WhatsApp, in arrivo i backup crittografati: ecco come funzionano
Il servizio di messaggistica introdurrà a breve la possibilità di crittografare i backup per proteggerli da terzi. Ma attenzione a non smarrire la chiave
di Andrea Bai pubblicata il 11 Settembre 2021, alle 08:31 nel canale WebWhatsApp è pronta a rilasciare un importante aggiornamento che consentirà agli utenti di crittografare i backup delle chat: anticipata qualche mese fa, la novità sarà resa disponibile nel corso delle prossime settimane agli utenti iOS e Android. La soluzione, che viene descritta in un whitepaper rilasciato da Facebook, ha lo scopo di proteggere da sguardi indiscreti e malintenzionati i backup dei messaggi che vengono conservati sul cloud, che sia Google Drive o iCloud.
Mark Zuckerberg, CEO di Facebook, ha affermato: "WhatsApp è il primo servizio di messaggistica globale su questa scala ad offrire messaggi e backup crittografati end-to-end e arrivarci è stata una sfida tecnica davvero difficile che ha richiesto un framework completamente nuovo per l'archiviazione delle chiavi e l'archiviazione nel cloud tra i sistemi operativi".
Quando l'utente sceglie di proteggere con crittografia i propri backup dovrà salvare una chiave crittografica di 64 cifre oppure creare una password collegata alla chiave. Quando la password viene creata, WhatsApp memorizza la chiave associata in un modulo di sicurezza hardware fisico (HSM), che viene gestito da Facebook e sbloccato solamente quando viene inserita la password corretta su WhatsApp. A questo punto l'HSM correttamente sbloccato fornisce la chiave di crittografia che decifra il backup archiviato sui server di Google o di Apple.
L'HSM si trova nei datacenter di Facebook dislocati in tutto il mondo per assicurare la continuità di servizio. Qualora si verificassero ripetuti tentativi, errati, di inserimento password, l'HSM diventerà inaccessibile in maniera permanente. Allo stesso modo, se si optasse per salvare manualmente la chiave crittografica di 64 cifre e la si dovesse smarrire, il backup non sarà più accessibile. Resta comunque la possibilità di ripristinare la password nel caso in cui la si fosse dimenticata. L'idea di base è che venga garantito che solamente il proprietario dell'account e nessun altro possa accedere ad un backup.
La possibilità di utilizzare il bakcup crittografato sarà solamente per il dispositivo principale dell'utente, nonostante il recente supporto multi-dispositivo.
MSI BE6500: nuova chiavetta USB per abilitare il supporto al WiFi 7 su qualsiasi PC
Recensione CMF by Nothing Phone 2 Pro: economico sì ma con stile. Best buy!
Sony ULT Field 5: potenza, portabilità e semplicità per animare qualsiasi festa
Firefly Aerospace: il razzo spaziale Alpha della missione Message In A Booster non ha raggiunto l'orbita
Arianespace ha lanciato il satellite europeo ESA Biomass con un razzo spaziale Vega-C
La Cina ha lanciato per la terza volta i satelliti Guowang per la costellazione concorrente di Starlink
Ewiva: dal 1° al 31 maggio sconto del 30% sulla ricarica ultra-veloce per chi sceglie di pagare via contactless
Nissan N7 EV: berlina, completamente elettrica e con un prezzo inferiore a 15.000 euro
BYD Shenzen: la nave per il trasporto auto più grande al mondo è partita per il Brasile
Il Prime Day 2025 è ufficiale! Ecco cosa aspettarsi dall'evento Amazon
Panasonic RB-F10: auricolari open-ear per l'ufficio e la vita all'aria aperta
Microsoft e OpenAI, l'alleanza mostra le prime crepe: divergenze e tensioni sul futuro dell'IA 
Mercato smartphone in Cina: Xiaomi e HUAWEI dominano la scena. Ecco la classifica
Taiwan risponde (timidamente) agli USA: i processi produttivi più avanzati rimarranno interni?
Vertiv contribuisce alla realizzazione di Colosseum, il supercomputer di iGenius basato su tecnologia NVIDIA
Canon alza i prezzi: comincia a sentirsi l'effetto dei dazi per le tasche dei consumatori USA
Elden Ring, 30 milioni di copie vendute: è il più grande successo di FromSoftware
18 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoControlli in aeroporto specialmente all'estero
Dall'autorità giudiziaria
Da vostra moglie/fidanzata in un impeto di ira perché sentite ancora la vostra ex
Sappiate anche che ci sono strumenti per controllare e spiare i telefoni a distanza anche senza mai aver avuto accesso al telefono. Per cui se non avete niente da nascondere, state sereni che nessuno vi spia
Controlli in aeroporto specialmente all'estero
Dall'autorità giudiziaria
Da vostra moglie/fidanzata in un impeto di ira perché sentite ancora la vostra ex
E cosa c'entra con la news?
Qui parliamo di crittografia per i backup delle chat WhatsApp. Al momento i backup sono effettuabili su Google Drive in automatico (cosa per altro opzionale), ma erano in chiaro.
Se il tuo obiettivo è difenderti da un ente nazionale o sovra-nazionale allora hai altri problemi (ed esistono altre soluzioni che non contemplano fare l'upload dei tuoi dati su server cloud di multinazionali estere).
Ad esempio? Trojan? Deve essere installato sul telefono. Una alternativa sono ponti di rete fittizi per fare man-in-the-middle, ma questo funziona principalmente per i protocolli radio.
Dire che la privacy non è importante se non c'è niente da nascondere equivale a dire che non interessa il diritto di parola se non si ha nulla da dire in un certo momento.
Se non hai nulla da nascondere allora potrai tranquillamente postare i dati dei tuoi account personali su questo forum, qui in questa conversazione
I backup su google drive non sono in chiaro e non sono più salvati con la chiave per decriptare il DB già da molto tempo.
Ora per decriptare il DB è necessaria una chiave che viene generata partendo dal numero di telefono. Questa chiave può essere recuperata con i privilegi di root da un telefono una volta eseguita la procedura di registrazione o può essere generata partendo sempre dal numero di telefono se qualcuno riuscisse tramite reverse enginnering a capire come la genera whatsapp.
Questa protezione serve, probabilmente ad aggiungere del "salt" alla generazione della suddetta chiave ed evitare quindi che esista un metodo di decriptazione senza che l'utente lo approvi.
Ora per decriptare il DB è necessaria una chiave che viene generata partendo dal numero di telefono. Questa chiave può essere recuperata con i privilegi di root da un telefono una volta eseguita la procedura di registrazione o può essere generata partendo sempre dal numero di telefono se qualcuno riuscisse tramite reverse enginnering a capire come la genera whatsapp.
Questa protezione serve, probabilmente ad aggiungere del "salt" alla generazione della suddetta chiave ed evitare quindi che esista un metodo di decriptazione senza che l'utente lo approvi.
Non ne sarei così sicuro
Comunque, usare un numero di telefono come salt per la chiave, è da barboni.
Più tosto, sarebbe stato intelligente farlo con un PIN (che WA già ha) o password che però è l'utente a decidere.
edit:
Link ad immagine (click per visualizzarla)
Comunque, usare un numero di telefono come salt per la chiave, è da barboni.
Più tosto, sarebbe stato intelligente farlo con un PIN (che WA già ha) o password che però è l'utente a decidere.
edit:
Link ad immagine (click per visualizzarla)
Non sono protetti dalla crittografia end-to-end, ma dalla crittografia sono protetti.
Ed infatti la password è scelta dall'utente è proprio quello che stanno facendo adesso.
Il PIN invece è meno sicuro del numero di telefono in quanto nettamente più corto.
Ed infatti la password è scelta dall'utente è proprio quello che stanno facendo adesso.
Il PIN invece è meno sicuro del numero di telefono in quanto nettamente più corto.
Secondo me, la dicitura è ambigua e dice:
Il file non è crittograffato, ma la trasmissione a google, invece sì, è obbligatoria via SSL.
Al massimo l'unica cosa criptata, può essere il DB SQLlite che sputa fuori Whatsapp, ma le immagini, video e quant'altro non lo sono.
Il pin non è per forza di 4 o 6 cifre, puoi averne quanti ne vuoi, anche perché lo tratti come stringa per farci un hash.
https://blog.elcomsoft.com/2018/01/extract-and-decrypt-whatsapp-backups-from-google/"][SIZE="3"]Extract and Decrypt Android WhatsApp Backups from Google Account[/SIZE][/URL] january 24th, 2018 by Oleg Afonin
"WhatsApp Encryption
All recent versions of WhatsApp encrypt their backups with a cryptographic key unique per WhatsApp account. Without access to that cryptographic key, the only things Elcomsoft Explorer for WhatsApp could extract from the user’s Google Account are contacts and media files sent and received by the WhatsApp user. The main communication history is securely encrypted with AES-256. To make things even more complicated, the different builds of WhatsApp were using different encryption algorithms, making an all-in-one decryption tool a bit complicated to build. Elcomsoft Explorer for WhatsApp 2.30 solves all of these issues by automatically downloading and decrypting the backup from the user’s Google Account. The cryptographic key is generated automatically based on the authentication code received as a text message and delivered to the user’s trusted phone number."
"You can use the Decrypt option to instantly decrypt data. Alternatively, you may click Open to have data loaded into the viewer. At this time, you can only access media files; text conversations are still encrypted."
Link ad immagine (click per visualizzarla)
https://blog.elcomsoft.com/2018/01/extract-and-decrypt-whatsapp-backups-from-google/"][SIZE="3"]Extract and Decrypt Android WhatsApp Backups from Google Account[/SIZE][/URL] january 24th, 2018 by Oleg Afonin
"WhatsApp Encryption
All recent versions of WhatsApp encrypt their backups with a cryptographic key unique per WhatsApp account. Without access to that cryptographic key, the only things Elcomsoft Explorer for WhatsApp could extract from the user’s Google Account are contacts and media files sent and received by the WhatsApp user. The main communication history is securely encrypted with AES-256. To make things even more complicated, the different builds of WhatsApp were using different encryption algorithms, making an all-in-one decryption tool a bit complicated to build. Elcomsoft Explorer for WhatsApp 2.30 solves all of these issues by automatically downloading and decrypting the backup from the user’s Google Account. The cryptographic key is generated automatically based on the authentication code received as a text message and delivered to the user’s trusted phone number."
"You can use the Decrypt option to instantly decrypt data. Alternatively, you may click Open to have data loaded into the viewer. At this time, you can only access media files; text conversations are still encrypted."
Link ad immagine (click per visualizzarla)
Appunto, il file DB è crittografato, non i media.
Ma il DB può essere decriptato.
https://github.com/YuriCosta/WhatsA...tor-Multithread
https://www.tenorshare.com/whatsapp...ut-keys.html#p5
https://github.com/EliteAndroidApps...p-Key-Generator
Il file non è crittograffato, ma la trasmissione a google, invece sì, è obbligatoria via SSL.
Al massimo l'unica cosa criptata, può essere il DB SQLlite che sputa fuori Whatsapp, ma le immagini, video e quant'altro non lo sono.
No, niente "il file non è crittografato" e "al massimo [..]", come ti hanno fatto già notare: il database è crittografato.
I media no, ma non ho mai detto che lo fossero, ed anche destroyer85 mi sembra parli chiaramente di database.
E in ogni caso, sui media i problemi sorgono già prima del backup visto che sono già tranquillamente accessibili a tutte le applicazioni che hanno accesso alla memoria.
(Tra l'altro anche con al crittografia e2e probabilmente la cosa non cambierà
L'attuale PIN di WhatsApp, che serve all'autenticazione a 2 fasi, è esclusivamente a 6 cifre.
Possono essere più lunghi? Si, (Signal ad esempio lo permette) ma non è il caso di quello presente in WhatsApp che è, per l'appunto, limitato a 6 cifre.
https://faq.whatsapp.com/general/ve...ep-verification
Ma il DB può essere decriptato.
https://github.com/YuriCosta/WhatsA...tor-Multithread
https://www.tenorshare.com/whatsapp...ut-keys.html#p5
https://github.com/EliteAndroidApps...p-Key-Generator
Non hai neanche letto il link che hai mandato... Il primo link serve solo per esportare i backup da google drive, non decripta niente.
Era la cosa più comoda per l'utente finale. È talmente da barboni che, fino ad ora, la chiave non può essere generata esternamente ma deve essere estratta da un'installazione funzionante di whatsapp, o con privilegi di root, o installando una vecchia versione di whatsapp che permetteva di fare il backup in locale anche della chiave.
Puoi ammettere che hai commentato per sentito dire e solo perché "fa figo" dire che whatsapp non è sicuro, o perseverare.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".