VOLETE MOLLARE WHATSAPP PER PASSARE A SIGNAL? PRIMA LEGGETE L’ANALISI DEL GENERALE RAPETTO: “SIGNAL È UN SOFTWARE LIBERO E “OPEN SOURCE”. SULLA SUA ORIGINE SI INNESCANO STORIE INCREDIBILI COME QUELLA CHE SOLLECITA LA POPOLAZIONE INDIANA A SCARICARE TALE APP PER DARE UN “ENORME IMPULSO PER ATMANIRBHAR BHARAT”, OVVERO ALL’AUTONOMIA E ALL’INDIPENDENZA ECONOMICA DELL’INDIA. SIGNAL UTILIZZA ALGORITMI DI CRITTOGRAFIA END-TO-END. QUESTO SISTEMA FA SÌ CHE…”
Umberto Rapetto per https://www.infosec.news
La fuga da WhatsApp si configura come la più maldestra operazione fatta dall’apparentemente perfetta macchina di Facebook. La voracità del sistema di messaggistica istantanea ha portato all’immediato soffocamento tipico di chi ama far bocconi troppo grossi per le proprie fauci.
La migrazione degli utenti non sempre si è basata su elementi razionali, ma è partita al grido “io non ci sto” urlata da chi (spesso senza averle lette) ha rifiutato le “nuove” condizioni di utilizzo di WhatsApp. Può essere interessante conoscere le alternative, almeno per saperne qualcosa in più: qualche curiosità “storica” e qualche chiarimento sulle dinamiche di funzionamento possono aiutare a fare una scelta un pochino più ponderata.
DA DOVE SALTA FUORI “SIGNAL”
Mentre WhatsApp è un prodotto “commerciale” e ha un padrone (nella fattispecie Mark Zuckerberg), Signal è un software libero e “open source” (ovvero realizzato in piena trasparenza con il contributo di programmatori volontari).
Sulla sua origine si innescano storie incredibili come quella che sollecita la popolazione indiana a scaricare Signal perché tale “app” darà un “enorme impulso per Atmanirbhar Bharat”, ovvero per l’autonomia e l’indipendenza economica dell’India.
Un messaggio virale da quelle parti racconta che l’app sarebbe stata creata dal figlio di un povero paesano dell’Uttar Pradesh, riuscito nonostante le umili origini a laurearsi in ingegneria informatica e delle telecomunicazioni. Si dice addirittura che organizzazioni come la NASA e l’UNESCO avrebbero assegnato a Signal il riconoscimento di “Migliore nuova app del 2021” perché sarebbe presumibilmente la prima applicazione a utilizzare il codice in sanscrito. Si fa presto a pensare che si tratti di un cumulo di baggianate, ma può far piacere smontare una ad una le bugie.
Cominciamo. Basta andare sul sito ufficiale di Signal per imbattersi nei veri personaggi dell’organizzazione ovvero Brian Acton, Moxie Marlinspike e Meredith Whittaker. Nessuna traccia di soggetti provenienti dalle aree rurali indiane e verrebbe subito da pensare ad una bufala, ma il fatto che laggiù le vacche siano sacre induce a non fare gaffe diplomatico-religiose e a non approfondire oltre.
Per quanto concerne il fantomatico premio ottenuto, si può dare un’occhiata alla pagina web dell’UNESCO riferita ai riconoscimenti rilasciati per scoprire che non esiste nulla per la migliore app dell’anno.
E la programmazione in sanscrito? Niente del genere. L’applicazione è stata sviluppata utilizzando linguaggi “tradizionali” come Java, Objective-C, Rust, C e Swift. Dell’idioma in questione non c’è nemmeno traccia nell’ambito delle 100 lingue per cui è prevista una interfaccia per chi se ne serve.
LE DIFFERENZE DI PRIVACY TRA LE VARIE APP
COME FUNZIONA LA “APP”
Premesso che funziona sia su Android e iOS (accontentando la quasi totalità degli utilizzatori di smartphone), va detto che “gira” anche sui computer con sistemi operativi Windows, Linux e Mac.
Per tutelare la riservatezza delle comunicazioni e rendere sicuri testi, immagini audio e file che vengono scambiati tra gli utenti, Signal utilizza algoritmi di crittografia end-to-end. Questo sistema fa sì che solo le persone che stanno comunicando possono leggere i messaggi,escludendo che soggetti terzi (come i provider di Internet o i gestori telefonici) possano leggere i messaggi scambiati tra due persone. Negli “estranei” ovviamente non rientra Signal che costituisce il vettore e che non può non aver contezza del dialogo tra gli utilizzatori della propria applicazione.
Tra le peculiarità importanti c’è la possibilità per ciascun utente di verificare autonomamente l’identità dei loro corrispondenti confrontando i rispettivi codici di sicurezza (scansionabili anche come QR Code). Questo dettaglio (che dettaglio non è) permette di scongiurare l’accesso alla conversazione da parte di utenti non autorizzati con attacchi del tipo “Man-In-The-Middle” (ovvero con l’interposizione di qualcuno o qualcosa che si piazza tra i due dialoganti).
Signal permette sostanzialmente di fare le stesse cose che si era abituati a compiere con WhatsApp: inviare e ricevere messaggi privati e di gruppo, inoltrare la propria posizione GPS, spedire immagini anche animate, mandare “memo” vocali, allegare documenti o file multimediali.
SIGNAL QUALI DATI “CATTURA”?
Come tutte le applicazioni da smartphone, anche Signal chiede all’utente, che scarica la app e la installa, di concedere alcune autorizzazioni ad agire sul dispositivo che viene utilizzato.
In primo luogo pretende di individuare gli eventuali account di altri “iscritti” e lo fa andando a scansionare la rubrica dei contatti del nuovo utente, rilevando i numeri memorizzati, confrontando tali numeri con i propri database in cui sono registrati gli utilizzatori. L’operazione di “check” ha una sorta di sfriso, ovvero di avanzo che naturalmente non viene buttato via. I numeri delle persone che non sono ancora “clienti” (espressione all’apparenza ultronea, visto che il servizio è gratis) non si ha certezza che vengano eliminati ed è legittimo immaginarne una raccolta a futura memoria per scopi commerciali o di altra natura.
Non ci si spaventi, WhatsApp lo ha fatto sui nostri telefoni senza che nessuno arricciasse il naso al pensiero di confidare utenze riservate a qualcuno che ne avrebbe magari fatto il peggior impiego.
Signal accede alla scheda telefonica dell’utente così da abbinarne il numero al nome dell’utilizzatore, assicurandosi di poter “aggiungere nuovi numeri di telefono ai contatti esistenti e creare anche nuovi contatti”. Non è chiaro se questo genere di autorizzazione consente all’applicazione di incrementare la rubrica di chi fruisce del servizio inserendo autonomamente anche contatti che prima non erano presenti nella rubrica (circostanza che potrebbe rivelarsi pericolosissima e farebbe trovare in successive difficoltà chi si ritrova un nome ingombrante tra amici e conoscenti), oppure se permette all’utente (cosa che non richiederebbe alcuna autorizzazione a sé stesso) di registrare nuove persone sul proprio telefono.
CALENDARIO, GEOLOCALIZZAZIONE E MESSAGGI A TEMPO
Tra le autorizzazioni richieste da Signal c’è la “lettura di eventi di calendario e di informazioni riservate” che non viene esplicitata con dettaglio sufficiente per una adeguata interpretazione. Si legge poi di “aggiunta e modifica di eventi di calendario e invio di email agli ospiti a insaputa dei proprietari” la cui relativa sibillina autorizzazione a Signal viene liquidata con un “ti permetteranno di condividere gli eventi del tuo calendario nei messaggi ai tuoi amici” che non sembra chiarire un granché eventuali dubbi o sospetti.
Le autorizzazioni inerenti la geolocalizzazione dell’utente (che può essere interessato a comunicare ad altri utenti dove si trova) sono sostanzialmente due. Si riferiscono alla “posizione approssimativa” (ricavata dai dati di connessione alle rete telefonica o alla connessione Internet) e alla “posizione esatta” (basata sulle informazioni del GPS e rinforzata da quelle inerenti la connettività).
Signal è in grado di funzionare come sostituto completo dell’applicazione di messaggistica SMS e quindi si fa autorizzare a muoversi con una certa libertà tra i “brevi messaggi di testo”. In tal modo acquisisce la possibilità di inviare e ricevere sia SMS che MMS, e di importare gli SMS arrivati antecedentemente all’installazione della app.
L’utente ha possibilità di impostare un PIN che gli consente, sempre che lo desideri, di memorizzare sui server di Signal (ma in forma crittografata) una serie di informazioni come il proprio profilo, i contatti e le impostazioni della app così da accelerare un eventuale ripristino in caso di sostituzione del telefono o di altra esigenza di reinstallazione.
Tra le particolarità c’è quella di nascondere il mittente del messaggio che risulterà identificabile soltanto dal destinatario. Prima ancora che WhatsApp tirasse fuori i “messaggi effimeri”, Signal ha da sempre previsto “messaggi a scomparsa” destinati ad una cancellazione programmata grazie ad un timer personalizzabile.
SIGNAL COMUNICA QUALCOSA A QUALCUNO?
Chi gestisce la piattaforma spiega di erogare il servizio utilizzando il supporto di soggetti terzi, ma il loro “intervento” ha solo carattere “funzionale”. Signal avvisa di poter avere necessità di accedere ai dati degli utenti ma la casistica è ampiamente condivisibile.
Può capitare per dar riscontro alle richieste delle Autorità sulla base di provvedimenti normativi o di procedimenti giudiziari, per rilevare violazioni di legge o delle condizioni d’uso, per prevenire frodi o altri crimini o per tutelare i diritti di chi ha titolo di farli valere.
UNA OSSERVAZIONE OBBLIGATORIA
Se l’informativa in materia di privacy è in lingua italiana, chi sul web cerca i “termini di servizio” scopre che sono soltanto in inglese. Questa circostanza ostacola chi ha difficoltà a leggere e comprendere le condizioni di utilizzo della “app” e quindi ci si aspetta di vedere presto una traduzione (possibilmente non meccanica come quelle pur evolute di Google Translate) per assicurare una più serena consultazione delle pagine illustrative e una scelta effettivamente consapevole in ordine all’installazione o meno della senza dubbio utile applicazione.
Nel frattempo Facebook, dopo aver preso atto del biblico esodo da WhatsApp, fa sapere di aver rinviato a metà marzo l’entrata in vigore delle nuove “regole del gioco” sul proprio sistema di messaggistica istantanea. Avremo, così, il tempo di rinviare ogni decisione e di vedere più da vicino le alternative…
