Fuga da Whatsapp – Podcast – Episodio 8

Nelle scorse settimane Whatsapp ha annunciato una modifica ai proprio Termini e Condizioni d’uso della diffusissima applicazione di messaggistica.

Il nuovo documento avvisa gli utenti della intenzione di Whatsapp di condividere con Facebook, proprietario della piattaforma Whatsapp, alcuni dati degli utenti tra cui:

  • Numero di telefono dell’utente
  • La propria lista dei contatti
  • Il nome del profilo
  • Le immagini del profilo
  • Il messaggio di stato e la disponibilità online dell’utente
  • Dati diagnostici collezionati dalla applicazione

Da quel momento è iniziata una migrazione di diversi utenti verso altre piattaforme come Telegram e Signal.

In questo episodio parleremo dei temi di privacy e sicurezza legati a questo genere di applicazioni e della importanza di conoscere i dettagli per un uso consapevole ed informato.

Benvenuti ad un nuovo episodio del podcast di Parole Sparse.

In questo episodio parleremo di quanto sta accadendo a valle dell'annuncio da parte di Whatsapp di condividere i dati degli utenti con Facebook.

Credo che sia un tema interessante da affrontare.

Accade quindi che Whatsapp annuncia a tutta la sua customer base la sua intenzione di modificare i termini e le condizioni di utilizzo della applicazione. In particolare il più grosso cambiamento riguarda la condivisione di un certo insieme di informazioni con l'azienda che è proprietaria di Whatsapp, ovvero Facebook.

In particolare viene detto che potranno venire condivise le seguenti informazioni:
- Numero di telefono dell'utente
- La propria lista dei contatti
- Il nome del profilo
- Le immagini del profilo
- Il messaggio di stato e la disponibilità online dell'utente
- Dati diagnostici collezionati dalla applicazione

Insomma un discreto set di informazioni personali.

La stampa comincia a parlarne e molti utenti cominciano a cercare una alternativa.

Ora, prima di proseguire, facciamo un tuffo nel passato e parliamo della nascita di questo genere di applicazioni.

Un tempo esistevano solo gli SMS e gli operatori gli SMS se li facevano pagare, profumatamente data la natura tecnica dell'SMS. In realtà il costo dell'SMS per l'operatore era pressoché nullo. Mi spiego meglio ma senza entrare troppo nel dettaglio tecnico. Diciamo che per potere funzionare la rete cellulare ha bisogno di un metodo per comunicare con il telefono in modo che possa verificare, ad esempio, la necessità di fare roaming, la disponibilità del telefono, lo stato della rete e tante altre cose di questo genere. In termini tecnici questo canale di chiama canale di segnalazione ed è proprio su questo canale di segnalazione che venivano inviati e ricevuti gli SMS. Questo per dire che gli operatori avevano assolutamente bisogno del canale di segnalazione per fare funzionare i proprio servizi ma si sono ritrovati tra le mani una opportunità di ricavarci dei ricavi, gli SMS, appunto.

Credo che tutti i più anziani abbiano usato gli SMS in passato. Qualcuno di noi ricorderà ad esempio le card natalizie od estive in cui si potevano acquistare a prezzi vantaggiosi pacchetti di SMS. La quantità di SMS faceva parte anche delle offerte dei piani tariffari.

La tecnologia evolve ed oltre alla voce cominciamo a potere fare viaggiare dati sui nostri telefoni.

A questo punto si apre una finestra di opportunità. E' possibile fare a meno degli SMS, e quindi evitare i costi, usando delle applicazioni che veicolano i messaggi su una connessione dati. Comincia l'era Whatsapp.

Dal puro punto di vista del design del servizio c'è poco da metterci dentro. In fondo tutte le applicazioni di messaggistica sono assolutamente simili. Certo, ci sono delle differenze dal punto di vista della interfaccia utente e della usabilità ma, ormai, ritengo che siano del tutto allineati. Non c'è quindi una particolare differenza che possa fare propendere verso un servizio piuttosto che un altro.

A questo punto la differenza la fa l'adozione. L'applicazione che si diffonde con maggiore rapidità avrà la naturale tendenza a prendere il sopravvento sulle altre in termini di popolarità.

Anche dal punto di vista della comunicazione è difficile differenziarsi. A questo punto a parità di funzioni ci si deve spostare su altri elementi. Cosa abbiamo a disposizione?

Direi sostanzialmente due cose: privacy e sicurezza.

Credo che il caso Whatsapp dimostri che di nessuna delle due importasse molto a nessuno. La maggior parte degli utenti non ha mai posto particolare attenzione a privacy e sicurezza. Ne abbiamo parlato qui sopra diffusamente in passato.

Quando il tema viene però affrontato dalla stampa alcuni campanelli di allarme suonano e la gente comincia a cercare delle alternative. Nell'ultima settimana ho ricevuto almeno un centinaio di notifiche di Telegram che mi avvisa che qualcuno dei miei contatti si è unito a Telegram. A proposito, Telegram, è proprio necessario?

Io non credo che la maggior parte delle persone si sia informata su quale potesse essere una valida alternativa a Whatsapp. Molto probabilmente si è affidata ai consigli di qualche testata online.

La realtà delle cose è che non ci sono moltissime informazioni aggregate sulla natura dei vari prodotti di messaggistica istantanea. Dopo un pò di ricerca io ho trovato il sito www.securemessagingapps.com che è un pochino bulgare dal punto di vista del design ma che cerca di aggregare una vista di insieme di tutti gli elementi importanti. Diciamo  che è richiesta una certa dose di preparazione tecnica se si desidera approfondire alcuni degli aspetti citati ma è comunque una risorsa interessante per farsi una idea.

La prima caratteristica che tutti vorremmo è certamente la garanzia che nessuno possa leggere i contenuti dei nostri messaggi se non coloro a cui i messaggi sono destinati. Da questo punto di vista credo che Telegram e Signal siano i due sistemi più diffusi che possano garantirci questo aspetto. Il problema di Telegram è che questa feature non è abilitata di default nelle conversazioni ma deve essere attivata volontariamente all'interno di una chat da parte di entrambi gli attori.

Da questo punto di vista Signal vince.

Credo che un altro aspetto fondamentale di Signal risiede nel fatto che il codice sorgente della applicazione è pubblico ed è quindi possibile verificare che quello che viene scritto in termini di feature di privacy e sicurezza corrisponda a realtà.

Whatsapp e Telegram non pubblicano il loro codice sorgente e quindi non possiamo fare altro che fidarci di quello che ci viene detto.

A questo punto ci sono altri elementi interessanti che dovrebbero essere presi in considerazione al di là del fatto che sia reso impossibile leggere il contenuto dei messaggi che ci scambiano. C'è tutta una serie di informazioni personali che condividiamo senza probabilmente esserne completamente consapevoli.

Vi faccio un paio di esempi che ho verificato personalmente.

Cominciamo da Whatsapp. Se si entra in una chat di Whatsapp è possibile sapere se un determinato contatto è online oppure no. All'utente viene offerta la possibilità di non esporre questa informazione ma sono veramente pochi gli utenti che lo fanno.
Questa è una informazione che permette molto semplicemente di derivarne altre, estremamente rilevanti.

Whatsapp mette a disposizione una interfaccia Web per potere leggere e scrivere i messaggi. Ora immaginiamo questo scenario. Io desidero sapere se due persone nella mia lista dei contatti stanno conversando tra di loro. Come posso fare? In realtà è abbastanza semplice ed un paio di anni fa avevo scritto una estensione di Chrome che faceva esattamente questo. Usando l'interfaccia web posso analizzare il contenuto della pagina della chat e verificare se le due persone sono online o meno. Confrontando i tempi in cui sono online posso dedurre se c'è una probabilità che le due persone stiano chattando tra loro. Una cosa veramente banale.

Parlando di Telegram c'è una funzione che di default è disabilitata ma che, se abilitata, permette di esporre la propria posizione. In realtà agli altri utenti non viene condivisa la posizione precisa ma solo la distanza dalla persona che espone la propria posizione. Sappiamo quindi che una persona si trova nel raggio di tot chilometri da noi. Niente di particolarmente pericoloso a prima vista.

In realtà semplicemente esponendo un dato come la distanza da qualcuno si sta esponendo la sua posizione precisa. Una semplice triangolazione è tutto quello che ci serve.

Tutto quello di cui abbiamo bisogno è misurare la distanza da tre punti differenti nello spazio.

Sì, ma come possiamo fare una triangolazione?

Diciamo che ci sono tre differenti opzioni, ognuna di queste con diversi livelli di difficoltà.

La prima, e più complessa, oltre che con qualche margine di illegalità è la seguente. Possiamo utilizzare una Software Defined Radio come ad esempio l'HackRF One e del software di pubblico dominio per trasmettere un falso segnale GPS al nostro telefono. Usando questo strumento possiamo simulare tre differenti posizioni nello spazio ed ottenere le tre misure di cui abbiamo bisogno. Io ho provato con il mio HacRF One e funziona perfettamente. Non tutti hanno però a disposizione hardware di questo genere.

Ci sono metodi più semplici.

Un altro metodo è quello di usare una applicazione che trasmetta a Telegram una serie di false posizioni GPS. Se abbiamo un telefono Android questo è molto semplice dato che ci sono decine di applicazioni che fanno esattamente questo. Su device Apple è leggermente più complesso ma ci sono delle applicazione per PC che permettono di fare quello che ci serve.

Anche questo non è proprio alla portata di tutti.

Il metodo più semplice è quello di saltare in macchina e farsi un giretto di una ventina di chilometri segnando su un taccuino la posizione in cui abbiamo fatto la misurazione e la distanza della persona riportata da Telegram.

A questo punto basta segnare sulla mappa le tre posizioni da cui abbiamo fatto la misurazione, tracciare un cerchio del diametro della distanza segnalata da ogni singola posizione ed il punto in cui i tre cerchi si intersecano è la posizione della persona.

Tutto questo per dire che è necessaria una certa educazione rispetto alle applicazioni che usiamo ed ai dati che esponiamo. Questo è particolarmente vero per quell'insieme dei dati di cui non abbiamo una contezza immediata ma che sono, in un certo qual modo, più nascosti rispetto a quelli che possiamo semplicemente immaginare.

Purtroppo non è un esercizio semplice e va comunque sottolineato che qualsiasi applicazione utilizziamo implica il fatto che siamo disposti a cedere un certo insieme di informazioni, magari non come merce di scambio, ma semplicemente perché permettano alla applicazione di funzionare. Detto questo trovo che sia necessario che qualsiasi applicazione esponga in maniera diretta l'informazione riguardo quali dati vengano da essa trattati.

Per quelle che io chiamo Shadow Information come ad esempio la presenza online o la distanza il discorso si fa decisamente più peloso ed informare l'utente sui potenziali rischi non è affatto banale.

Ad ogni modo trovo che sia una cosa estremamente importante di questi tempi.

Siamo arrivati alla conclusione di questo episodio.

Vi ringrazio per essere stati con me anche in questa occasione e mi auguro di rivedervi al prossimo episodio.

Come al solito sul sito troverete i link che ho citato in questo episodio così come la trascrizione integra

Links citati nell'episodio:

https://www.securemessagingapps.com/

powered by

Cover Image Credits: Photo by Lukas Blazek on Unsplash

0 0 votes
Article Rating
Subscribe
Notify of
guest

0 Commenti
Inline Feedbacks
View all comments