Rischi per la Privacy di WhatsApp che Dovresti Conoscere

Introduzione: L'Illusione della Privacy su WhatsApp

Con oltre 2 miliardi di utenti in tutto il mondo, WhatsApp è l'app di messaggistica più diffusa al mondo. Quando Meta (ex Facebook) ha acquisito WhatsApp nel 2014 per 19 miliardi di dollari, ha promesso di non toccare la privacy degli utenti. Da allora, ogni promessa è stata sistematicamente infranta.

WhatsApp si presenta come un messenger sicuro grazie alla crittografia end-to-end basata sul Protocollo Signal. E in effetti, la crittografia dei messaggi è tecnicamente solida. Ma la crittografia dei messaggi è solo una parte dell'equazione della privacy. Ciò che WhatsApp non pubblicizza è l'enorme quantità di dati che raccoglie al di fuori del contenuto dei messaggi.

In questo articolo, analizziamo in dettaglio i rischi per la privacy che ogni utente di WhatsApp dovrebbe conoscere. Dalla raccolta massiva di metadati ai backup cloud non protetti, dalla condivisione dei dati con Meta alle vulnerabilità sfruttate da spyware governativi, il quadro è molto più preoccupante di quanto la maggior parte degli utenti realizzi.

La Trappola dei Metadati

I metadati sono spesso descritti come "dati sui dati". Nel caso della messaggistica, i metadati includono: con chi comunichi, quando invii messaggi, quanto spesso, per quanto tempo durano le chiamate, la tua posizione durante la comunicazione, il tipo di dispositivo e molto altro. Anche senza leggere il contenuto dei tuoi messaggi, i metadati dipingono un quadro incredibilmente dettagliato della tua vita.

L'ex direttore della CIA Michael Hayden ha dichiarato: "Uccidiamo persone basandoci sui metadati." Questo non è un'iperbole. I metadati rivelano le tue relazioni sociali, le tue abitudini, i tuoi spostamenti, i tuoi orari e i tuoi interessi con una precisione che spesso supera il contenuto dei messaggi stessi.

WhatsApp raccoglie una quantità impressionante di metadati. L'informativa sulla privacy dell'azienda elenca: numeri di telefono dei contatti, registro delle chiamate, ora e durata delle comunicazioni, identificatori del dispositivo, indirizzo IP, tipo di browser, operatore mobile, fuso orario e livello della batteria. Questi dati vengono conservati per periodi estesi e condivisi con Meta per la profilazione pubblicitaria.

Un ricercatore di sicurezza ha dimostrato che, analizzando solo i metadati di WhatsApp, è possibile determinare il medico di una persona, le sue affiliazioni religiose, la presenza di problemi legali, le relazioni sentimentali e le dipendenze. Tutto questo senza leggere un singolo messaggio.

Il Problema dei Backup Cloud

Ecco il paradosso più grave di WhatsApp: mentre i messaggi sono crittografati end-to-end durante il trasferimento, i backup cloud predefiniti NON lo sono. Quando WhatsApp salva la cronologia delle chat su Google Drive o iCloud, i messaggi vengono memorizzati senza la protezione della crittografia E2E.

Questo significa che Google (per utenti Android) e Apple (per utenti iOS) possono tecnicamente accedere a tutti i tuoi messaggi WhatsApp memorizzati nei backup. E poiché entrambe le aziende sono soggette alla giurisdizione statunitense, possono essere obbligate a consegnare questi dati alle autorità con un mandato.

Nel 2021, WhatsApp ha introdotto i backup crittografati end-to-end come funzionalità opzionale. Tuttavia, questa opzione è disattivata per impostazione predefinita, e la stragrande maggioranza degli utenti non la attiva mai. Inoltre, se il tuo interlocutore non ha attivato i backup crittografati, le tue conversazioni con quella persona sono comunque archiviate in chiaro sul suo cloud.

Le forze dell'ordine sono ben consapevoli di questa vulnerabilità. Numerosi rapporti hanno documentato come FBI e altre agenzie richiedano regolarmente i backup WhatsApp da Google e Apple per accedere a conversazioni che sarebbero altrimenti protette dalla crittografia E2E.

Condivisione Dati con Meta

Quando Meta ha acquisito WhatsApp, il fondatore Jan Koum ha promesso che i dati degli utenti non sarebbero stati condivisi con Facebook. Nel 2016, WhatsApp ha aggiornato le sue condizioni di servizio per iniziare a condividere i dati con Meta. Koum ha lasciato l'azienda nel 2018, citando conflitti sulla privacy.

Oggi, WhatsApp condivide con Meta un'ampia gamma di dati: numero di telefono registrato, dati di transazione, informazioni sulla qualità del servizio, dati di utilizzo, log di attività, identificatori del dispositivo, indirizzo IP e dati di configurazione del dispositivo. Meta utilizza questi dati per alimentare i suoi profili pubblicitari attraverso Facebook, Instagram e la rete pubblicitaria di terze parti.

L'aggiornamento della privacy di WhatsApp del 2021 ha generato un'ondata di indignazione quando gli utenti hanno scoperto l'entità della condivisione dei dati. Milioni di utenti sono migrati verso Signal e Telegram. Tuttavia, la maggior parte è rimasta su WhatsApp per inerzia e effetto rete, accettando condizioni che non aveva letto o compreso.

In Europa, il GDPR ha fornito alcune protezioni aggiuntive, limitando la condivisione dei dati tra WhatsApp e Meta. Tuttavia, queste protezioni sono limitate e soggette a interpretazione. Meta è stata multata ripetutamente per violazioni del GDPR, ma le multe rappresentano una frazione trascurabile dei ricavi dell'azienda.

Il Requisito del Numero di Telefono

WhatsApp richiede un numero di telefono per la registrazione. Questo collega immediatamente il tuo account alla tua identità reale, poiché i numeri di telefono sono generalmente registrati con documenti di identità. Non esiste modo di utilizzare WhatsApp in modo anonimo.

Il numero di telefono viene anche utilizzato come identificatore per la condivisione dei dati con Meta. Se hai usato lo stesso numero per registrarti su Facebook o Instagram, Meta può collegare automaticamente i tuoi profili attraverso le piattaforme, creando un quadro ancora più completo della tua vita digitale.

Inoltre, il requisito del numero di telefono espone gli utenti a rischi aggiuntivi come attacchi SIM swap, in cui un criminale convince l'operatore telefonico a trasferire il tuo numero su una nuova SIM, ottenendo accesso al tuo account WhatsApp e a qualsiasi servizio che usa il tuo numero per la verifica.

Codice Chiuso e Fiducia Cieca

Il codice sorgente di WhatsApp non è open-source. Questo significa che nessun ricercatore di sicurezza indipendente può verificare che la crittografia sia implementata correttamente, che non ci siano backdoor nascoste, o che i dati raccolti corrispondano a quanto dichiarato nell'informativa sulla privacy.

Quando usi WhatsApp, stai essenzialmente fidandoti ciecamente che Meta — un'azienda il cui intero modello di business si basa sulla raccolta e monetizzazione dei dati — protegga genuinamente la tua privacy. La storia ha dimostrato ripetutamente che questa fiducia è mal riposta.

Al contrario, messenger open-source come Signal permettono a chiunque di esaminare il codice, verificare la crittografia e segnalare vulnerabilità. Questo processo di revisione pubblica è fondamentale per la sicurezza: non puoi fidarti di ciò che non puoi verificare.

Vulnerabilità e Spyware

WhatsApp è stato ripetutamente bersaglio di attacchi sofisticati. Nel 2019, una vulnerabilità nel sistema di videochiamate ha permesso all'azienda di spyware israeliana NSO Group di installare il software di sorveglianza Pegasus sui telefoni delle vittime semplicemente chiamandole su WhatsApp — senza che rispondessero alla chiamata.

Pegasus può accedere a tutti i dati sul telefono: messaggi (inclusi quelli crittografati, leggendoli dopo la decrittazione sul dispositivo), foto, email, posizione GPS, microfono e fotocamera. Giornalisti, attivisti per i diritti umani e dissidenti politici in tutto il mondo sono stati vittime di questi attacchi.

Nel 2022, un'altra vulnerabilità zero-click è stata scoperta e sfruttata prima della correzione. La natura closed-source di WhatsApp rende più difficile scoprire queste vulnerabilità in tempo. La piattaforma rappresenta un obiettivo di alto valore per gli attaccanti a causa della sua enorme base di utenti.

WhatsApp Business e i Tuoi Dati

WhatsApp Business introduce ulteriori rischi per la privacy. Quando comunichi con un account Business, i tuoi messaggi possono essere gestiti da strumenti di terze parti, archiviati su server esterni e utilizzati per marketing. La crittografia E2E può essere compromessa quando le aziende utilizzano l'API Business con provider di hosting esterni.

Meta sta espandendo aggressivamente le funzionalità commerciali di WhatsApp, trasformando la piattaforma da messenger a piattaforma di commercio. Ogni interazione con un'azienda genera dati che alimentano il profilo pubblicitario di Meta. Gli utenti spesso non sono consapevoli che comunicare con un account Business comporta protezioni di privacy ridotte.

Alternative Più Sicure

Se la privacy è importante per te, esistono alternative significativamente migliori a WhatsApp. ShadowVault offre crittografia end-to-end basata sul Protocollo Signal con architettura zero-knowledge, senza raccolta di metadati, senza requisito di numero di telefono e con funzionalità aggiuntive come gestore di password e cloud crittografato integrati.

Signal è un'altra eccellente alternativa, completamente open-source e gestita da un'organizzazione no-profit. Sebbene richieda un numero di telefono, raccoglie metadati minimi e non ha incentivi finanziari per compromettere la tua privacy.

La migrazione da WhatsApp può sembrare difficile a causa dell'effetto rete, ma ogni persona che passa a un messenger più sicuro rende la rete più forte. Inizia con i tuoi contatti più stretti e espandi gradualmente. La tua privacy vale lo sforzo.