Le app di messaggistica come WhatsApp, Telegram o Signal offrono ai loro utenti la protezione della privacy attraverso l'utilizzo di sistemi di crittografia delle conversazioni. Anche se tutte le app di chat offrono ad oggi un certo livello di privacy, esistono molti modi in cui qualcun'altro può accedere ai messaggi scambiati con queste app.
Non solo le autorità e le forze dell'ordine possono leggere i messaggi dei presunti criminali tramite le cosiddette "backdoor", anche se inviati con servizi crittografati, ma anche degli hacker potrebbero accedere al contenuto delle chat di un utente. Per questo motivo è importante capire come funzionano i messaggi criptati e qual è il livello di sicurezza per proteggere la privacy di chi usa questo tipo di app per le comunicazioni.
Crittografia end-to-end, cos'è e come funziona
Ogni giorno miliardi di informazioni attraversano la rete e uno dei pericoli per la privacy è che i messaggi inviati nelle chat vengano intercettati e letti da malintenzionati. Per questo motivo è importante scegliere app di messaggistica che utilizzano la crittografia per difendere le comunicazioni da attacchi di terze parti. I sistemi di crittografia si basano sulla codifica delle informazioni, che si attua attraverso la conversione dei dati da un formato leggibile a uno codificato, che potrà essere letto solo dopo un'opportuna decodifica. Per poter decifrare un testo crittografato è quindi necessario conoscere la chiave crittografica utilizzata per codificarlo, in caso contrario tutto quello che avremo in mano sarà una successione apparentemente casuale di lettere e numeri.
Le app di messaggistica ritenute sicure come WhatsApp, Telegram o Signal utilizzano algoritmi di crittografia end-to-end, basati sulla "crittografia asimmetrica", dove la codifica e la decodifica del messaggio avviene attraverso una coppia di chiavi crittografiche: una "pubblica" e una "privata". Quando inviamo un messaggio questo viene cifrato con la chiave pubblica del destinatario, che dopo averlo ricevuto dovrà decifrarlo con la sua chiave privata. In questo modo, i messaggi possono essere decifrati solo con la chiave privata che è stata precedentemente associata a quella pubblica in modo univoco.
Nella crittografia end-to-end si aggiunge un passaggio ulteriore per aumentare la sicurezza delle conversazioni. In questo caso l'app di messaggistica, come ad esempio WhatsApp o Telegram, non controlla direttamente la creazione della chiave privata, la quale viene generata e archiviata direttamente sul dispositivo da cui l'utente comunica. In questo modo, la stessa app non è in grado di decifrare i messaggi in transito mentre solo le persone che scambiano i messaggi e fanno parte di quella conversazione hanno la chiave privata per poter decriptare il messaggio in entrata.
A differenza quindi dei normali SMS, il cui testo non viene codificato e può essere intercettabile in qualsiasi punto nella catena di trasmissione, i messaggi inviati attraverso app crittografate possono in teoria essere intercettati la trasmissione, ma non decifrati se non accedendo fisicamente (o tramite un sofisticato malware) al telefono degli utenti.
Smartphone criptati: a cosa serve e come funziona
Affinché le conversazioni siano sicure e le informazioni protette, anche gli smartphone possono essere criptati, sia i dispositivi Android che iOS, per mantenere al sicuro foto, contatti, file e messaggi. Criptando il proprio telefono, i dati contenuti in esso saranno accessibili solo dopo che l'utente avrà inserito una chiave di sblocco, proteggendoli anche nel caso in cui il cellulare dovesse fisicamente finire in mani sbagliate.
I criteri da tenere in considerazione perché un messaggio criptato sia sicuro sono la segretezza della chiave crittografica e la complessità dell'algoritmo di cifratura. Più l'algoritmo richiede calcoli complessi, più aumenta la sua capacità di resistere ai tentativi di decifratura da parte di malintenzionati. Il rovescio della medaglia è che cifrare e decifrare i dati richiede calcoli, quindi rallenta le prestazioni dello smartphone e incide sulla durata della batteria.
Apple ha introdotto la possibilità di criptare gli iPhone nel 2014, con l'arrivo del sistema operativo iOS 8. Per abilitare la crittografia è sufficiente utilizzare un codice di sicurezza, oppure autorizzare lo sblocco con la lettura delle impronte digitali. Negli smartphone Android invece le impostazioni di crittografia del telefono variano da produttore a produttore. In generale, andando su Impostazioni > Sicurezza > Crittografia si accederà a una schermata in cui le diverse opzioni consentono di scegliere un Pin di accesso per poi eseguire la crittografia del dispositivo.
Chi e come può accedere ai messaggi criptati?
Anche se il tuo smartphone è criptato e utilizzi delle app di messaggistica che sfruttano la crittografia end-to-end, c'è sempre qualcuno che potrebbe accedere ai tuoi messaggi. Dopo aver inviato il messaggio criptato, questo non è in teoria decifrabile, ma se un malintenzionato dovesse riuscire a entrare in possesso del telefono, sia fisicamente che attraverso attacchi informatici che gli consentano di accedere alla sua memoria, potrebbe leggere i contenuti dei messaggi inviati e ricevuti. Ad esempio, chiunque abbia libero accesso al dispositivo, nel caso non sia protetto da un blocco, potrebbe aprire le app di messaggistica e curiosare tra le conversazioni.
Esistono poi diversi software dannosi che un hacker potrebbe installare sul dispositivo per leggere i messaggi proprio come se lo avesse tra le sue mani. Si tratta di malware che una volta installati sul telefono (di solito l'infezione avviene tramite una app scaricata dall'utente) sono in grado di trascrivere il testo che viene digitato, prima ancora che venga criptato ed inviato, o leggere la schermata con i messaggi ricevuti. Un altro tipo di malware che mette a rischio la privacy, nonostante le conversazioni criptate, è lo stalkerware. Questo tipo di software monitora il telefono ed è in grado di accedere ai messaggi non solo in tempo reale, ma anche ai backup delle conversazioni.
Non sempre, infatti, i backup del telefono, sia dei dati che delle conversazioni, sono a loro volta adeguatamente crittografati e un cybercriminale potrebbe scoprirne o forzarne la password poco sicura e così accedere a tutte le informazioni salvate. Per questo motivo è sempre bene scegliere password diverse per i propri account e che siano difficilmente individuabili e, quindi, sicure.