Ma che cosa sta succedendo a WhatsApp e a Facebook?

La natura delle modifiche dei Termini di utilizzo è a tutt’oggi fonte di discussione ancora aperta. Facebook dichiara che le modifiche apportate sono di livello minimo, ma le voci critiche segnalano che Facebook sta concedendo a se stessa l’autorizzazione al trasferimento dei dati WhatsApp alla propria “casa madre”.

Oltre alla condivisione dei dati dell’utente, WhatsApp prevede di usare gli indirizzi IP e il numero di telefono degli utenti per rilevarne la loro geolocalizzazione effettiva. Un’altra modifica in arrivo è l’introduzione delle chat professionali gestite da server esterni. Questo significa che i dati personali potranno essere trattati anche da terzi.

Facebook ha certamente scelto un momento particolare per attivare queste modifiche: negli USA, attualmente, vi sono due procedimenti legali che denunciano pratiche anticoncorrenziali che richiedono a Facebook di vendere Instagram e WhatsApp. Le implicazioni di tutto questo sono che Facebook voglia fondere rapidamente i dati in suo possesso per rivendicare, successivamente, l’impossibilità di questa separazione.

Ma le conversazioni su WhatsApp non sono sicure?

Anche se WhatsApp cripta le conversazioni tra due persone (one-to-one) e quelle di gruppo per evitare che qualcuno possa “origliarle” (crittografia end-to-end), continuano a sussistere molti dubbi sulla riservatezza. WhatsApp funzionerà solo dopo aver trasferito la rubrica dell’utente sui propri server aziendali. Anche se questo consente a WhatsApp di accoppiare gli utenti, nessuno conosce esattamente quali sono i dati che WhatsApp acquisisce nel corso del processo.

Tramite l’analisi dei metadati WhatsApp è in grado di raccogliere anche numerose informazioni relative all’utente. La società non è in grado di intercettare il contenuto dei messaggi scambiati dagli utenti, ma è certamente in grado di rilevare che stanno effettivamente “parlando” fra loro. Le immagini e lo stato dei messaggi scambiati non vengono criptati.

Quando un utente fa clic su un link di una conversazione, gli URL corrispondenti vengono registrati e tracciati, e tutti questi dati sono utili per aggregare dettagliati profili utente. Se si conosce chi sta parlando con chi, e i link che vengono condivisi, il contenuto delle conversazioni potrebbe anche non essere così rilevante.

Alternative a WhatsApp

C’è un detto: “Se non stai pagando nulla, non sei un cliente, ma solo un prodotto vendibile” Ma i settori preposti alla riservatezza dei dati dei concorrenti di WhatsApp si comportano meglio?

Attualmente, WhatsApp ha tre concorrenti principali. Threema (il più anziano in questo settore), Signal (il nuovo nato del gruppo) e Telegram (recensioni stampa positive). Tutte tre queste applicazioni sono disponibili per sistemi Android e iOS.

Signal può contare su un proprio “paparino”

Anche se Signal è diventato solo recentemente una popolare alternativa a WhatsApp, esiste dal 2014. Proprio come WhatsApp, anche Signal cripta le conversazioni individuali e di gruppo e, come WhatsApp, è gratuito.

Ma come? Non ho appena detto che un’applicazione gratuita significa che l’utente non è altro che un “prodotto vendibile”? Beh... In effetti vi sono sempre eccezioni alla regola. Signal è un’app realizzata da una fondazione finanziata da donazioni. Nel 2018 la fondazione ha ricevuto 50 milioni di dollari da Brian Acton, uno dei fondatori di WhatsApp (oh, ironia della sorte). Certo la donazione di un comune singolo utente non potrà mai eguagliarla ma, come al solito, anche ogni briciola ha un suo valore.

Signal si attiene coerentemente a un approccio incentrato sulla riservatezza dei dati. Per esempio, quando Signal accede alla rubrica dell’utente lo fa senza estrapolare tutti i dati possibili, ma solo quelli relativi all’hash dei numeri di telefono presenti nella rubrica stessa.

Ma che cosa è un hash?

Probabilmente è bene spiegare che cosa è un hash perché è un termine che verrà più volte utilizzato più avanti in questo articolo: invece di inviare i dati grezzi degli indirizzi ai propri server, Signal legge i numeri di telefono e genera dagli stessi un valore hash.

Gli hash criptati sono unidirezionali e questo significa che un valore hash rende impossibile risalire al numero di telefono dal quale è stato generato. D’altra parte, i valori hash sono coerenti, ovvero se tre dispositivi diversi generano un valore hash dallo stesso numero di telefono, il risultato sarà sempre lo stesso valore hash.

Confrontando i valori hash elaborati dalla rubrica dell’utente con altri valori hash presenti sui propri server, Signal è in grado di indicare quali contatti stanno utilizzando l’app senza, tuttavia, che i server centrali vengano a conoscenza dei numeri stessi.

Anche se non si tratta di un sistema perfetto (gli hash dei numeri di telefono possono essere craccati) è comunque migliore di quello adottato da WhatsApp che carica sui propri server l’intera rubrica dell’utente.

Migrazione da WhatsApp a Signal

Gli esuli da WhatsApp troveranno che la loro migrazione sarà abbastanza semplice: oltre a criptare i messaggi di testo, Signal è in grado di criptare anche le conversazioni vocali e video. Quello che però manca è la segnalazione dello stato degli utenti.

Inoltre, vi sono alcune differenze alle quali sarà necessario abituarsi. Per esempio, la scheda dei contatti elencherà sempre anche gli utenti che non utilizzano Signal. Il messaggio inviato a questi utenti verrà inoltrato sotto forma di SMS (non criptato).

La strategia di backup di Signal è abbastanza inusuale in quanto richiede una password numerica di 30 cifre (!). Per attivare il proprio ID Signal su un dispositivo diverso è inoltre necessario proteggerlo con un codice PIN di 8 cifre. Signal richiederà periodicamente questo PIN per consentire all’utente di memorizzarlo.

Telegram: un vero amico dei bot

Telegram risale ormai al 2013 ed è diventato popolare soprattutto grazie al suo supporto dei “bot” e di altre funzioni automatizzate. I bot e i loro canali associati sono una soluzione ottimale per gestire gli incontri nel mondo reale o le sessioni di gioco.

Probabilmente, gli utenti che mirano alla propria riservatezza non saranno molto soddisfatti di questa caratteristica di Telegram. A dicenbre 2020 i creatori di Telegram hanno annunciato lo sviluppo di una piattaforma pubblicitaria e la previsione di un’introduzione di servizi a pagamento.

Inoltre, l’app è stata soggetta a varie violazioni della sicurezza, la più grave delle quali ha reso pubblici 42 milioni di record degli utenti. Per default, tutte le conversazioni effettuate via Telegram vengono memorizzate (non criptate) su server di proprietà della società. Le conversazioni individuali possono essere impostate come “segrete”, mentre quelle via canale o di gruppo saranno sempre pubbliche.

L’interfaccia utente di Telegram è abbastanza intuitiva. L’operatività sui canali può richiedere un po’ di tempo per abituarsi, ma la maggior parte dei bot forniscono le istruzioni necessarie. Nel complesso, Telegram si dimostra particolarmente utile quando si devono coordinare gruppi che non richiedono alcuna riservatezza. I giocatori di Ingress e di Pokémon Go fanno un ampio uso dei canali per collegarsi a compiti condivisi.

Threema e i suoi pallini verdi

Threema è stato lanciato in Svizzera nel 2012. Si tratta di un’app a pagamento con un costo di 2-3 dollari USA, a seconda dell’offerta in corso. Threema è particolarmente orgogliosa del suo livello di attenzione alla riservatezza: fra le quattro applicazioni di messaggistica qui presentate è l’unica che, per la registrazione, non richiede un numero di telefono o un indirizzo e-mail.

Il nome Threema deriva dai suoi tre livelli di verifica. Un contatto sconosciuto viene associato a un singolo pallino rosso. Due pallini arancioni identificano una persona il cui numero di telefono è presente nella rubrica. Il livello di sicurezza massimo di tre pallini verdi, che consente di venire a conoscenza del numero di telefono di un contatto, gli utenti dovranno leggere con il proprio smartphone il codice QR del contatto.

La scelta di sincronizzare o meno i dati della rubrica con i server Threema è assolutamente facoltativa. Quando attivata, il sistema invierà gli hash dell’indirizzo di posta elettronica e del numero di telefono da abbinare agli ID di altri utenti. La società è ben conscia del fatto che questi hash non sono necessariamente e completamente sicuri, ma questo è indubbiamente un evidente miglioramento rispetto alla politica adottata da WhatsApp.

Threema è in grado di gestire conversazioni individuali, di gruppo, vocali e video. Per un certo periodo di tempo la qualità delle conversazioni vocali è stata significativamente inferiore a quella di WhatsApp, ma negli ultimi tempi è stata progressivamente migliorata. Gli utenti Threema possono creare sondaggi per decidere, per esempio, gli orari di un pranzo o per organizzare delle sessioni di gioco.

Sono previsti tre metodi di backup: uno locale e due alternative basate sul cloud. I backup Threema Safe basati sul cloud sono accessibili da piattaforme diverse: un backup Android può essere correttamente importato nella versione iOS, e viceversa.

Altre soluzioni

Signal, Threema e Telegram non sono le uniche alternative a WhatsApp disponibili, almeno non per molto ancora. La tabella di Wikipedia di confronto delle applicazione di messaggistica istantanea elenca oltre 45 app anche senza tener conto di Microsoft Teams.

Element e Wire sono due alternative che tengono in considerazione la riservatezza e che meritano un’occhiata. Element adotta il protocollo Matrix in grado di gestire conversazioni individuali e di gruppo totalmente criptate. Wire è molto elegante, ma con una base di utenti limitata.

Quindi... Che cosa fare?

Sono molte le ragioni per abbandonare WhatsApp, ma fintanto che molti degli amici non passeranno a qualcosa di diverso, almeno per ancora un po’ di tempo, si rimarrà legati a WhatsApp. Questo, però, non è un motivo per rinunciare a migrare.

La domanda difficile è “A che cosa passare?”. Tutto dipende dai propri contatti. Molte persone stanno pensando di migrare verso Signal in quanto è un’app “gratuita”. Per gli amici meno “tecnologici” sarebbe una buona idea aiutarli a configurare Signal. Lo si potrà fare per loro proprio come lo si è fatto per se stessi.

Anche se Threema ha delle ottime credenziali in materia di riservatezza, la sua diffusione è sostanzialmente limitata all’Europa. L’obiezione più comune è “Ma è a pagamento!”; questa obiezione può essere facilmente superata proponendo agli amici di pagare noi l’importo relativo. Ma la maggior parte di loro, anche se a malincuore, lo pagherà di tasca propria.

Per il periodo durante il quale si sarà ancora legati a WhatsApp, gli utenti Android potranno configurare WhatsApp in un profilo di lavoro separato nel quale conservare un numero minimo di contatti. I più recenti dispositivi Samsung prevedono anche l’opzione “Doppio account” che impedisce a WhatsApp di accedere ai contatti personali (Impostazioni > Funzioni avanzate > Doppio account > Usa elenco contatti separato).