Negli ultimi decenni le applicazioni di messaggistica sono diventate sempre più popolari e largamente diffuse. Ogni ora miliardi di persone scambiano messaggi tramite diversi tipi di app. L’utilizzo di queste applicazioni genera un ingente traffico di dati, metadati e informazioni personali, trasmessi in internet e giornalmente raccolti ed archiviati. Tuttavia, la maggior parte degli utenti non si preoccupa della propria privacy e non ha idea di cosa succeda ai messaggi dopo l’invio. Sebbene le app di messaggistica siano in circolazione da diversi anni, solo ultimamente è stata incrementata l’attenzione dedicata allo sviluppo di applicazioni sicure, focalizzando l’attenzione sulla protezione della privacy e sul soddisfacimento delle esigenze degli utenti.

Nel marzo 2016, Wikileaks ha rilasciato informazioni riguardo alla possibilità, per la CIA, di bypassare tutti i sistemi di sicurezza di WhatsApp e Signal ed hackerare gli smartphone in remoto. Dopo le rivelazioni di Edward Snowden, i consumatori sono diventati più consapevoli della propria privacy online e dei pericoli legati alla raccolta delle informazioni e al furto di identità. Così la crittografia, inizialmente utilizzata solo da utenti particolarmente attenti o con un elevato bisogno di privacy, è diventata un’esigenza di tutti. Tuttavia, il problema riguarda anche l’archiviazione dei dati memorizzati e la loro accessibilità. Viviamo in un’era digitale in cui le aziende puntano a raccogliere sempre più dati personali dei consumatori, anche per motivi di marketing. In questo senso, la registrazione delle proprie informazioni si verifica continuamente, con quasi tutte le comunicazioni digitali.
Studi recenti dimostrano che sono in aumento gli utenti che si preoccupano della propria privacy, rifiutando l’utilizzo di determinate applicazioni ritenute “non sicure”. Un sondaggio su 2,245 adulti negli Stati Uniti ha mostrato che il 57% degli utenti di app per smartphone, ha eliminato un’app o rifiutato di installarla per motivi di sicurezza e privacy.

Confronto tra applicazioni di chat in termini di sicurezza e privacy

Con il passare degli anni sono state sviluppate sempre più applicazioni di messaggistica istantanea ed alcune sono diventate estremamente popolari in breve tempo. In termini di sicurezza dei propri dati e tutela delle informazioni personali, è diventato ormai essenziale saper distinguere le app di messaggistica sicure da quelle meno sicure.
In questo articolo, verrà citato uno studio (A comparison of Chat applications in terms of Security and Privacy) che confronta diverse app di chat in termini di sicurezza e privacy, analizzando:
– Funzionalità di sicurezza e privacy,
– Archiviazione dei dati ed accessibilità.
Lo scopo è quello di fornire consigli e best practice per utilizzare le chat in maniera consapevole, scegliendo quelle maggiormente sicure.

Crittografia end-to-end e in transito

Poiché i consumatori richiedono sempre maggiore sicurezza e privacy, le società di sviluppo software si sono impegnate per far fronte a queste esigenze. Una delle funzionalità più richieste riguarda proprio la crittografia end-to-end. Con questo tipo di crittografia nessuno, a parte chi sta comunicando, può visualizzare questi messaggi in chiaro: nessun terzo, nemmeno il governo o gli sviluppatori di queste app. Quando si utilizza questo tipo di crittografia i messaggi inviati attraverso diversi host sono protetti, i dati contenuti nel messaggio sono cifrati e lo è anche il messaggio durante il transito. Quindi, anche quando un messaggio deve passare attraverso nodi potenzialmente insicuri, esso è comunque protetto dalla divulgazione durante il suo transito.

Un altro tipo di crittografia utilizzato è la crittografia in transito. In questo caso, i messaggi vengono crittografati tra l’utente e il fornitore di servizi, ma archiviati come testo in chiaro sul server. Ciò rappresenta un rischio, perché i messaggi memorizzati potrebbero essere letti da terze parti che ottengono l’accesso al server.

Si può sostenere quindi, che lo standard predefinito di sicurezza per le app di messaggistica dovrebbe includere un livello adeguato di crittografia end-to-end.

App di messaggistica a pagamento e gratuite

In questi anni, si è aperto un nuovo mercato dedicato allo sviluppo di app sicure a pagamento. Le app a pagamento includono le funzionalità di sicurezza e privacy di base, nonché funzionalità aggiuntive che contribuiscono a renderle migliori di quelle gratuite. Tra queste chat a pagamento si possono trovare Threema, Wickr Me, CoverMe e Confide. Wickr Me ha una versione gratuita con funzionalità limitate, ma permette di implementare a pagamento la versione professionale, con più caratteristiche. CoverMe ha funzionalità aggiuntive rispetto a quelle presenti in tabella, ad esempio: blocco dei messaggi, password, documenti e contenuti multimediali. Consente inoltre agli utenti di ottenere un secondo numero privato (per nascondere quello personale durante la chiamata), permette di fare telefonate criptate di livello militare, chiamate protette da password e consente di mascherare e nascondere l’app sul dispositivo (con un’app per la lettura di notizie, ad esempio).

App e sicurezza della comunicazione

Esaminiamo ora alcune delle più famose applicazioni di messaggistica in termini di sicurezza.


Messenger

È l’applicazione di chat di Facebook, utilizzata da oltre due miliardi di utenti registrati. L’app è accessibile tramite il social e consente di inviare messaggi di chat e fare chiamate sia vocali, che video. La crittografia end-to-end non è abilitata come impostazione predefinita, ma può essere attivata selezionando l’opzione “Conversazione segreta” in una chat.


WhatsApp

È l’app di messaggistica più utilizzata. I messaggi di testo e multimediali, hanno come impostazione predefinita la crittografia end-to-end. WhatsApp è di proprietà di Facebook ed inizialmente, l’intento era quello di popolare i profili Facebook degli utenti, con i loro dati di WhatsApp. Questa idea, bloccata dall’Unione Europea, se integrata metterebbe a rischio sicurezza e privacy degli utenti.


Telegram

Lanciata dopo le rivelazioni di Snowden e rivolta a tutti quegli utenti che necessitano di sicurezza per le loro comunicazioni digitali. Offre una crittografia client-server per i messaggi di chat e permette di utilizzare anche “chat segrete” la cui privacy non può essere violata. Queste chat si autodistruggono dopo un determinato periodo di tempo sui dispositivi di entrambi gli utenti (sia per chat individuali che di gruppo), così come sul server.


Signal

È sviluppato da una società chiamata Open Whisper Systems, che Edward Snowden ha descritto come una delle più sicure. L’app utilizza la crittografia end-to-end di livello militare e la piattaforma open source, attentamente monitorata, permette modifiche finalizzate al miglioramento della sicurezza. Risulta essere l’app più utilizzata da hacktivisti ed esperti di sicurezza.


WeChat

Ha oltre 700 milioni di utenti e domina il web cinese. Non offre crittografia end-to-end, ma fornisce protezione client-server e server-client. L’app ha un accreditamento da parte della società della Privacy TRUSTe, che fornisce soluzioni per gestire la conformità della privacy per il Regolamento generale sulla protezione dei dati (GDPR) ed altre normative globali sulla privacy. È conforme allo standard ISO 270001-2013, rendendo l’app molto difficile da violare per gli hacker.


Skype

Recentemente rinnovata nel tentativo di renderla più attraente per l’utenza. La comunicazione digitale è protetta dalla crittografia Transport Layer Security (TLS) e Advanced Encryption Standard (AES). Tuttavia, non esiste alcuna crittografia quando si chiamano numeri di rete fissa o mobili.


Snapchat

Dal Rapporto Amnesty International del 2016, si è classificata tra le app meno sicure, perché non rispetta la privacy e non implementava la crittografia. Tuttavia, nel 2019, Snapchat ha annunciato di aver implementato la crittografia end-to-end per proteggere i dati.


Sicurezza e Privacy a confronto

La tabella sottostante presenta un confronto riepilogativo di diverse app in termini di sicurezza e privacy.

Analizzando i punteggi di privacy WeChat si classifica come ultima (punteggio di zero su 100). Facebook Messenger e WhatsApp hanno ottenuto 73, mentre iMessage 67 (Griggs, 2018).

La maggior parte delle applicazioni elencate nella Tabella fornisce la crittografia end-to-end. Sebbene Telegram, Skype e Messenger offrano questo tipo di crittografia, non è abilitata come impostazione predefinita. Telegram offre questa funzione come opzione “chat segreta”, ma quando non si usufruisce di questa tipologia di messaggistica, viene utilizzata la crittografia in transito. Skype ha recentemente aggiunto la crittografia end-to-end, ma non è attiva come impostazione predefinita. È necessario avviare una “conversazione privata” per abilitarla. Le conversazioni segrete su Messenger sono attualmente disponibili solo nell’app per dispositivi mobili ed inoltre, sarebbe visibile solo sul dispositivo su cui si crea la conversazione e sul dispositivo che il destinatario utilizza per aprirla. Pertanto Messenger, Skype e Telegram hanno controlli per crittografia in transito come impostazione predefinita ed end-to-end per le conversazioni selezionate dall’utente. Hangouts and Slack non forniscono crittografia end-to-end, ma utilizzano invece la crittografia in transito, che li rende meno sicuri ed affidabili. Secondo il rapporto Amnesty del 2016/17, WeChat è stato oggetto di censura e sorveglianza, a causa di importanti problemi di privacy, tanto che sarebbe più sicuro eliminare l’app dal dispositivo.

Poiché la maggior parte delle app utilizza la crittografia end-to-end, è importante sapere se la chiave privata di crittografia sia accessibile dal fornitore di servizi. Apple, Telegram e WhatsApp affermano di non poterla ottenere. Tuttavia, sebbene Apple affermi di non essere in grado di leggere i messaggi dell’utente, un’indagine condotta da alcuni hacker ha evidenziato che tecnicamente Apple può leggere i messaggi iMessage ogni volta che lo desidera (Blue, 2018).

Storage e accessibilità

Gli utenti hanno spesso la necessità di recuperare la cronologia o i dati della chat. Per questo, diventa essenziale l’utilizzo delle impostazioni di backup per consentire il successivo ripristino o recupero dei dati. Tali backup sono generalmente memorizzati sul dispositivo stesso e/o nel cloud. La domanda successiva in termini di sicurezza e privacy, riguarda quindi il luogo in cui vengono archiviati i dati e la loro facilità di recupero. A questo confronto, si aggiungono LINE e WeChat, data la loro popolarità in oriente.


LINE

Consente agli utenti di eseguire il backup della chat in vari luoghi (LINE Keep, Memo sul dispositivo, e-mail, Google Drive, OneDrive).


Signal

Memorizza sul dispositivo solo i metadati necessari per il funzionamento dell’app. Consente un backup opzionale sul dispositivo, ma non su PC, server o cloud.


Telegram

Memorizza tutte le immagini nella memoria interna del dispositivo o sulla scheda SD e archivia chat, immagini e video eliminati nella cartella cache della scheda SD. L’app memorizza le chat e i media sul servizio cloud. Le chat segrete non vengono memorizzate sul server, ma archiviate in crittografia.


Viber

Consente agli utenti di salvare una copia delle chat inviandola via e-mail. Le chat verranno inserite una cartella .zip archiviata come file .csv con i nomi dei relativi contatti. È possibile creare una copia di backup della chat e leggerle come file di testo, ma non possono essere ripristinate nell’applicazione stessa. Viber, inoltre, conserva i dati in una cartella separata, situata nella memoria interna al sistema del dispositivo. È possibile accedere a tali dati di backup solo con i diritti di root.


WeChat

Permette il backup dei dati di su un PC, utilizzando il software WeChat Client scaricato da Internet. WeChat, così come altre app (ad es. WhatsApp, Line, Kik, Viber, ecc.), può anche essere sottoposto a backup dei dati su PC, usando Connessione USB e software senza connessione Internet. Il backup può essere effettuato anche mediante trasferimento dati ad un altro smartphone. Nell’interesse della privacy, WeChat non memorizza la cronologia delle chat sul proprio server, a meno che l’utente non scelga esplicitamente la funzione di backup. La cronologia chat non può essere recuperata una volta eliminata.


WhatsApp

I dati di sono memorizzati sul dispositivo del mittente e del destinatario. Esegue i backup sul dispositivo dell’utente nella memoria interna (su base giornaliera per impostazione predefinita) e possono anche essere archiviati su Google Drive. Backup e messaggi non sono protetti dalla crittografia end-to-end di WhatsApp in Google Drive.


Messenger

Memorizza nell’account Facebook dell’utente tutti i dati . Facebook offre l’opportunità di salvare una copia di tutte le informazioni, comprese immagini caricate e video, informazioni di contatto, amici e la cronologia completa dei messaggi. I dati di Messenger sono anche archiviati su dispositivi Android, all’interno di cartelle dati o scheda SD.


In sintesi, quindi, tutte le app nella Tabella eseguono il backup dei dati sul dispositivo e consentono di trasferire messaggi da un dispositivo mobile a un altro. Signal è l’unica App che non consente il backup su PC o Cloud, mentre tutte le altre app offrono questa funzione come opzionale. Inoltre, tutte consentono di inviare chat via e-mail, non crittografate. Questa modalità tuttavia è rischiosa, perché se l’account di posta elettronica viene compromesso, saranno accessibili anche i backup delle chat.
L’opzione più sicura e consigliata, consiste comunque nell’evitare il backup su PC o servizi. In questo senso, Signal risulta essere la più sicura, proprio perchè non consente backup su cloud o su PC. Tuttavia, le app che consentono opzionalmente questa funzione, possono essere considerate alla pari con questa.

Ulteriori funzionalità di sicurezza delle app

Telegram, iMessage, Viber, Messenger, CoverMe, Dust e Signal hanno una funzione che consente ai messaggi di autodistruggersi o scomparire dopo un certo periodo di tempo, sia sui dispositivi usati dal mittente che dai destinatari. iMessage, Viber e Dust sono le uniche app di chat che affermano di eliminare i messaggi dal server. iMessage elimina automaticamente i messaggi dal server dopo sette giorni.

Prendiamo ora in esame qualche caratteristica essenziale di queste app:

  • Sia Signal che Telegram hanno una politica open source. Chiunque può controllare il codice sorgente, il protocollo e l’API.
  • Signal, Telegram, Viber e WhatsApp permettono di impostare un blocco di accesso con codice, da inserire prima del utilizzo. Al momento della registrazione di un nuovo utente, sia WhatsApp che Line inviano un codice di verifica tramite SMSper completare l’installazione. Telegram offre una funzione di verifica in due passaggi, in cui per accedere si richiede di utilizzare sia un codice SMS, sia una password. L’app consente inoltre di impostare un indirizzo e-mail di recupero, nel caso di dimenticanze.
  • Dust e Wickr Me hanno introdotto una nuova funzione di rilevamento screenshot, che avvisa l’utente quando è stato fatto uno screenshot in una chat.
    – Il logout remoto è una funzione offerta solo da Telegram. La maggior parte delle app consente di accedere all’app da più dispositivi. Questa funzione permette di disconnettersi da tutti i dispositivi su cui è stato effettuato l’accesso, direttamente dal dispositivo in uso.
  • Un’altra caratteristica è l’autodistruzione dell’account. Solo Telegram offre questa funzionalità. Se l’account rimane inattivo per un certo periodo (sei mesi è l’impostazione predefinita) si autodistruggerà automaticamente e tutti i messaggi ed anche i media verranno cancellati.

Si consiglia agli utenti di applicare le impostazioni corrette per usare le app di messaggistica in modo sicuro, a seconda dei propri bisogni.

Conclusioni

Sistemi di sicurezza e crittografia: Le persone scelgono le app di messaggistica in base a criteri diversi e a necessità differenti in termini di livelli di sicurezza. Un confronto tra le funzionalità di sicurezza di varie app suggerisce che Signal, Telegram, WhatsApp e Viber sono le migliori App gratuite per quanto riguarda la sicurezza. Tutte le app a pagamento nella Tabella 1 sembrano essere altrettanto, se non più sicure, delle App gratuite. CoverMe ha portato la sicurezza e la privacy ad un livello superiore on una serie di funzionalità aggiuntive che permettono di nascondere e mascherare le informazioni dell’utente. Le app meno sicure sono WeChat, Google Hangouts e Slack, principalmente a causa della mancanza della crittografia end-to-end. In particolare, WeChat presenta importanti problemi di privacy e sarebbe più sicuro rimuovere l’app dal telefono.

Storage e accessibilità: Un confronto in termini di accessibilità ai dati memorizzati, suggerisce che Signal è il più sicuro. Tuttavia, anche le altre app possono essere considerate alla pari di Signal per quanto riguarda l’archiviazione e il backup dei dati, se si applicano le impostazioni corrette, . Da questa analisi emerge che le App meno sicure sono WhatsApp e WeChat, principalmente perchè se si utilizza la versione Web, le chat e i media vengono sottoposti a backup sul PC per impostazione predefinita.