WhatsApp punta al mercato americano, che nel 2022 è ancora il regno degli sms
I tre motivi per cui Telegram è molto meno sicuro di quello che pensi
Ci si trovano tantissime immagini di nudo non consensuale, e la usano i No Vax per far circolare le liste di bar e ristoranti che non chiedono il Green Pass. Ma l’hanno usata anche i manifestanti di Hong Kong per organizzarsi nel 2019, e ospita alcuni fra i giornalisti indipendenti più coraggiosi, che osano raccontare cosa succede davvero sul campo in zone di guerra e Paesi autoritari. È Telegram, il servizio di messaggistica e broadcasting creato dall’imprenditore russo Pavel Durov nel 2013, diventato popolare per l’approccio molto permissivo alla moderazione dei contenuti e l’idea che sia più sicuro del principale competitor mainstream, che è WhatsApp.
Attratte dalla promessa di una piattaforma altamente crittografata, che tenga gli utenti al sicuro dalle richieste di cooperazione dei governi e che permetta anche a chi ha posizioni politiche estreme di coordinarsi senza essere cacciato, nel 2021 milioni di persone si sono unite al servizio, e Telegram ha superato il traguardo del mezzo miliardo di utenti mensili attivi.
A incentivare questa diaspora digitale è stata un po’ l’ondata di panico attorno all’idea erronea che WhatsApp avrebbe iniziato a condividere molti più dati con Facebook (che, per usare un eufemismo, non gode di moltissima fiducia da parte del pubblico), dopo un aggiornamento delle politiche di privacy, e un po’ il fatto che le piattaforme social più mainstream sono diventate molto meno permissive con i gruppi e le pagine di estrema destra negli Stati Uniti dopo l’attacco al Campidoglio del 6 gennaio 2021: “Abbiamo avuto picchi di download in passato, durante i nostri 7 anni di storia di protezione della privacy degli utenti – ha scritto Durov proprio da Telegram, dando il benvenuto ai nuovi arrivati – Ma questa volta è diverso. Le persone non vogliono più scambiare la propria privacy con servizi gratuiti”.
Considerate le parole di Durov e il fatto che, fin dal debutto, Telegram venga venduta come un’alternativa pesantemente crittografata agli altri servizi di messaggistica, tantissimi sono convinti che le loro comunicazioni e i propri dati siano totalmente al sicuro quando avvengono su Telegram. Solo che non è così.
Il primo problema: la crittografia
Telegram utilizza un protocollo di crittografia proprio, chiamato MTProto, che è stato sviluppato dall’azienda stessa e viene usato soltanto da lei. Questa scelta fuori dal comune è spesso criticata dagli esperti di sicurezza informatica, perché scoprire vulnerabilità in un nuovo protocollo richiede molti anni di lavoro e ampio scrutinio, dunque è più probabile che un protocollo utilizzato da tante compagnie sia più sicuro di uno fatto in casa.
Al contrario di WhatsApp o Signal (che tra le app di messaggistica più note è nettamente la più sicura per chi vuole proteggere dati e comunicazioni), su Telegram le chat non godono automaticamente della crittografia end-to-end. Questo vuol dire che, nella maggior parte dei casi, i messaggi inviati tramite Telegram sono decifrati e salvati sui server dell’azienda, e dunque potenzialmente leggibili non soltanto dall’azienda stessa, ma anche da eventuali hacker che si introducano nei server, nonché da eventuali governi che richiedano accesso ai server per una specifica ragione. L’azienda si è spesso sottratta alle richieste delle autorità (su questo, è in lite con la Germania da mesi), ma ha talvolta deciso di cooperare per reprimere i contenuti relativi all’estremismo islamico o alla pedopornografia.
Telegram dà la possibilità di mandare i messaggi con crittografia end-to-end, ma soltanto se si seleziona specificatamente l’opzione Chat Segreta con un altro utente. L’opzione dev’essere selezionata individualmente per ognuno dei contratti, al contrario di come accade su Signal e WhatsApp. La crittografia end-to-end, inoltre, non è disponibile per le chat di gruppo, che vengono usate massicciamente per organizzare manifestazioni o scambiare informazioni sensibili.
Il secondo problema: i metadati
La società conserva anche altri metadati (come l’indirizzo Ip, le informazioni dei dispositivi con cui si accede all’applicazione, il nome utente e le foto profilo) per un massimo di 12 mesi, e si riserva di leggere i messaggi salvati nel cloud alla ricerca di spam o altre forme di abuso. Questo significa che è molto difficile utilizzare l’applicazione in modo anonimo: per iscriversi, d’altronde, è obbligatorio fornire il numero di cellulare, ed è raro che qualcuno abbia un numero che non è facilmente riconducibile a loro.
Il terzo problema: la localizzazione
Recentemente, poi, l’analista Jordan Wildon ha fatto notare che c’è un’altra caratteristica dell’applicazione che mette potenzialmente in pericolo gli utenti. Telegram mette a disposizione la funzione Persone nelle Vicinanze, che viene pubblicizzata come modo per trovare nuovi amici e gruppi nella propria zona in base alla posizione del Gps. Che però è precisa in modo preoccupante: “Basta una sola persona che abbia questa funziona accesa e che invii un messaggio in una chat di gruppo in cui, per esempio, si sta organizzando una protesta, per rivelare i movimenti di tutte le persone con cui sta – ha sottolineato Wildon – Non sarebbe la prima volta che una posizione in diretta viene condivisa in questi gruppi durante una manifestazione”.
“Un esempio: oggi ho fatto una ricerca nel raggio di un chilometro attorno a un luogo dove stava avvenendo una nota manifestazione di scettici del coronavirus”, ha chiarito. Individuando un account con l’opzione Persone nelle Vicinanze accesa all’interno di uno dei gruppi che organizzano la protesta, è riuscito a trovare tutti gli altri gruppi di cui fa parte.
Insomma: “Per me è sorprendente che dopo tutto questo tempo, quasi tutta la copertura mediatica di Telegram lo chiami ancora un servizio crittografato – aveva commentato a dicembre Moxie Marlinspike, fondatore di Signal, considerata invece un’alternativa molto più sicura sia a Telegram sia a WhatsApp – Telegram ha molte caratteristiche interessanti, ma in termini di privacy e raccolta dei dati, non c’è scelta peggiore”.
