Navigaweb.net logo

Crittografia End-to-End WhatsApp, che significa e cosa non protegge

Aggiornato il: Scritto Da: - @pomhey
Come attivare e usare la Crittografia End To End su Whatsapp crittografia end-to-end su WhatsApp e copri cosa resta visibile a Meta
WhatsApp sicuro

L'avviso giallo che compare nelle chat, "I messaggi e le chiamate sono crittografati end-to-end", è diventato parte dell'arredamento digitale, spesso ignorato o frainteso come una garanzia di invisibilità totale. La realtà tecnica è diversa e più complessa. Sebbene la tecnologia alla base sia robusta, esistono vettori di attacco laterali e nuove normative europee che modificano il perimetro di questa sicurezza. Non serve solo impedire a un hacker di intercettare il testo in transito, ma bisogna capire come vengono gestiti i dati quando lasciano il dispositivo o quando interagiscono con altre app.

LEGGI ANCHE -> Chat segrete e non rintracciabili con Signal su Android, iPhone e Web

Il meccanismo della "Busta Chiusa" digitale

La crittografia end-to-end (E2EE) è un protocollo di sicurezza che impedisce a chiunque si trovi nel mezzo della comunicazione di decifrare i dati. Né Meta (l'azienda madre), né il fornitore di connessione internet, né le autorità governative possono leggere il contenuto dei messaggi mentre viaggiano da un punto all'altro.

Il sistema, basato sul rinomato Signal Protocol, utilizza coppie di chiavi crittografiche:

  • Chiave Pubblica: Serve a cifrare il messaggio. È visibile al server per instradare la comunicazione verso il destinatario corretto.
  • Chiave Privata: Risiede esclusivamente sul dispositivo dell'utente e serve a decifrare il messaggio ricevuto. Non lascia mai il telefono.
WhatsApp criptato

Quando si invia un messaggio su WhatsApp, questo viene bloccato con la chiave pubblica del destinatario e diventa una stringa di codice illeggibile. Torna chiaro solo quando la chiave privata del destinatario lo sblocca. Questo avviene di default per tutte le chat personali, chiamate e videochiamate.

Il problema dei Backup: la porta di servizio aperta

Per anni, la sicurezza di WhatsApp ha avuto un punto debole strutturale enorme: i backup. La crittografia end-to-end protegge i messaggi in transito, ma non quelli archiviati sui server di terze parti.

Quando si esegue il backup automatico su Google Drive (Android) o iCloud (iPhone), una copia delle chat viene inviata ai server di Google o Apple. Senza una protezione aggiuntiva, queste copie sono accessibili ai fornitori del servizio cloud e, su richiesta, alle autorità giudiziarie, rendendo di fatto inutile la protezione E2EE usata durante la conversazione.

Blindare l'archivio manualmente

Per chiudere questa falla è necessario un intervento manuale. Seguendo la rotta di Navigaweb per la massima sicurezza, si consiglia di attivare l'opzione specifica che cifra anche l'archivio remoto:

  • Andare su Impostazioni > Chat.
  • Selezionare Backup delle chat.
  • Attivare Backup crittografato end-to-end.

Il sistema chiederà di generare una password o una chiave a 64 cifre. Nota critica: se si dimentica questa password, il recupero dei dati sarà impossibile. Nemmeno WhatsApp potrà ripristinare le chat, poiché non possiede le chiavi di decifrazione. È il compromesso necessario per la privacy assoluta.

Verifica dell'integrità e attacchi Man-in-the-Middle

La fiducia cieca nella tecnologia non è mai una buona strategia. Esiste la possibilità teorica che un attaccante (o il server stesso in caso di compromissione) si inserisca nella conversazione fingendosi il destinatario per intercettare la chiave pubblica (attacco Man-in-the-Middle).

Per scongiurare questo rischio, WhatsApp offre un sistema di verifica manuale:

  • Aprire una chat e toccare il nome del contatto.
  • Selezionare Crittografia per visualizzare un codice QR e una serie di 60 numeri.
  • Confrontare questi numeri con quelli sul dispositivo dell'interlocutore.

Se i codici coincidono, la sessione è sicura. Se il codice di sicurezza cambia improvvisamente (arriva una notifica in chat se l'opzione è attiva), potrebbe significare che il contatto ha reinstallato l'app o cambiato telefono, ma in contesti ad alto rischio potrebbe indicare un tentativo di intercettazione.

La novità: Interoperabilità e Chat di Terze Parti

Con l'entrata in vigore del Digital Markets Act (DMA) in Europa, WhatsApp ha dovuto aprire le sue porte ad altre app di messaggistica (come Telegram, Signal o app minori). Questo introduce una variabile complessa nella crittografia.

Se si chatta da WhatsApp verso un'altra app che usa il protocollo Signal, la crittografia E2EE viene mantenuta. Tuttavia, se l'app di terze parti utilizza un protocollo diverso, potrebbe essere necessario decifrare e ricifrare il messaggio in un punto intermedio (bridge), riducendo tecnicamente il livello di sicurezza garantito dall'ecosistema chiuso. WhatsApp segnala queste conversazioni in una cartella separata "Chat di terze parti", e l'utente deve essere consapevole che la sicurezza dipende anche dalle pratiche di gestione dati dell'altra app.

Cosa non viene nascosto: i Metadati

È fondamentale comprendere la distinzione tra contenuto e contesto. La crittografia nasconde cosa c'è scritto, ma Meta raccoglie e analizza una quantità massiccia di metadati non criptati.

Anche con E2EE attiva, i server registrano:

  • Chi comunica con chi e con quale frequenza.
  • Orari di connessione e durata delle sessioni.
  • Indirizzo IP (geolocalizzazione approssimativa).
  • Informazioni sul modello di smartphone e livello di batteria.
  • Immagine del profilo e stato testuale.

Questi dati sono sufficienti per profilare le abitudini di un utente, costruire un grafo sociale delle sue relazioni e dedurre informazioni sensibili senza mai leggere il testo di un messaggio.

Altre particolarità sulla crittografia Whatsapp

Per avere un quadro completo della sicurezza reale, bisogna considerare alcuni aspetti pratici che spesso sfuggono:

  • WhatsApp Business: Quando si interagisce con un account aziendale, la dinamica cambia. Molte aziende utilizzano partner esterni o la stessa piattaforma cloud di Meta per gestire i messaggi. In questi casi, la crittografia end-to-end garantisce la consegna sicura al server dell'azienda, ma una volta lì, il messaggio potrebbe essere letto da personale umano, bot o software di analisi per scopi di marketing.
  • Segnalazioni e Moderazione: Se un utente segnala un messaggio a WhatsApp per spam o abusi, gli ultimi 5 messaggi della chat vengono inoltrati ai moderatori di Meta in chiaro, aggirando momentaneamente la crittografia per scopi di verifica.
  • Il problema della tastiera: La crittografia protegge i dati nell'app. Se si utilizza una tastiera di terze parti (come Gboard o SwiftKey) con l'invio dati attivo per migliorare la predizione, ciò che viene digitato potrebbe essere elaborato dal fornitore della tastiera prima ancora di essere cifrato da WhatsApp.
  • Malware locale: Nessuna crittografia protegge da uno spyware installato sul telefono che fa screenshot o registra i tasti premuti. La sicurezza del canale è inutile se il dispositivo finale è compromesso.

LEGGI ANCHE: App per chat sicura e messaggi cifrati dal cellulare.





Posta un commento


0%