Seleziona una pagina
martedì, Mag 16

arrivano i messaggi crittografati, ma non sono un granché | Wired Italia



Da Wired.it :

A tutto questo poi si aggiunge la manifesta incapacità di Twitter di fermare gli attacchi man-in-the-middle, che in linea teorica permetterebbero all’azienda di spacciarsi per un utente allo scopo di intercettare le sue comunicazioni. Nei sistemi di crittografia end-to-end, i messaggi vengono crittografati con la chiave pubblica del destinatario, in modo che solo quella privata del ricevente – memorizzata in modo sicuro sul suo dispositivo – possa decifrarli. Twitter potrebbe invece ingannare un utente, o addirittura essere costretto a farlo da un governo.

IMessage di Apple, considerato un sistema di crittografia end-to-end relativamente solido, soffre da tempo di questa stessa vulnerabilità, mentre WhatsApp e Signal cercano di prevenire gli attacchi man-in-the-middle adottando un sistema che prende il nome di key fingerprint, di cui però Twitter oggi è ancora sprovvisto (anche se la società dice che lo aggiungerà presto). La mancanza di questo meccanismo potrebbe essere uno dei motivi che ha spinto la società a non definire la nuova funzione crittografia end-to-end.

“Sembra l’implementazione affrettata di un prodotto ancora non del tutto pronto”, afferma Riana Pfefferkorn, ricercatrice sulla sicurezza presso l’Internet Observatory dell’Università di Stanford. Pfefferkorn fa notare che nel 2020 Zoom è stato sanzionato dalla Federal Trade Commission americana per aver dichiarato di offrire ai suoi utenti una funzione di crittografia end-to-end quando in realtà non era così. La riluttanza di Twitter a usare il termine potrebbe tradire la poca sicurezza dell’azienda sul fatto che i nuovi messaggi diretti possano soddisfare lo standard.

Nonostante Twitter sia notevolmente trasparente sulle carenze della funzione, Pfefferkorn teme che i suoi difetti non siano altrettanto chiari nell’interfaccia web e dell’app: “Penso che sia stata una buona scelta quella di cercare, fin dal primo paragrafo, di limitare le aspettative. Resta da vedere se gli utenti di Twitter crederanno che i Dm crittografati offrano più privacy e sicurezza di quanto non facciano in realtà”.

Forse l’inconveniente più grave è semplicemente il fatto che pochissime persone avranno la possibilità di inviare o ricevere i nuovi Dm. La funzione, almeno per ora, è utilizzabile solo da due account verificati, quindi istituzioni o utenti che pagano otto dollari al mese per abbonarsi a Twitter Blue.

D’altra parte, lo svantaggio principale di Signal e WhatsApp è che per usare entrambi i servizi è necessario conoscere il numero di cellulare della persona a cui si vuole scrivere, mentre i messaggi diretti di Twitter permettono agli sconosciuti di interagire più liberamente. Ma finché saranno disponibili solo per gli account verificati, i Dm crittografati saranno appannaggio esclusivo di una piccola frazione degli utenti del social network.

Per gli iscritti attenti alla sicurezza, rimane un solo modo per inviare a qualcuno un messaggio crittografato: contattare la persona in questione tramite Dm, farsi dare il suo numero e usare Signal per iniziare una vera e propria conversazione crittografata end-to-end.

Questo contenuto è apparso originariamente su Wired USA ed è stato integrato da Lily Hay Newman



[Fonte Wired.it]