Lo scorso marzo il team di ingegneri della sicurezza di WhatsApp ha lanciato un avvertimento interno a Meta, prendendo spunto da un paper del symposium Network and Distributed System Security (NDSS): c’è una vulnerabilità dell’App che consente a stati nazionali (e relativi servizi segreti) di monitorare le chat private. L’allarme è riferito nello specifico alla situazione di guerra in Israele, dove gli esperti di WhatsApp temono che il governo stia usando questa possibilità per individuare (e uccidere) singoli individui, sospetti terroristi, a Gaza. Il problema, tuttavia, non è ristretto a tale situazione di conflitto, ma riguarda in generale tutti gli stati e i governi. La vulnerabilità era già nota a Meta e non riguarda esclusivamente WhatsApp ma, in generale, tutti i servizi di messaggistica, benché quello di Meta sia in assoluto il più famoso e utilizzato. Nonostante questo, il rafforzamento della sicurezza necessario per risolvere queste vulnerabilità avrebbe un costo rilevante per l’azienda e, inoltre, inciderebbe sulle prestazioni e sulla velocità dell’applicazione. Nello stesso documento interno si giunge alla conclusione che sarà difficile proteggere al meglio gli utenti da questo tipo di vulnerabilità in quanto, per un gigante quotato in borsa come Meta, il costo della cybersecurity entra in conflitto con gli obiettivi di profitto aziendali e con la volontà di rendere il proprio software quanto più accessibile e ampiamente utilizzato possibile.
Chi sorveglia cosa
“WhatsApp non ha backdoor e non abbiamo prove di vulnerabilità nel funzionamento di WhatsApp”.
Questo è quanto ha affermato la portavoce di Meta, Christina LoNigro, minimizzando gli allarmi lanciati dal team di ingegneri e aggiungendo, inoltre, che il documento “non riflette una vulnerabilità dell’App, è solo “teorico” e non esclusivo di WhatsApp”.
Ma in cosa consisterebbe questa vulnerabilità, nel concreto? Chi sorveglierebbe chi e cosa?
I contenuti delle conversazioni tra i 2 miliardi di utenti di Whatsapp sarebbero al sicuro, grazie alla potente crittografia del software. Il “buco” riguarderebbe una potenziale forma di sorveglianza da parte di governi e agenzie governative che, secondo gli ingegnere di Meta, potrebbero (anzi, lo avrebbero già fatto) aggirare la crittografia e capire quali utenti comunicano tra loro, l’appartenenza a gruppi privati e la posizione di queste persone. La vulnerabilità si basa sulla tecnica di “traffic analysis”, una pratica di monitoraggio della rete vecchia di decenni, incentrata sul rilevamento del traffico Internet su vasta scala nazionale. Il documento chiarisce che WhatsApp non è l’unica piattaforma di messaggistica suscettibile, ma rimane evidente che l’App più utilizzata al mondo ed il suo proprietario, Meta, siano gli attori più interessati da tali vulnerabilità.
Ok, veniamo spiati. Ma per farci cosa?
Anche se i contenuti delle comunicazioni WhatsApp rimangono illeggibili, l’allarme mostra come i governi possano utilizzare il loro accesso all’infrastruttura Internet per monitorare quando e dove si verifichino le comunicazioni crittografate, oltre che quali siano gli individui che conversano tra loro. Pur essendo consapevoli di essere “spiati”, a quale scopi sarebbe finalizzata tale attività di intelligence, tutt’altro che poco dispendiosa in termini di tempo e risorse? Pur non essendo a conoscenza di casi specifici in cui sia stata utilizzata questa vulnerabilità, esistono già ampi resoconti del New York Times e di Amnesty International che mostrano come i governi di tutto il mondo spiano l’utilizzo delle app di chat crittografate dei dissidenti, incluso WhatsApp, tramite queste tecniche. Considerando il periodo attuale, i timori degli ingegneri di Meta sono andati subito ai due conflitti in corso, ucraino e palestinese. In questo secondo scenario di guerra, il personale di WhatsApp ha ipotizzato l’utilizzo della vulnerabilità, da parte di Israele, come strumento per individuare gli obiettivi e gli individui da colpire. Poiché la guerra è diventata sempre più informatizzata, i metadati (le informazioni su chi, quando e dove) hanno iniziato ad avere un valore immenso per le agenzie di intelligence, militari e di polizia di tutto il mondo. Non a caso, l’ex capo della National Security Agency, Michael Hayden, è arrivato a dire che “uccidiamo le persone sulla base dei metadati”.
WhatsApp e il software Lavender
Per fare un esempio concreto e molto attuale, un rapporto congiunto di +972 Magazine e Local Call ha rivelato lo scorso aprile che l’esercito israeliano utilizza un software chiamato Lavender che, sulla base di un sistema di “rating” algoritmico, dà il via libera all’uccisione di presunti terroristi. Raccogliendo un enorme insieme di dati sui 2,3 milioni di abitanti della Striscia, Lavender assegna algoritmicamente a quasi ogni singola persona a Gaza un punteggio da 1 a 100, esprimendo quanto sia probabile che si tratti di un militante oppure no. Un individuo che presenta diverse caratteristiche incriminanti raggiunge, pertanto, un punteggio elevato, e diventa automaticamente un potenziale bersaglio militare. Il rapporto, citando un libro sull’utilizzo dell’intelligenza artificiale nel settore della difesa scritto dall’attuale comandante dell’Unità 8200 (l’equivalente israeliano della NSA), evidenzia come l’utilizzo di WhatsApp, comprese le informazioni che ne possono essere tratte dalla sua analisi, fanno parte della moltitudine di caratteristiche, personali e digitali, che l’esercito israeliano utilizza per calcolare tale punteggio. Il libro, sempre citando il rapporto di +972 Magazine, offre una breve guida su come realizzare sistemi di targeting, simili nella descrizione a Lavender, basati su algoritmi di intelligenza artificiale e apprendimento automatico. Proprio tra i numerosi esempi di parametri e caratteristiche da utilizzare per aumentare l’efficacia del sistema di punteggio figura la modalità di utilizzo di WhatsApp. Risulta evidente (e allarmante) quanto un sistema di questo genere possa essere pericoloso: piccoli errori o imprecisioni nelle analisi delle correlazioni dei metadati potrebbero rivelarsi letali per persone innocenti.
Metamates 4 Ceasefire
L’avvertimento interno da parte degli ingegneri di WhatsApp è stato reso noto solamente dopo la pubblicazione dell’articolo su Lavender e i successivi scritti sull’argomento. Questo è quanto è stato riferito da quattro fonti aziendali interne a Meta, che hanno parlato a condizione di anonimato, temendo ritorsioni da parte del loro datore di lavoro. Leggere su come i governi siano in grado di estrarre metadati di identificazione personale dalle conversazioni crittografate di WhatsApp ha suscitato profonda preoccupazione, soprattutto per l’utilizzo nella creazione di Lavender o di altri sistemi di, se così si possono chiamare, “pre-crime”. I dipendenti di Meta hanno tra l’altro organizzato una vera e propria campagna chiamata Metamates 4 Ceasefire: il gruppo ha pubblicato una lettera aperta firmata da più di 80 membri dello staff, di cui una richiesta esplicita è “la fine della censura: smettere di cancellare internamente le parole dei dipendenti”.
Il costo della cybersecurity
L’allarme interno e gli sviluppi successivi rivelano due importanti aspetti:
- WhatsApp è a conoscenza di queste vulnerabilità dallo scorso anno.
- Le stesse tecniche di sorveglianza possono essere applicate utilizzando tutte le altre app concorrenti di WhatsApp.
“I produttori di quasi tutte le principali applicazioni di messaggistica e dei software di comunicazione non includono, nei loro modelli di valutazione dei rischi informatici, la tipologia di attacco basata sull’analisi del traffico”.
Questo è quanto ha detto recentemente Donncha Ó Cearbhaill, capo del Security Lab di Amnesty International, aggiungendo che “anche se i ricercatori sapevano che questi attacchi erano tecnicamente possibili, rimaneva una questione aperta se tali attacchi sarebbero stati messi realmente in pratica o se fosse possibile applicarli su larga scala, ad esempio sulla popolazione di interi paesi”. L’allarme lanciato internamente chiarisce che gli ingegneri di WhatsApp comprendono la gravità del problema, ma capiscono anche quanto potrebbe essere difficile convincere la propria azienda a risolverlo. Il fatto che queste tecniche di de-anonimizzazione siano state accuratamente documentate e dibattute nella letteratura accademica dipende da quanto sia incredibilmente difficile neutralizzarle per un’azienda come Meta. Si tratta di un compromesso diretto tra prestazioni e reattività da un lato e privacy dall’altro, difficile da raggiungere per qualsiasi azienda, non solamente per Meta. Rafforzare la sicurezza ha dunque un costo elevato per il produttore di un App, soprattutto se si tratta di un software di massa. Ecco il motivo per il quale, per un gigante quotato in borsa come Meta, la protezione degli utenti a rischio si scontrerà sempre di più con il mandato aziendale di rendere il proprio software il più accessibile e ampiamente utilizzato possibile.
