consapevole – di molti utenti verso altre applicazioni di messaggistica quali ad esempio Telegram e Signal.

Per cercare di fare chiarezza su un tema così vasto e complesso l’associazione no-profit Cyber Saiyan ha organizzato una live per discutere – con un approccio multidisciplinare – degli aspetti di privacy (giuridici) e di sicurezza (tecnici) delle tre principali applicazioni di messaggistica istantanea: WhatsApp, Telegram e Signal.

Quattro membri della community – Alberto Caponi, Gerardo Di Giacomo, Enrico Ferraris e TheZero – hanno approfondito questi temi.

Cambio policy di WhatsApp

L’analisi dei cambiamenti nella privacy policy di Enrico Ferraris ha evidenziato che per gli utenti europei, grazie al GDPR, non ci sono sostanziali modifiche: WhatsApp continuerà a non condividere i dati con Facebook per le finalità di quest’ultima, come già accade dal 2018, quando il GDPR è entrato in vigore.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Lo stesso non si può dire per i paesi extra-UE, dove la nuova privacy policy prevede espressamente che i metadati degli utenti di WhatsApp (non i contenuti delle conversazioni, che rimangono cifrati end-to-end) potranno essere utilizzati da Facebook al fine di “migliorare l’esperienza dell’utente sul social”, con suggerimenti di amicizie e contenuti, nonché annunci mirati all’utente.

Ma tutto questo non è una novità: la condivisione dei dati è stata introdotta nel 2016, quando si è data agli utenti la possibilità di opt-out con una finestra di 30 giorni, ed è quindi importante riportare alla corretta dimensione il fatto.

Va inoltre evidenziato come il consenso richiesto da WhatsApp agli utenti entro l’8 di febbraio – poi posticipato e che ha scatenato reazioni e dibattiti “fuori focus” – non era relativo al trattamento dei dati personali (regolato dal GDPR e per sua natura libero) ma era un consenso di tipo contrattuale, ossia l’accettazione dei nuovi termini di servizio (ToS), in mancanza del quale non sarebbe possibile usufruire del servizio stesso; molti hanno erroneamente confuso i due diversi consensi con il conseguente disorientamento degli utenti.

In quali circostanze Facebook tratta effettivamente dati degli utenti di WhatsApp

Quindi la reale domanda che dovrebbero porsi gli utenti, ricordando che WhatsApp è una società facente parte del gruppo Facebook, è la seguente: in quali circostanze Facebook tratta effettivamente dati degli utenti di WhatsApp?

Dalla privacy policy emergono sostanzialmente tre casi, nessuno dei quali vede Facebook autonomo titolare del trattamento:

  • per contrastare spam, minacce, abusi e violazioni nei prodotti delle aziende del gruppo;
  • per fornire, migliorare, capire, personalizzare, supportare, e commercializzare i servizi di Whatsapp che, in questo caso, opera quale titolare del trattamento mentre le altre aziende del gruppo sono meri processor che agiscono per conto di Whatsapp in conformità alle sue istruzioni;
  • nel caso in cui Facebook agisca come fornitore di servizi, per aiutare nella gestione della comunicazione con i clienti di un’attività commerciale, che in questo caso riveste il ruolo di titolare del trattamento, limitatamente al perseguimento delle sue finalità.

Quest’ultimo caso è la vera novità della privacy policy perché quando si comunica con un’utenza business utilizzando WhatsApp, quest’ultima potrebbe, per sua libera scelta, utilizzare infrastrutture di fornitori terzi per erogare il servizio; uno dei possibili fornitori ora è Facebook, che in questo caso non agisce come titolare del trattamento (il titolare è l’utenza business) ma come mero processor. Sarà l’utenza business a dover fornire l’informativa ai soggetti interessati.

Privacy, Whatsapp ostacola la “volontà libera e consapevole” dell’utente: ecco il problema

Questione legale o anche tecnica?

WhatsApp, come altre app di messaggistica, fornisce un servizio di protezione della comunicazione tra mittente e destinatario denominato end-to-end encryption usando il protocollo Signal, lo stesso usato dalla omonima applicazione, in grado di garantire la confidenzialità della comunicazione tra mittente e destinatario.

Per capire a pieno la motivazione dietro al cambio del ToS non si può prescindere dagli scenari d’uso illustrati da TheZero, evidenziando chi sia il mittente ed il destinatario in ognuno di essi.

Il primo scenario, il più comune, è quello di due utenti che scambiano messaggi (user-to-user), in cui la confidenzialità end-to-end è sempre garantita e il trattamento dei dati personali dell’utente è responsabilità di WhatsApp.

Il secondo scenario (user-to-business) prevede l’interazione dell’utente con un account business (ad esempio un negozio di informatica) che ospita sulla propria infrastruttura l’istanza WhatsApp Business API; anche in questo caso la confidenzialità end-to-end è garantita e il trattamento dei dati personali dell’utente è responsabilità dell’attività commerciale e non più di WhatsApp, in quanto tutti i dati saranno memorizzati sull’infrastruttura dell’utenza business.

Il terzo ed ultimo scenario è simile al precedente ma prevede la presenza di una organizzazione intermedia (vendor), interposta tra l’utente e l’attività commerciale, che eroga, per conto di quest’ultima, i servizi WhatsApp Business API.

In questo caso WhatsApp non è più in grado di garantire la confidenzialità tra utente ed organizzazione finale poiché è presente una terza entità, il vendor, che ne fa le veci e possiede le chiavi per decifrare le comunicazioni destinate all’organizzazione finale.

Tuttavia, continua ad essere garantita la confidenzialità tra utente e vendor ed il trattamento dei dati personali dell’utente continua ad essere responsabilità dell’attività commerciale e non di WhatsApp.

Ed è proprio questo ultimo scenario che ha portato alla necessità di cambio ToS, cambiamento motivato dalla decisione del gruppo Facebook di posizionarsi sul mercato come entità che fornisce servizi vendor alle aziende alla stregua di decine di altre aziende.

servizio Zendesk user-to-business

Threat modeling

Se nonostante questi chiarimenti si vuole smettere di utilizzare WhatsApp e passare ad alternative come Signal e Telegram, qual è la scelta migliore da un punto di vista di security e privacy, ma soprattutto nei confronti della “minaccia” dalla quale si vogliono proteggere le conversazioni?

La risposta non è semplice, come ci suggerisce Gerardo Di Giacomo, perché ognuna di queste applicazioni ha un modello di protezione dei dati che la caratterizza.

Le app di messaggistica processano e raccolgono principalmente due tipi di dati: contenuti e metadati.

I contenuti

I contenuti sono i messaggi che si scrivono, le foto che si condividono e le chiamate che si fanno.

Sia WhatsApp che Signal supportano end-to-end encryption di default, sia per contenuti testuali che multimediali; questo significa che, come già detto in precedenza, le uniche persone che possono accedere a questi contenuti sono i due (o più) interlocutori.

Telegram, utilizza un protocollo sviluppato internamente denominato MTProto che, a differenza del protocollo Signal e per via di alcune scelte progettuali, è molto dibattuto all’interno della comunità crittografica. L’end-to-end encryption è abilitata di default solo per le chiamate audio o video, ma non per i messaggi testuali che verranno protetti esclusivamente instaurando una chat segreta con il nostro interlocutore. Ciò significa che se non vengono prese le dovute precauzioni tutti i messaggi ed i contenuti multimediali saranno memorizzati sui server Telegram e saranno potenzialmente accessibili da parte degli operatori dell’azienda, di chi ne fa richiesta (entità governative) o di chi ha la capacità di compromettere l’infrastruttura.

I metadati

Per quanto riguarda i metadati, cioè dati “accessori” come, ad esempio, le informazioni del nostro profilo ed i nostri contatti, le cose non sono così rosee.

WhatsApp colleziona i metadati e in alcuni casi, come quelli descritti precedentemente, potrebbe anche condividerli con Facebook.

Telegram dichiara che le informazioni del profilo ed i contatti vengono utilizzati per il solo fine di offrire il servizio e fornisce, cosa non possibile ad oggi nelle altre app, la possibilità di nascondere il numero di telefono mostrando in alternativa un nickname.

Signal offre molteplici protezioni per assicurare che i metadati non solo non vengano memorizzati se non sul proprio device personale, ma non siano visibili. Alcune di queste funzionalità sono:

  • sealed sender: anonimizza il mittente dei messaggi ma non (ovviamente) per il destinatario;
  • private contact discovery: garantisce che i contatti non siano inviati e memorizzati sui server Signal;
  • encrypted profiles: rende le informazioni del profilo visibili esclusivamente ai contatti;
  • secure value recovery: permette di salvare il profilo ed i contatti proteggendoli con una password o un PIN.

Threat model per i contenuti e metadati Signal

Un ulteriore aspetto che potrebbero influenzare la scelta è la disponibilità del codice sorgente.

Signal è sviluppata da un’associazione non-profit, Signal Foundation, la cui missione è quella di “sviluppare tecnologie per la privacy per proteggere la libertà d’espressione”; il codice dell’applicazione ed il protocollo su cui si basa sono interamente open-source.

Telegram e WhatsApp sono sviluppate dalle omonime aziende e mentre WhatsApp mantiene il codice completamente closed-source, Telegram ha rilasciato il codice sorgente dell’applicazione su github mantenendo il backend closed-source.

Your choice

Quindi tornando alla domanda: come e cosa scegliere? Dipende da quale threat model si vuole adottare, ovvero da quale “minaccia” ci si vuole proteggere.

Se si vuole fare una conversazione che garantisca le aspettative di confidenzialità simili ad una conversazione face-to-face e lontano da occhi indiscreti, accettando il compromesso di una usabilità ad oggi non a livello delle altre applicazioni, Signal è la scelta giusta.

Se si vuole un’app ricca di feature che ci permetta di interagire in modo assimilabile a quanto avviene con i tradizionali social network, ma in grado di offrire anche una comunicazione confidenziale nella sola modalità di chat segreta, Telegram fa al caso nostro.

Se si vuole un’applicazione ricca di funzionalità ed usata dalla maggior parte degli utenti, che garantisca la confidenzialità in tutte le comunicazioni tra utenti, potenzialmente aperta al mondo business nei limiti sopra descritti, WhatsApp è la scelta da fare.

Concludendo, nessuna delle applicazioni è migliore delle altre, la scelta va fatta in base al proprio caso d’uso, contemplando anche l’opzione di utilizzarle tutte per differenti scopi.

L’importante è che sia una scelta consapevole e informata.

WHITEPAPER
Suggerimenti e strumenti pratica per difendersi dagli attacchi informatici.
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 4