{"id":5277,"date":"2014-11-20T10:26:49","date_gmt":"2014-11-20T10:26:49","guid":{"rendered":"http:\/\/kasperskydaily.com\/italy\/?p=5277"},"modified":"2020-02-26T17:27:23","modified_gmt":"2020-02-26T15:27:23","slug":"11_app_poco_sicure","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/11_app_poco_sicure\/5277\/","title":{"rendered":"Le 11 app di messaggistica meno sicure"},"content":{"rendered":"

La scorsa settimana abbiamo parlato delle app di messaggistica pi\u00f9 sicure secondo la Electronic Frontier Foundation<\/a>, descrivendo le principali caratteristiche di nove di queste app<\/a>. In questo post ci occuperemo della parte bassa della classifica, ovvero delle app che hanno ricevuto i punteggi pi\u00f9 bassi.<\/p>\n

Se le app che mettono la sicurezza e la privacy al primo posto sono sconosciute ai pi\u00f9, vale la pena sottolineare che, al contrario, alcune app meno sicure sono molto popolari. A ragion di ci\u00f2, ci concentreremo soprattutto su quelle applicazioni di maggiore diffusione e poi su altre che, pur essendo meno popolari, hanno comunque ricevuto dei punteggi scarsi.<\/p>\n

Le 11 app di messaggistica con il minor grado di #sicurezza e #privacy.<\/p>Tweet<\/a><\/blockquote>\n

Premessa<\/strong>\u00a0<\/strong><\/p>\n

La EFF ha dato un voto ad ogni servizio in base a sette criteri. Abbiamo applicato un punteggio che varia da 0 a 2\u00a0 per le seguenti categorie:<\/p>\n

    \n
  1. I dati vengono criptati in transit?<\/li>\n
  2. I dati vengono criptati in modo tale che neanche il fornitore del servizio possa leggerli?<\/li>\n
  3. \u00c8 possibile risalire alla vera identit\u00e0 dei contatti?<\/li>\n
  4. Il fornitore del servizio mette in pratica quello che \u00e8 conosciuto comeperfect forward secrecy<\/em>, in italiano \u201csegretezza in avanti\u201d (il che significa che le crypto-chiavi sono temporanee e una chiave rubata non decifrer\u00e0 le comunicazioni esistenti)?<\/li>\n
  5. Il codice del service provider \u00e8 open-source ed \u00e8 disponibile ad un\u2019analisi pubblica?<\/li>\n
  6. Le procedure di implementazione crittografiche e i relativi processi sono documentati?<\/li>\n
  7. Il servizio \u00e8 stato sottoposto a un audit indipendente negli ultimi 12 mesi?<\/li>\n<\/ol>\n

    Queste sette categorie servono per sapere quali sono i migliori sistemi di protezione in caso di spionaggio da parte di governi, operazioni di spionaggio criminali o raccolta di dati da parte di aziende esterne. Ci teniamo a precisare che n\u00e9 la EFF n\u00e9 questo blog hanno intenzione di fare pubblicit\u00e0 ad alcuni programma. Nel seguente elenco vengono indicate le applicazioni che non seguono appieno le raccomandazioni sulla sicurezza.<\/p>\n

    Le pecore nere: 0 punti<\/strong><\/p>\n

    Solo i servizi di messaggistica per dispositivi mobili Mxit e QQ hanno ricevuto zero punti, ma probabilmente non li avete mai usati. Vi sconsigliamo di usare queste app soprattutto perch\u00e9 non criptano i dati in transito; lo scambio di messaggi pu\u00f2 essere visualizzato in plain text sia dal mittente, sia dal destinatario.<\/p>\n

    Male, ma un pochino meglio: 1 punto<\/strong><\/p>\n

    Purtroppo a questa categoria appartengono 4 servizi di messaggistica che praticamente chiunque di noi ha utilizzato almeno una volta.<\/p>\n

    \"\"<\/p>\n

    \u00a0<\/p>\n

    Il servizio di Yahoo Messenger, una tartaruga nell\u2019occuparsi del tema della crittografia, solo cifra le comunicazioni in transito degli utenti. Ci\u00f2 vuol dire che Yahoo! (come azienda) pu\u00f2 leggere i vostri messaggi o passarli ai servizi di polizia se richiesto. Bisogna dire, per\u00f2, che la compagnia ogni due anni pubblica un report di trasparenza<\/a> dove indica la quantit\u00e0 di informazioni concesse agli enti governativi.<\/p>\n

    Su Yahoo Messenger gli utenti non possono verificare l\u2019identit\u00e0 dei contatti n\u00e9 applicare il \u00a0sistema di perfect forward secrecy; inoltre, il codice non pu\u00f2 essere sottoposto a revisione indipendente e le procedure di sicurezza non sono documentate adeguatamente. Infine, l\u2019azienda non ha eseguito di recente un audit del codice. Yahoo, negli ultimi due anni, ha diversificato la propria offerta Web in termini di crittografia<\/a>, per cui \u00e8 probabile che in un futuro possa apportare le dovute modifiche anche al servizio di messaggistica.<\/p>\n

    \"\"<\/p>\n

    Skype, l\u2019onnipresente servizio di chiamate e messaggi di propriet\u00e0 della Microsoft ha ottenuto lo stesso, basso punteggio di Yahoo! Messenger, un misero punto per la crittografia dei dati in transito, lasciando a secco tutte le altre categorie. Skype ha il record negativo in quanto a integrit\u00e0 nelle comunicazioni e per le numerose accuse di sorveglianza, oltre al fatto che si ritiene sia abbastanza facile farsi gli affari degli utenti che lo usano<\/a>. Microsoft ha sempre negato ogni accusa.<\/p>\n

    \"\"<\/p>\n

    \u00a0<\/p>\n

    Anche BlackBerry Messenger ha ottenuto lo stesso punteggio di Yahoo! Messenger e Skype. Un servizio, che all\u2019inizio si chiamava Research In Motion (RIM), cripta le comunicazioni in transito (il che \u00e8 positivo), ma comunque l\u2019azienda pu\u00f2 accedere ai dati, e poi non consente agli utente di verificare i contatti, non protegge le comunicazioni passate nel caso vengano rubate le password, non rende disponibile il codice a revisioni indipendenti, non documenta adeguatamente le misure di sicurezza n\u00e9 l\u2019anno passato ha concesso un audit del codice.<\/p>\n

    \"\"<\/p>\n

    AIM, conociuto ai pi\u00f9 come l\u2019Instant Messenger di American Online, circola da un po\u2019 di tempo. Potremmo dire che dalla fine degli anni \u201990 fino a met\u00e0 degli anni 2000 \u00e8 stato il top. Nonostante la sua popolarit\u00e0 abbia subito un calo soprattutto tra i giovani, \u00e8 un servizio ancora piuttosto usato. Purtroppo, come gli altri servizi di cui abbiamo parlato, cripta i dati in transito ma non fa molto di pi\u00f9.<\/p>\n

    La piattaforma Secret Message si definisce sicura e lo stesso fa il client Hushmail quando in realt\u00e0 vengono solo criptati i dati in transito. Le piattaforme Kik ed eBuddy XMS non si vantano delle loro funzionalit\u00e0 di sicurezza e anche loro hanno ricevuto lo stesso punteggio.<\/p>\n

    Ancora un pochino meglio ma ce n\u2019\u00e8 di strada da fare: due punti<\/strong><\/p>\n

    \"\"<\/p>\n

    SnapChat, la famosa applicazione di immagini e video \u201cusa e getta\u201d ha ottenuto due punti, uno per criptare i dati in transito dal mittente al destinatario passando per i server della app. L\u2019altro per l\u2019audit dello scorso anno. Come molti servizi presenti in questo elenco, SnapChat \u00e8 stata oggetto di molte critiche, non tanto per la mancanza di sicurezza, quanto per non aver tenuto fede ai principi originari per i quali era stata sviluppata l\u2019applicazione<\/a>.<\/p>\n

    L\u2019idea di base di SnapChat \u00e8 che i messaggi, le foto e i video siano visualizzabili per un certo periodo di tempo definito dal mittente per poi scomparire per sempre. Il destinatario pu\u00f2 comunque salvare i messaggi eseguendo screenshot anche se il mittente riceverebbe una notifica. C\u2019\u00e8 anche un\u2019app, chiamata SnapHack, che consente ai destinatari di salvare gli snap (in gergo i messaggi su SnapChat). E infine, alcuni ricercatori hanno segnalato pi\u00f9 volte che le immagini non vengono cancellate del tutto<\/a>, sono solo pi\u00f9 difficili da trovare.<\/p>\n

    \"\"<\/p>\n

    Nella top 3 delle applicazioni pi\u00f9 popolari presenti in questa classifica \u201cnegativa\u201d troviamo gli Hangout di Google<\/a>, con due punti. Hangout \u00e8 una cross-platform, si tratta della chat interna non solo di Gmail ma anche di Google Plus e per i dispositivi Android. Google cripta i dati in transito degli Hangout e ha eseguito un audit lo scorso anno. Tuttavia, Google pu\u00f2 leggere i messaggi, gli utenti non possono risalire all\u2019identit\u00e0 dei contatti, non viene impiegata il sistema di perfect forward secrecy, il codice non \u00e8 accessibile per una review indipendente e la \u00a0sicurezza non \u00e8 adeguatamente documentata.<\/p>\n

    \"\"<\/p>\n

    Anche la chat di Facebook, la versione mobile del servizio di messaggistica, ha ricevuto due punti. Come gli altri servizi popolari di cui abbiamo parlato, la chat di Facebook cripta i dati in transito ed \u00e8 stato eseguito un audit; bocciata, per\u00f2, nelle altre categorie.<\/p>\n

    Viber \u00e8 di sicuro la meno popolare presente in questa sezione. Conosciuta come un servizio di messaggistica privato, ha ottenuto solo due punti per la crittografia dei dati in transito e per l\u2019audit.<\/p>\n

    \"\"<\/p>\n

    E ora arriviamo all\u2019applicazione di messaggistica per antonomasia, WhatsApp. Ricordiamo che il gigante dei social media, Facebook, all\u2019inizio di quest\u2019anno l\u2019ha acquistata per la modica cifra di 19 miliardi di dollari<\/a>. \u00c8 una sorta di alternativa agli \u201cantichi\u201d SMS solo che funziona con Internet invece che con la rete cellulare. EFF ha dato due punti come ad altri servizi, ma le cose potrebbero cambiare.<\/p>\n

    Proprio questa settimana, WhatsApp ha avviato una collaborazione con Open Whisper Systems<\/a> per aggiungere di default su Android alcune opzioni per la crittografia. Giusto per darvi un\u2019idea dell\u2019importanza di questa partnership: Signal, RedPhone, SilentText e SilentPhone, tutte appartenenti a Whisper System, hanno ottenuto i punteggi massimi da parte di EFF. In definitiva, nei prossimi giorni o mesi WhatsApp potrebbe essere ancora pi\u00f9 sicura.<\/p>\n

    Al momento, comunque, la crittografia \u00e8 stata implementata esclusivamente su Android e per le comunicazioni tra singoli utenti. Chi possiede un iPhone o chi usa le conversazioni di gruppo dovr\u00e0 attendere ancora un po\u2019. WhisperSystem ha dichiarato di star lavorando anche su questi due fronti.<\/p>\n

    Ultima considerazione su WhatsApp: essendo l\u2019app pi\u00f9 popolare e di valore del momento, sapere che l\u2019azienda sta prendendo sul serio questioni come la sicurezza e la privacy \u00e8 davvero una buona notizia. Speriamo che altre aziende del settore seguano il suo esempio.<\/p>\n","protected":false},"excerpt":{"rendered":"

    La scorsa settimana abbiamo parlato delle app di messaggistica pi\u00f9 sicure secondo la Electronic Frontier Foundation, descrivendo le principali caratteristiche di nove di queste app. In questo post ci occuperemo<\/p>\n","protected":false},"author":42,"featured_media":5278,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[16],"tags":[1609,1276,111,1275,45,213,1104],"class_list":{"0":"post-5277","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-tips","8":"tag-cybersavvy","9":"tag-messaggi-sicuri","10":"tag-privacy","11":"tag-privacy-mobile","12":"tag-sicurezza","13":"tag-sicurezza-mobile","14":"tag-spionaggio"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/11_app_poco_sicure\/5277\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/cybersavvy\/","name":"cybersavvy"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/5277","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=5277"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/5277\/revisions"}],"predecessor-version":[{"id":20591,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/5277\/revisions\/20591"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/5278"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=5277"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=5277"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=5277"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}