In questa illustrazione fotografica un logo WhatsApp visto visualizzato su...

ricerca Google, perché il motore di ricerca sta indicizzando i link a conversazioni destinate ad essere private.

SOPA Images/LightRocket via Getty Images

Le persone usano WhatsApp per chattare con i loro amici e familiari perché è facile da usare e privato. Ma l’app criptata potrebbe non essere così privata come si pensa.

Le chat di gruppo di WhatsApp possono essere facilmente trovate tramite una ricerca su Google, perché il motore di ricerca indicizza i link alle conversazioni destinate ad essere private.

Basta una rapida ricerca su Google e chiunque può unirsi a una serie di chat di WhatsApp, comprese quelle destinate ad essere private, secondo lo stimato sito di tecnologia Vice che per primo ha rotto la storia.

Le conversazioni private di WhatsApp sono di solito accessibili solo tramite un codice di invito distribuito ai membri del gruppo dal moderatore della chat. Ma questo codice è semplicemente una stringa di testo e un URL, e sembra che almeno alcuni di questi siano stati indicizzati in modo da poter essere trovati da chiunque tramite Google.

Puoi vedere se alcune delle tue chat private sono visibili digitando chat.whatsapp.com e poi aggiungendo qualche dettaglio relativo alla chat di gruppo.

Cosa è successo?

Su Twitter ieri (21 febbraio), un giornalista multimediale per l’outlet tedesco Deutsche Welle, Jordan Wildon ha lanciato un avvertimento: “I tuoi gruppi WhatsApp potrebbero non essere così sicuri come pensi”

Ha dettagliato come la funzione “Invita al gruppo tramite link” “permette ai gruppi di essere indicizzati da Google” e “sono generalmente disponibili su Internet”.

In altre parole, Wildon ha spiegato: “Qualsiasi link di gruppo che viene condiviso al di fuori della messaggistica privata e sicura può essere trovato relativamente facilmente e unirsi.”

E diventa peggio: anche se non hai condiviso il link, ha detto “è possibile, ma difficile, eseguire una sorta di metodo di forza bruta per ottenere l’accesso a un URL che corrisponde a una chat di gruppo attiva.”

Rinomato hacker etico Jane Manchun Wong ha confermato questo in un tweet successivo, aggiungendo che 470.000 risultati di ricerca possono essere trovati su Google per il termine “chat.whatsapp.com” – una sezione dell’URL utilizzato per gli inviti di gruppo WhatsApp.

Molti dei link portano a soggetti sensibili come il porno, ha trovato Vice. Una ricerca sommaria di questo scrittore ha trovato alcuni link simili facilmente disponibili.

Anche se è vero che alcuni dei link sono destinati ad essere aperti al pubblico, Vice ha anche trovato chat che hanno esposto i numeri di telefono di 48 partecipanti in una conversazione di gruppo WhatsApp tra quelle che sembravano essere organizzazioni non governative accreditate dalle Nazioni Unite.

Ho contattato il proprietario di WhatsApp, Facebook e Google, per un commento e aggiornerò questa storia se rispondono.

Perché sta succedendo questo?

Poco dopo che il problema è stato sollevato, il responsabile della ricerca pubblica di Google Danny Sullivan ha spiegato cosa stava succedendo. “I motori di ricerca come Google e altri elencano pagine dal web aperto. Questo è ciò che sta accadendo qui. Non è diverso da qualsiasi caso in cui un sito permette agli URL di essere elencati pubblicamente.”

Ma l’hacker etico @HackrzVijay ha detto di aver segnalato il problema al proprietario di WhatsApp, Facebook, a novembre, e Facebook non ha fatto nulla al riguardo. Infatti, è una “decisione intenzionale del prodotto”, ha detto Facebook, e gli amministratori di gruppo “possono invalidare il link se così desiderato.”

Inoltre, anche se Facebook ha ammesso di essere “sorpreso” che i link sono indicizzati da Google, ha detto che non può controllare ciò che Google indicizza.

Ma questo è male, giusto?

Non è certo l’ideale, soprattutto se si utilizza WhatsApp per conversazioni sensibili. Jake Moore, specialista di cybersecurity di ESET, dice che la capacità di trovare le chat così facilmente è “assolutamente terrificante.”

“Non riesco a vedere una ragione vantaggiosa sul perché qualsiasi parte dovrebbe vedere questo come una buona idea. Semmai, fa solo apparire WhatsApp meno sicuro. Può essere crittografato nel mezzo, ma se si viene accettati in una chat di gruppo, si ha la chiave di crittografia per leggere.”

Anche se Moore non ha trovato nessuna delle sue chat, ha cercato “The Girls” – il nome di un gruppo di cui sua moglie era membro – e ha trovato numerosi altri gruppi con lo stesso nome, tra cui conversazioni relative al porno.

Cosa fare

WhatsApp è criptato end-to-end, ma ora è di proprietà di Facebook, che sta integrando Instagram, Facebook Messenger e WhatsApp nel back-end.

Dopo una serie di scandali sui dati, problemi di privacy e violazioni, molte persone non si fidano di Facebook, quindi potrebbe avere senso provare qualcos’altro. ESET Moore consiglia di utilizzare le app di chat Signal o Telegram che, dice, “si concentrano maggiormente sulla sicurezza e la privacy dell’utente”

Il ricercatore di sicurezza Sean Wright è d’accordo. Dice che chiunque sia preoccupato per la privacy dovrebbe provare Signal “dato che non sembra che Facebook o Google stiano per fare molto al riguardo.”

Personalmente, favorisco Signal, che sta aggiungendo una serie di caratteristiche a misura di consumatore ed è super-sicuro e facile da usare. Si tratta di ciò che si può convincere i vostri amici e familiari a fare. Forse mostrate loro questa storia e concordate la migliore app per tutti voi.

Aggiornamento 23 febbraio alle 03:20 ET

Il problema ora sembra essere risolto su Google, che mi è stato detto potrebbe essere dovuto ad un cambiamento silenzioso fatto dal proprietario di WhatsApp, Facebook. Ho contattato nuovamente entrambe le aziende per un commento e fornirò ulteriori aggiornamenti non appena li sentirò.

Tuttavia, il problema è ancora presente quando si utilizzano altri importanti motori di ricerca, e i moderatori dei gruppi WhatsApp dovrebbero stare molto attenti. Jordan Wildon consiglia di andare nelle impostazioni del gruppo, toccare “Invita al gruppo tramite link” e poi “Ripristina link”.

Questo non spegne il link: ne genera uno nuovo, ha dimostrato in un tweet.

Ricevi il meglio di Forbes nella tua casella di posta elettronica con gli ultimi approfondimenti degli esperti di tutto il mondo.

Seguimi su Twitter o LinkedIn.

Loading …

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.