Alcuni mesi fa, precisamente il 14 maggio 2020, WhatsApp è stata vittima di un un attacco informatico da parte di un gruppo di hacker. Quest’ultimo è riuscito a installare da remoto un
software di sorveglianza su cellulari (senza che ci fosse una interazione con l’utente), sfruttando una vulnerabilità della stessa applicazione.
La società ha confermato in un comunicato l’informazione che poche ore prima aveva pubblicato in esclusiva il Financial Times e ha invitato i 1,5 miliardi di utenti in tutto il mondo a “aggiornare
l’applicazione alla sua ultima versione” e mantenere aggiornato il sistema operativo del cellulare come misura di “protezione”.
Questo incidente ha riaperto – come era prevedibile – la discussione sulle applicazioni di messaggistica, in particolare quale – tra Telegram e WhatsApp – sia la “più sicura”.
Sono usciti molti articoli con opinioni contrastanti: vogliamo aggiungerne un’altra perché noi crediamo si stia di scutendo inutilmente su un problema che in pratica… non
e siste. Poco dopo il grave incidente del quale è stato vittima WhatsApp (lo definiamo grave perché è stata usata una vulnerabilità zero-day tra l’altro con attivazione senza interazione dell’utente) il fondatore di Telegram coglie la palla al balzo e pubblica un post sul proprio blog, dove riporta alcune considerazioni in merito alla sicurezza di WhatsApp confrontate con il “suo” Telegram.
Si innesca così una discussione: ma è più sicuro WhatsApp o Telegram? Quale mi conviene usare?
Il problema è che queste domande sono “sbagliate” e non hanno senso!
Spieghiamo il perché. Partiamo innanzitutto da una considerazione: non esiste una applicazione sicura al 100%. E’ solo possibile aumentare questa percentuale per avvicinarsi il più possibile al 100%. Seconda considerazione: cosa si intende per “sicuro”? Il fatto che i messaggi non possano essere letti da qualcun altro? Oppure che l’applicazione non abbia vulnerabilità e quindi non possa (come successo a WhatsApp) diventare veicolo per software malevoli? Rimarremmo tutti delusi, poichè sia WhatsApp che Telegram (ma anche molte altre applicazioni di
messaggistica) possono essere vittima di vari attacchi volti ad intercettare i messaggi: SS7 o Man In The Middle, come lo schema che riportiamo di seguito che rappresenta un classico esempio di un attacco Man In The Middle verso Telegram (e con questo abbiamo già violato la sicurezza di Telegram, ora i due sistemi di messaggistica giocano ad armi pari):
E la sicurezza dei messaggi? Qualcuno può leggerli?
Anche qui spesso si fa confusione.Proviamo a riassumere per punti qual è lo stato attuale delle
cose:
1.WhatsApp ha introdotto la cifratura dei messaggi così detta End-To-End su tutte le chat. Questo
significa che i messaggi sono “criptati” e non risiedono sui server di WhatsApp, ma solo sui
dispositivi terminali
2.Telegram utilizza due cifrature differenti: una per i messaggi nel cloud di Telegram stesso (che – in
teoria – possono quindi essere letti da un operatore di Telegram che ha le credenziali di accesso) ed
una – End-To-End sulle chat segrete.
Infatti non tutti sanno che per Telegram, solo i messaggi nelle chat segrete sono coperti da cifratura End-To-End (di conseguenza questi messaggi non sono disponibili nel cloud e presenti
solo sul terminale che ha inviato il messaggio stesso). Ora però una domanda mi sorge spontanea: ma chi ha effettivamente bisogno di una cifratura endto-
end per i propri messaggi? Quali comunicazioni così “segrete ed importanti” dovrai mai inviare o ricevere?
Anche perché, nel caso in cui serva un livello di anonimato con un alto standard, né Telegram né WhatsApp vanno bene: conviene prendere in considerazione sistemi diversi, come
ad esempio Adamant. Crediamo quindi che molto spesso il termine “sicurezza” – riferito in particolare a queste due applicazioni, Telegram e WhatsApp – sia in qualche modo utilizzato in maniera distorta. Perdersi in discussioni (molto tecniche) su quale sia l’app che offre l’algoritmo più sicuro, è un passatempo per addetti ai lavori.
La maggior parte degli utilizzatori, persone e aziende, sono interessate ad altro, partendo comunque dal presupposto che ci sia un livello minimo di sicurezza nel sistema.
Ma allora, quale è meglio? Non c’è una risposta univoca. Ecco i punti principali per cui – se utilizzato per lavoro – Telegram batte nettamente WhatsApp:
•Telegram è un sistema di messaggistica in cloud, dove tutto è sincronizzato (tranne i messaggi nelle chat segrete). WhatsApp no. L’applicazione Desktop è una copia (mirroring) del telefono e
funziona solamente se è stata “accoppiata” allo smartphone e quest’ultimo è connesso ad internet. •Telegram permette la condivisione di file di qualsiasi tipo (fino a 1.5GB). WhatsApp no.
•Telegram è – mediamente – più veloce e performante di WhatsApp
•Telegram offre Canali, Supergruppi e Bot che permettono alle organizzazioni di utilizzarlo come efficace strumento di comunicazione e contatto
In ultimo, ricordo che WhatsApp è di proprietà di Facebook: a ciascuno le proprie conclusioni….
Quindi riassumendo:
•dal punto di vista della sicurezza, intesa come privacy dei messaggi, WhatsApp batte Telegram,
semplicemente perché è un servizio diverso e quindi non ha un cloud dove memorizzare i documenti
e messaggi e condividerli.
•dal punto di vista dell’utilizzo, sono due app diverse anche se all’apparenza non sembra, quindi ciascuno deve provare per trovare la soluzione migliore.
La flessibilità di Telegram, ad esempio nella creazione di Bot, è certamente una carta vincente.
Non ha senso chiedersi chi sia più “sicuro” tra WhatsApp e Telegram. Ha invece certamente senso chiedersi quale applicazione sia più efficace ed efficiente in
funzione dei propri obiettivi.
Vorremmo inoltre sottolineare che, ad oggi, nessuna persona sana di mente che avesse intenzione di inviare un messaggio segreto, personale, compromettente,
pericoloso per se o per altri, mai si sognerebbe di utilizzare delle messaggistiche istantaneee quali WhattApp e Telegram o sistemi similari.
Chi vuole parlare di privacy dovrebbe leggere le informative che WhatsApp e Telegram obbligano ad accettare nel momento in cui ci si iscrive poterli utilizzare, che sono entrambe chiarissime e
corrette; come tutte le informative, correttamente dichiarano che i dati non saranno utilizzati per la profilazione degli iscritti e così è; ma come tutte le informative, quando spiegano come il sistema sia protetto da criptatura, parlano dei dati/messaggi che gli utenti stessi immettono nel sistema, non parlano dell’accesso al sistema dall’esteno (le altre considerazioni in merito sono riservate agli addetti ai lavori).
Concludendo, per rispondere alla domanda iniziale: a livello di privacy e sicurezza informatica
nessun sistema di messaggistica istantanea è SICURO
