- I dati vengono criptati in transit?
- I dati vengono criptati in modo tale che neanche il fornitore del servizio possa leggerli?
- È possibile risalire alla vera identità dei contatti?
- Il fornitore del servizio mette in pratica quello che è conosciuto come perfect forward secrecy, in italiano “segretezza in avanti” (il che significa che le crypto-chiavi sono temporanee e una chiave rubata non decifrerà le comunicazioni esistenti)?
- Il codice del service provider è open-source ed è disponibile ad un’analisi pubblica?
- Le procedure di implementazione crittografiche e i relativi processi sono documentati
- Il servizio è stato sottoposto a un audit indipendente negli ultimi 12 mesi?
La classificazione delle app è avvenuta in una scala da 0 a 2, in quanto nessuna di queste ha soddisfatto più di due requisiti predisposti da EFF.
0 Punti:
Fortunatamente nessuna delle più famose app hanno ricevuto un punteggio così basso, ma servizi come Mxit e QQ, che probabilmente nemmeno conoscete, hanno ricevuto 0 punti, quindi vi sconsiglio di usarli.
1 Punto:
Abbiamo in classifica con un solo punto, il noto servizio Yahoo! Messenger, che sembra non rispettare diversi requisiti posti da EFF, tra cui la crittografia che sembrerebbe scomparsa.
Proprio così, sembra che Skype non abbia una vera e propria crittografia e si ritiene sia abbastanza facile farsi gli affari degli utenti che lo usano. Microsoft, proprietaria del marchio, ha sempre negato ogni accusa.
Anche BlackBerry Messenger ha ottenuto lo stesso punteggio. Il servizio cripta i dati, ma l'azienda può tranquillamente accedervi.
2 Punti, si cominciano a vedere miglioramenti:SnapChat, servizio molto popolato tra i giovani, ha ottenuto due punti: uno per criptare i dati in transito dal mittente al destinatario passando per i server della app. L’altro per l’audit dello scorso anno.
L’idea di base di SnapChat è che i messaggi, le foto e i video siano visualizzabili per un certo periodo di tempo definito dal mittente per poi scomparire per sempre. Il destinatario può comunque salvare i messaggi eseguendo screenshot anche se il mittente riceverebbe una notifica. C’è anche un’app, chiamata SnapHack, che consente ai destinatari di salvare gli snap.
A malincuore per molti androidiani, nella classifica troviamo anche hangout di Google.
Google cripta i dati in transito degli Hangout e ha eseguito un audit lo scorso anno. Tuttavia, Google può leggere i messaggi, gli utenti non possono risalire all’identità dei contatti, non viene impiegato il sistema di "perfect forward secrecy", il codice non è accessibile per una review indipendente e la sicurezza non è adeguatamente documentata.
Passiamo poi ad un altro servizio molto famoso ed ancora usato da diversi utenti.
Instant Messenger di American Online, era il top negli anni 90, poi ha avuto un calo tra i giovani.
Anche questo cripta i dati in transito, niente di più.la chat di Facebook cripta i dati in transito ed è stato eseguito un audit; bocciata, però, nelle altre categorie.
Pure Viber riceve 2 punti, per la crittografia dei dati in transito e per l’audit.
Mi dispiace dirlo, ma anche il client di messaggistica istantanea più usato non soddisfa più di due requisiti.
Proprio questa settimana però, WhatsApp ha avviato una collaborazione con Open Whisper Systems per aggiungere su Android alcune opzioni di crittografia. Servizi appartenenti a Whisper System, hanno ottenuto i punteggi massimi da parte di EFF. In definitiva, nei prossimi giorni o mesi WhatsApp potrebbe essere ancora più sicura.Al momento, comunque, la crittografia è stata implementata esclusivamente su Android e solo nelle comunicazioni tra singoli utenti. Chi possiede un iPhone o chi usa le conversazioni di gruppo dovrà attendere ancora un po’. WhisperSystem ha dichiarato di star lavorando anche su questi due fronti.