Immagine: WhatsApp
WhatsApp ha annunciato venerdì che offrirà ai suoi utenti backup crittografati end-to-end entro la fine dell'anno.
Gli utenti potranno scegliere come memorizzare la chiave di crittografia utilizzata.
Il più semplice è che gli utenti tengano un registro della chiave casuale a 64 cifre, in modo simile a come Signal gestisce i backup, che dovrebbero reinserire per ripristinare un backup.
L'alternativa sarebbe quella di archiviare la chiave casuale nell'infrastruttura di WhatsApp, denominata Backup Key Vault basata su modulo di sicurezza hardware (HSM) accessibile tramite una password creata dall'utente.
“La password è sconosciuta a WhatsApp, ai partner cloud del dispositivo mobile dell'utente o a terze parti. La chiave è archiviata in HSM Backup Key Vault per consentire all'utente di recuperare la chiave in caso di smarrimento o furto del dispositivo”, afferma ha affermato la società in un white paper [PDF].
“HSM Backup Key Vault è responsabile dell'applicazione dei tentativi di verifica della password e di rendere permanentemente inaccessibile la chiave dopo un certo numero di tentativi di accesso non riusciti. Queste misure di sicurezza forniscono protezione contro i tentativi di forza bruta di recuperare la chiave .”
Per motivi di ridondanza, WhatsApp ha affermato che la chiave sarebbe stata distribuita attraverso più data center che operano su un modello di consenso.
WhatsApp ha detto che avrebbe saputo solo che esiste una chiave nel suo caveau e non avrebbe saputo la chiave stessa.
I backup memorizzerebbero il testo del messaggio, così come le foto e i video ricevuti, ha affermato WhatsApp.
“I backup stessi vengono generati sul client come file di dati crittografati utilizzando la crittografia simmetrica con la chiave generata localmente”, ha affermato la società di proprietà di Facebook.
“Dopo che un backup è stato crittografato, viene archiviato nella memoria di terze parti (ad esempio iCloud o Google Drive). Poiché i backup sono crittografati con una chiave sconosciuta a Google o Apple, il provider cloud non è in grado di leggerli”.
All'inizio di quest'anno, WhatsApp ha ritardato l'applicazione di un aggiornamento “prendere o lasciare” ai suoi termini sulla privacy fino a maggio.
WhatsApp ha originariamente presentato agli utenti una richiesta di accettare i suoi nuovi termini sulla privacy entro l'8 febbraio, o rischiare di non essere in grado di utilizzare l'app. Nella formulazione utilizzata, WhatsApp ha affermato che la politica avrebbe cambiato il modo in cui ha collaborato con Facebook per “offrire integrazioni” e che le aziende avrebbero potuto utilizzare i servizi di Facebook per gestire le chat di WhatsApp.
Entro giugno, WhatsApp ha finalmente abbandonato i suoi piani di aggiornamento.
Copertura correlata
WhatsApp ha multato $ 267 milioni per violazioni GDPRWhatsApp per adeguare le regole sulla privacy in BrasileWhatsApp patch vulnerabilità correlata alla funzionalità del filtro delle immaginiFacebook offre una visualizzazione simile a Snapchat una volta che la funzione di foto e video a WhatsAppIl capo di WhatsApp afferma che i funzionari del governo, Alleati degli Stati Uniti presi di mira dallo spyware Pegasus
Argomenti correlati:
Social Enterprise Security TV Data Management CXO Data Center 