È il pilastro su cui si fonda la fiducia di tre miliardi di utenti: la promessa che nessuno, nemmeno l’azienda stessa, possa leggere i nostri messaggi. Sia i fondatori originali di WhatsApp che l’attuale proprietario Meta (Facebook) hanno sempre garantito che l’app utilizza la crittografia End-to-End (E2EE). Tecnicamente, questo significa che le chiavi per decifrare i contenuti sono solo sui dispositivi degli utenti, rendendo i messaggi inaccessibili a chiunque si trovi nel mezzo, server compresi. Tuttavia, una nuova class action depositata negli Stati Uniti sostiene che tutto questo sia una menzogna colossale e che Meta abbia, in realtà, accesso totale alle nostre conversazioni.
La Causa: “Basta un ticket per spiarvi su WhatsApp”
Le accuse contenute nei documenti legali sono gravissime e dettagliate. Secondo i querelanti, l’affermazione di Meta di non poter accedere ai contenuti è falsa. La denuncia sostiene che esista un meccanismo interno ben consolidato che permette ai dipendenti di bypassare ogni protezione:
• Accesso Semplice: Un dipendente Meta dovrebbe solo inviare un “task” (una richiesta interna) a un ingegnere spiegando di aver bisogno di accedere ai messaggi per motivi di lavoro.
• Tempo Reale: Una volta concesso l’accesso, i dipendenti potrebbero leggere i messaggi degli utenti quasi in tempo reale, non appena vengono inviati.
• Storico Completo: L’accesso sarebbe illimitato nel tempo, permettendo di recuperare messaggi fin dalla prima attivazione dell’account, inclusi quelli che l’utente crede di aver cancellato.
Se queste affermazioni fossero vere, ci troveremmo di fronte al più grande scandalo sulla privacy nella storia della tecnologia.
La parola all’esperto: Perché è improbabile
Per capire se dobbiamo disinstallare l’app in preda al panico, è intervenuto Matthew Green, professore della Johns Hopkins University e noto esperto di crittografia. Nel suo blog, Green analizza la situazione con freddezza tecnica. Sebbene WhatsApp sia “closed source” (il codice non è pubblico come quello di Signal) e quindi non verificabile al 100% da ricercatori indipendenti, ritiene che le accuse siano estremamente improbabili per tre motivi fondamentali:
• Varebbero scoperti subito: Anche se il codice sorgente è segreto, l’app compilata è pubblica. I ricercatori di sicurezza decompilano costantemente le versioni di WhatsApp per analizzarle. Se ci fosse un meccanismo che invia le chiavi di decifrazione a Meta o esfiltra i messaggi in chiaro, sarebbe visibile nel codice binario.
• Suicidio Aziendale: Mentire su una caratteristica tecnica così fondamentale esporrebbe Meta a rischi legali e finanziari devastanti, ben oltre la semplice multa. Sarebbe, citando l’esperto, “massicciamente stupido”.
• Il Protocollo Signal: WhatsApp utilizza il protocollo di crittografia di Signal, che è lo standard di riferimento del settore. Implementare una “backdoor” segreta in un protocollo così studiato è tecnicamente molto complesso senza lasciare tracce evidenti.
Fiducia Cieca?
Green conclude citando una verità scomoda dell’informatica: non esiste la sicurezza assoluta senza un minimo di fiducia. Esattamente come per iMessage e FaceTime di Apple (che usano anch’essi codice proprietario non pubblico per la E2EE), gli utenti devono fidarsi che l’azienda non stia commettendo una frode storica. Al momento, la causa legale non ha fornito prove tecniche concrete (come righe di codice o log di sistema) a supporto delle sue affermazioni shock. Fino a prova contraria, è più probabile che Meta sia un’azienda avida di dati ma non “profondamente stupida”.
[fonte]