Perché Signal espone i dati degli utenti meno di WhatsApp
Sia WhatsApp che Signal hanno la reputazione di essere app molto sicure e rispettose della privacy degli utenti. Ciò è possibile grazie all'uso della crittografia end-to-end che permette solo al mittente e al destinatario del messaggio di leggerne il contenuto. Un'analisi più approfondita del funzionamento di queste due app mette in evidenza il fatto che Signal è di gran lunga la più sicura e quella con standard più elevati di protezione della privacy.
Il Signal protocol
Signal e WhatsApp condividono lo stesso sistema di crittografia dei messaggi, il “Signal protocol”, ideato dal fondatore di Signal, Moxie Marlinspike e sviluppato dalla Open Whisper Systems, l'organizzazione no-profit che mantiene Signal. Il Signal protocol è open source, quindi può essere liberamente utilizzato per lo sviluppo di altre app di messaggistica. In virtù di ciò è stato integrato in WhatsApp a partire dal 2014 dopo il grande scandalo del Datagate. Grazie all'uso del Signal protocol è matematicamente impossibile intercettare il contenuto dei messaggi degli utenti mentre transitano da un dispositivo all'altro, i messaggi sono accessibili solamente dai dispositivi del mittente e del destinatario.
Il problema dei backup
La precedente affermazione è vera al 100% per Signal, mentre per quanto riguarda WhatsApp c'è un problema che mette a rischio la riservatezza e la sicurezza dei messaggi degli utenti.
WhatsApp offre la possibilità di effettuare backup dei dati sul cloud, in modo da rendere possibile il recupero dei messaggi in caso di danneggiamento, smarrimento o furto del dispositivo. Questi backup vengono caricati su iCloud o su Google Drive, a seconda del tipo di smartphone usato dall'utente. Di default i dati dei backup vengono memorizzati senza l'uso della crittografia end-to-end, permettendo a Google e Apple di accedere ai contenuti in chiaro e di fornirli alle autorità, all'insaputa dell'utente, qualora venga presentato un provvedimento giudiziario. Ciò rende WhatsApp un'app non adatta ai casi di comunicazioni molto riservate o delicate, specialmente da parte di dissenti politici o giornalisti.
Da qualche mese WhatsApp ha provato a porre rimedio al problema, offrendo la possibilità di cifrare i backup con crittografia end-to-end. Tuttavia tale funzionalità rimane un'opzione da attivare nelle impostazioni dell'app e per questo la maggior parte degli utenti non se ne avvale, essendo spesso all'oscuro della sua esistenza. Inoltre, anche se un utente attiva la crittografia end-to-end dei backup per i suoi contenuti, questi non sono completamente protetti se non viene attivata anche dall'utente con cui comunica, poiché la conversazione è contenuta anche nel backup non criptato di quest'ultimo.
Signal non permette in alcun modo che i dati degli utenti vengano conservati sul cloud, in modo da evitare qualsiasi rischio di esposizione di questi. Ciò rende più difficile ripristinare la cronologia delle chat, soprattutto in caso di smarrimento o furto del dispositivo. Su Android Signal effettua un backup locale criptato delle chat a partire dal quale la cronologia delle chat può essere ripristinata su un altro dispositivo Android; in alternativa permette di trasferire direttamente i dati dal dispositivo vecchio a quello nuovo tramite bluetooth. Su iOS non viene effettuato alcun backup, ma la cronologia delle chat può essere trasferita da un dispositivo iOS all’altro tramite una procedura apposita via bluetooth.
Con la garanzia che i dati di Signal non lasciano mai il dispositivo che li ospita, gli utenti ottengono il massimo in quanto a privacy e sicurezza, senza dover mettere mano alle impostazioni dell'app. Tuttavia gli utenti rischiano di perdere tutti i loro dati in caso di smarrimento o furto del dispositivo.
La raccolta dei metadati
Un'altra differenza importante tra Signal e WhatsApp riguarda la raccolta dei metadati. I metadati sono informazioni che riguardano i messaggi inviati, ad esclusione del loro contenuto. Queste informazioni possono consistere nell'identità del destinatario del messaggio, nel momento di invio e nella frequenza di trasmissione di messaggi da un utente all'altro. WhatsApp cifra i contenuti dei messaggi e i media allegati, ma non cifra e raccoglie i metadati sui messaggi inviati. Dunque WhatsApp non può vedere cosa un utente scrive ad un altro utente, ma sa che quell’utente ha comunicato con l’altro utente in una data ora, in un dato giorno e con un data frequenza. Inoltre raccoglie dati sul dispositivo dell’utente come ad esempio che tipo di dispositivo usa, con quale sistema operativo e il suo l’indirizzo IP.
Signal ha ridotto al minimo indispensabile la raccolta dei metadati, limitandosi a registrare il numero di telefono dell’utente, associato a due ulteriori informazioni: la data di creazione dell’account e la data in cui l’utente si è connesso al server per l'ultima volta.
Attraverso i metadati, pur non avendo accesso ai contenuti dei messaggi, è possibile ricostruire la rete sociale degli utenti e capire quali sono i contatti con cui si comunica con maggiore frequenza. Limitare il più possibile la raccolta dei metadati è fondamentale per tutelare il diritto alla privacy e in ciò Signal eccelle rispetto a WhatsApp.
La differenza tra Signal e WhatsApp a colpo d'occhio
Nell'immagine sottostante è possibile vedere la differenza tra dati collegati all'utente da Signal e WhatsApp secondo le informazioni riportate dai Privacy Labels dell'App Store (Apple).
Conclusione
Sulla base di quanto esposto è chiaro che Signal garantisce una maggiore tutela della privacy e della sicurezza dei dati degli utenti. WhatsApp è comunque un'app sicura, adatta alle esigenze della maggior parte delle persone ed è certamente una valida alternativa alle app di messaggistica istantanea che non offrono di default la crittografia end-to-end dei messaggi.