Se preferisci impedire alle autorità pubbliche, agli hacker, al tuo provider di servizi Internet o a chiunque altro di intercettare e leggere le tue comunicazioni private, devi assicurarti di utilizzare un'app di messaggistica sicura. In particolare, una che utilizzi la messaggistica criptata.

Come avrai probabilmente notato (a meno che tu non viva sulla luna, che peraltro sembra sempre più la cosa giusta da fare), il tema della privacy su Internet è diventato uno dei più scottanti dell'ultimo decennio. L'anno scorso, il Congresso degli Stati Uniti ha abrogato alcuni regolamenti che favorivano la protezione dei dati personali impedendone la vendita da parte di società di servizi di comunicazione wireless e a banda larga. Nel 2016, il Parlamento del Regno Unito ha approvato l'Investigatory Power Act (o Carta di Snooper), con l'obiettivo di ampliare i poteri di sorveglianza dell'intelligence e delle forze dell'ordine britanniche. Senza contare le ultime novità in materia di privacy. Se non l'hai già fatto, è giunto il momento di iniziare a riflettere sull'effettiva sicurezza delle tue comunicazioni online.

Che cosa rende sicura un'app di messaggistica?

Criptaggio end-to-end

La prima cosa da verificare quando scegli un'app di messaggistica è la disponibilità di una funzione di criptaggio end-to-end. Con questo tipo di criptaggio, i dati dei messaggi privati delle chat vengono mischiati e solo il mittente e il destinatario hanno le "chiavi" per leggerli. In questo modo hai la sicurezza che nessuno, tranne te e la persona con cui stai parlando, è in grado di decifrare i messaggi.

Paradossalmente, in passato si pensava che il criptaggio fosse una tecnologia utile solo alle persone paranoiche o con assoluta necessità di segretezza, come i dissidenti politici. È stato solo dopo che l'informatore Edward Snowden ha diffuso documenti riservati, rivelando il programma di sorveglianza di massa dell'Agenzia per la sicurezza nazionale statunitense, che il mondo ha iniziato a comprendere la reale importanza del criptaggio e della privacy online. Da quel momento, molte società (incluse Facebook, Apple e Google) hanno potenziato la protezione del proprio software con tecnologie di criptaggio.

Impostazioni di criptaggio predefinite

Solo perché un'app offre il criptaggio end-to-end, non vuol dire che questa funzionalità è attivata per impostazione predefinita. In alcune app di messaggistica è necessario attivare effettivamente il criptaggio nelle impostazioni, mentre in altre app i messaggi vengono criptati solo in determinate situazioni, come nel caso di iMessage, che fa differenza tra messaggi blu criptati e messaggi di testo verdi. Poiché l'importanza del criptaggio è ancora un concetto relativamente nuovo, molte persone potrebbero dare per scontato che l'app sia sicura senza sapere se o quando i loro messaggi vengono criptati.

Codice open source

Anche se i timori di reverse engineering o di backdoor nel codice possono far sembrare un controsenso il fatto che il codice sorgente di un'app venga rivelato dall'autore, questo è ora generalmente considerato un fattore indicativo dell'integrità dell'app. La pubblicazione del codice open source ha l'effetto di aprire l'app alle sollecitazioni esterne, consentendone il controllo da parte degli esperti, e questo può essere utile per richiamare l'attenzione su eventuali punti deboli e vulnerabili nel codice.

Raccolta dei dati

Anche se ormai molte app di messaggistica hanno iniziato a utilizzare il criptaggio end-to-end, alcune continuano a raccogliere informazioni sugli utenti, ovvero i metadati. I metadati sono un po' come la tua fingerprint elettronica e includono informazioni quali il tuo interlocutore (tramite l'elenco dei contatti), la durata e l'ora della conversazione, e anche dati sul dispositivo utilizzato, il tuo indirizzo IP, il numero di telefono e altro ancora. Un modo semplice per proteggere questo tipo di informazioni è quello di configurare un'app VPN sul dispositivo mobile, ad esempio AVG Secure VPN per Android o AVG Secure VPN per iOS.

App di messaggistica più diffuse classificate in base alla sicurezza

1. Signal

Logo dell'app di messaggistica Signal

Originariamente nota come TextSecure Private Messenger, Signal è stata promossa come standard di riferimento per la sicurezza nella messaggistica dagli esperti di criptaggio Bruce Schneier e Edward Snowden. Anche se è disponibile come app di messaggistica gratuita su telefoni iPhone e Android, Signal è considerata più una piattaforma per la messaggistica che non un'app perché invia messaggi all'interno della propria infrastruttura di dati.

Funzionalità di Signal per la sicurezza

  • Criptaggio end-to-end: come in WhatsApp, i messaggi inviati tramite l'app Signal possono essere visualizzati solo dal mittente e dal destinatario. Nemmeno Open Whisper Systems, l'organizzazione che ha rilasciato l'app, è in grado di decriptarli. Oltre ai messaggi istantanei, è possibile effettuare chiamate vocali, messaggi di gruppo e videochiamate criptate.
  • Open source: Signal è basata su codice open source che può essere visualizzato da qualsiasi utente. Questo tipo di trasparenza rende possibile un controllo costante e permette di verificare che la sicurezza dell'app sia sempre aggiornata.
  • Scomparsa dei messaggi: per un livello di sicurezza in più, Signal consente di far "scomparire" i messaggi inviati e ricevuti dopo che è trascorso un certo periodo di tempo.
  • Archiviazione dei dati: diversamente da molte altre app di messaggistica, Signal archivia solo i metadati necessari per il suo funzionamento, ad esempio il tuo numero di telefono, le chiavi casuali e le informazioni del profilo.
  • Sicurezza tramite password: puoi anche impostare una password per bloccare l'app. In questo modo, anche se il tuo telefono finisce nelle mani sbagliate, i messaggi restano protetti.

Rischi di Signal per la sicurezza

Il vantaggio più grande di Signal è quello di non presentare praticamente alcun rischio per la sicurezza. Purché gli sviluppatori dell'app continuino a dedicarsi scrupolosamente a correggerne i punti vulnerabili, Signal rimarrà ai primi posti tra le app di messaggistica.

2. Wickr Me

Logo dell'app di messaggistica Wickr Me

Disponibile su iPhone e Android, Wickr si è distinta dalla massa offrendo opzioni di messaggistica per uso personale (Wickr Me) e per professionisti e aziende (Wickr Pro). Wickr Me è gratuita, mentre Wickr Pro è un servizio a pagamento, disponibile gratuitamente per un periodo di prova di 30 giorni.

Funzionalità di Wickr Me per la sicurezza

  • Criptaggio end-to-end: oltre ai messaggi criptati, quest'anno Wickr ha annunciato che il servizio "Me" offrirà anche il criptaggio delle chiamate e della messaggistica vocale (già disponibile nella versione Pro).
  • Rilevamento di screenshot: Wickr ha comunicato di recente che renderà disponibile una nuova funzionalità per consentire agli utenti di rilevare screenshot. Ciò significa che riceverai una notifica nel caso in cui qualcuno acquisisca uno screenshot di un messaggio da te inviato.
  • Protezione dalle sovrapposizioni di schermate: sui dispositivi Android, Wickr ha rilasciato una nuova funzionalità che consente di disabilitare le sovrapposizioni di schermate. Questa impostazione impedisce agli utenti di interagire con l'app quando viene rilevata una sovrapposizione e consente di proteggere l'app dal rischio di tapjacking.
  • Tastiere di terze parti: in iOS, Wickr consente di bloccare le tastiere di terze parti. Questa funzionalità è utile per proteggere le informazioni impedendo a tastiere di terze parti di registrare nomi utente, password e altri dati digitati nell'app.
  • Distruzione sicura dei dati: la funzionalità Secure Shredder offre un livello di sicurezza in più per accertarsi che i file già eliminati non siano recuperabili con strumenti o tecnologie particolari. Questa operazione viene eseguita periodicamente da Wickr, ma hai anche la possibilità di cancellare le informazioni dal tuo telefono manualmente.

Rischi di Wickr Me per la sicurezza

Come Signal, Wickr è generalmente considerata quasi infallibile dal punto di vista della sicurezza. Anche se in precedenza è stata criticata per aver mantenuto il proprio codice come closed source, l'anno scorso Wickr ha finalmente rilasciato il proprio protocollo di criptaggio su GitHub. Se sei interessato ai dettagli tecnici sulla sicurezza dell'app, puoi leggere il documento che illustra le promesse di Wickr per la sicurezza dei clienti.

3. Dust

Logo dell'app di messaggistica Dust

Nota in precedenza come Cyber Dust, questa app di messaggistica, frutto della mente di Mark Cuban, è disponibile per iOS e Android. Lo scopo principale dell'app è offrire la possibilità di inviare ai contatti messaggi privati chiamati "Dust" (ma anche foto e video) e farli scomparire entro 100 secondi dalla loro lettura, ovvero "polverizzarli", come suggerisce il nome stesso dell'app, che in inglese significa "polvere". Oltre a questo tipo di messaggi, puoi inviare "Blast", ovvero messaggi che sono destinati a un gruppo di contatti, ma che vengono letti privatamente. Puoi infine avviare chat di gruppo, note semplicemente come "Group".

Funzionalità di Dust per la sicurezza

  • Criptaggio end-to-end: il modello di criptaggio di Dust è illustrato sul sito Web dell'app, anche se in realtà il codice non è visibile. Puoi inviare messaggi con testo, foto e video criptati, ma l'app non include il supporto per chiamate vocali o videochiamate.
  • Archiviazione non permanente: oltre a non salvare i messaggi in modo permanente sul tuo telefono o sui server aziendali (vengono infatti inviati alla memoria RAM dell'app finché non sono visualizzati dal destinatario), puoi cancellare i tuoi messaggi dai dispositivi di altre persone.
  • Avvisi di screenshot: se qualcuno prova ad acquisire uno screenshot su un telefono Android, il nome della persona che ha inviato il messaggio viene rimosso, eliminando di fatto il contesto dalla conversazione. Apple impedisce alle app di bloccare gli screenshot e pertanto, diversamente da quanto avviene in Android, gli utenti di iPhone ricevono una notifica se qualcuno prova ad acquisire uno screenshot del messaggio inviato.
  • Autocancellazione: i messaggi vengono cancellati automaticamente entro 24 o non appena sono stati letti. Sei libero di scegliere.

Rischi di Dust per la sicurezza

Dust non presenta attualmente rischi significativi per la sicurezza, a parte i potenziali rischi e la mancanza di trasparenza associati al fatto che il codice dell'app non è open source.

4. WhatsApp

Logo dell'app di messaggistica WhatsApp

Con oltre un miliardo di utenti, WhatsApp è una delle app di messaggistica più diffuse del momento. La popolarità dell'app è decisamente uno dei suoi punti di forza, insieme al fatto che è disponibile gratuitamente su iPhone e Android e non mostra annunci pubblicitari. Con questa app puoi inviare con facilità messaggi di testo, foto, brevi videomessaggi e messaggi vocali. Ma le chat di WhatsApp sono davvero private?

Funzionalità di WhatsApp per la sicurezza

  • Criptaggio end-to-end: Nell'aprile 2016, WhatsApp ha implementato un protocollo di criptaggio estremamente sicuro sviluppato da Open Whisper Systems (l'organizzazione che ha sviluppato l'app di messaggistica sicura Signal) per tutte le piattaforme mobile. Grazie a questo protocollo, solo il mittente e il destinatario hanno le chiavi per decriptare i messaggi inviati tramite WhatsApp, che non possono quindi essere aperti e letti da altri. Il criptaggio viene applicato anche alle chiamate vocali e alle videochiamate.
  • Verifica del criptaggio: WhatsApp include anche una schermata di verifica del codice di sicurezza, accessibile dalle informazioni del contatto, che consente di verificare che i messaggi siano criptati end-to-end. Il codice viene presentato nella forma di un codice QR e un numero di 60 cifre.
  • Verifica in due passaggi: questa è una funzionalità facoltativa che puoi usare per aumentare la sicurezza del tuo account impostando un PIN necessario per verificare il tuo numero di telefono su qualsiasi dispositivo.
  • Messaggi non archiviati: l'unico periodo in cui il tuo messaggio rimane archiviato su un server di WhatsApp è quello compreso tra l'invio del mittente e il recapito al destinatario. Se per qualsiasi motivo non può essere recapitato, il messaggio viene eliminato dal server dopo 30 giorni.

Rischi di WhatsApp per la sicurezza

  • Backup non criptati: i messaggi di WhatsApp non possono essere intercettati durante la trasmissione, ma che cosa accade ai backup dei messaggi su iCloud o Google Drive? La buona notizia per gli utenti di iPhone è che WhatsApp ha aggiunto la protezione tramite criptaggio ai backup di iCloud verso la fine del 2016. Nei telefoni Android, tuttavia, i backup dei messaggi su Google Drive non vengono criptati e questo li rende potenzialmente vulnerabili agli hacker, alle autorità pubbliche, che potrebbero legalmente obbligare Google a consegnare i tuoi messaggi, o persino a Google. Ma allora come puoi proteggere la tua privacy su WhatsApp come utente di Android? Per fortuna, puoi disabilitare i backup dei messaggi di WhatsApp su Google Drive.
  • Problemi di privacy di Facebook: WhatsApp è stata acquisita da Facebook nel 2014, dirottando verso l'app di messaggistica i timori sulla reputazione del colosso dei social media in merito alla raccolta invasiva dei dati. Anche se Facebook rassicura gli utenti sulla totale impossibilità di visualizzare i messaggi di WhatsApp criptati, WhatsApp ha annunciato in realtà che i metadati degli utenti verranno condivisi con Facebook per vari scopi tra cui l'invio di pubblicità mirata.

5. Telegram

Logo dell'app di messaggistica Telegram

Con oltre 200 milioni di utenti su iPhone e Android, Telegram ha conosciuto una crescente diffusione dalla data del suo rilascio, nel 2013. L'app è rinomata per la sua funzionalità esclusiva che consente di eseguire chat di gruppo con un massimo di 100.000 membri. Di recente, tuttavia, è stata totalmente bandita in Russia in seguito a una contesa con le autorità russe a cui gli autori dell'app hanno rifiutato di consegnare le chiavi di criptaggio. Telegram ha inoltre assunto una posizione discutibile per il suo stato di app di messaggistica preferita dall'ISIS. Questi episodi hanno aggiunto un altro tassello alla discussione sulle responsabilità delle app di messaggistica per quanto riguarda la necessità di collaborare con le forze dell'ordine rispetto a garantire la massima protezione dei dati degli utenti.

Funzionalità di Telegram per la sicurezza

  • Criptaggio end-to-end: Telegram offre una funzionalità per chat segrete che consente di proteggere i messaggi con criptaggio end-to-end. Tuttavia, questa funzionalità non è attivata per impostazione predefinita e dovrai quindi imparare ad attivarla.
  • Blocco tramite passcode: puoi impostare un codice di quattro cifre per impedire a eventuali intrusi di accedere ai tuoi messaggi, una funzionalità che può essere utile in caso di furto o smarrimento del telefono.
  • Verifica in due passaggi: disponibile nelle impostazioni dell'app, questa verifica ti chiede di specificare un codice SMS e una password (assicurati di sapere che cosa non devi fare quando crei una password) per accedere all'app. Puoi anche configurare un indirizzo email di ripristino nel caso in cui dimentichi la password.
  • Codice open source: chiunque può controllare il codice sorgente, il protocollo e l'API di Telegram per accertarsi che sia tutto a posto.
  • Crack Contest di Telegram: Telegram sfida gli "hacker" a forzare il suo algoritmo di criptaggio e decifrare i messaggi, offrendo un premio di 300.000 dollari a chiunque riesca a farlo.
  • Messaggi con autodistruzione: come molte altre app di messaggistica, Telegram offre anche un timer di autodistruzione (solo per le chat segrete) che elimina i contenuti multimediali e i messaggi di testo privati entro un limite di tempo prestabilito.
  • Disconnessione in remoto: poiché puoi accedere a Telegram contemporaneamente da più dispositivi (Web, PC, tablet, smartphone e così via), l'app ti offre la possibilità di disconnetterti da altre sessioni tramite il menu Impostazioni del dispositivo in uso. In questo modo, in caso di furto o smarrimento del dispositivo, puoi avere la certezza che i tuoi messaggi saranno al sicuro.
  • Autodistruzione dell'account: se rimane inattivo per un determinato periodo di tempo (il periodo predefinito è sei mesi), il tuo account viene distrutto automaticamente e tutti i messaggi e i contenuti multimediali vengono cancellati in modo definitivo.

Rischi di Telegram per la sicurezza

  • Criptaggio end-to-end non predefinito: devi abilitare la funzionalità di Telegram per le chat segrete manualmente, altrimenti le chat vengono criptate solo tra il dispositivo e il server di Telegram.
  • Registrazione dei dati delle chat: se non abiliti la funzionalità per le chat segrete, i dati delle tue chat vengono salvati sui server di Telegram. A detta della società, questo è utile in caso di smarrimento del dispositivo quando si vogliono recuperare i messaggi, ma dal punto di vista della sicurezza è una cosa decisamente da evitare.
  • Possibile difetto nella tecnologia di criptaggio: Telegram ha creato uno specifico protocollo di criptaggio, MTProto, anziché usare uno di quelli con sicurezza comprovata, come Signal. Numerosi esperti hanno messo in discussione la logica di questa scelta, esprimendo scetticismo riguardo alla mancanza di trasparenza che circonda questo protocollo.

6. Apple iMessage

Logo dell'app iMessage

iMessage, il servizio di messaggistica istantanea sviluppato da Apple Inc., è supportato dall'applicazione Messenger in iOS versione 5.0 e successive. Grazie alla possibilità di inviare testo, documenti, video, foto, informazioni di contatto e messaggi di gruppo attraverso Internet, iMessage è molto diffuso tra gli utenti di iPhone (che possono usarlo solo tra di loro). Abbiamo già presentato vari suggerimenti su come tenere al sicuro il tuo iPhone, ma iMessage è veramente sicuro?

Funzionalità di iMessage per la sicurezza

  • Criptaggio end-to-end: il criptaggio end-to-end di iMessage protegge solo i messaggi che si scambiano gli utenti di iPhone (visualizzati in blu). Se ad esempio invii un messaggio a un utente di Android, questo viene inviato come testo normale (in verde) senza criptaggio. Diversamente da molte altre app presentate in questo elenco, sembra che Apple non abbia intenzione di rilasciare una versione di iMessage per Android. Anche se iMessage non consente di effettuare videochiamate o chiamate vocali, queste sono supportate dalla sua app gemella, FaceTime (con protezione criptata).
  • Messaggi con autodistruzione: molti utenti di iMessage non sono consapevoli della funzionalità disponibile nell'app per controllare il tempo in cui ogni foto, video o messaggio sarà visibile prima di essere eliminato. Puoi anche specificare il numero di volte per cui il messaggio può essere visualizzato. La funzionalità è tuttavia disponibile solo in iOS 10 e versioni successive.
  • Messaggi eliminati dai server: i messaggi criptati rimangono archiviati nei server di Apple per sette giorni prima di essere eliminati.

Rischi di iMessage per la sicurezza

  • Punti vulnerabili del criptaggio: nel 2016, alcuni ricercatori della Johns Hopkins University hanno rivelato un difetto nell'implementazione della tecnologia di criptaggio di Apple che avrebbe potuto esporre iMessage al rischio di decriptaggio dei messaggi. Anche se il difetto è stato rapidamente corretto, ha comunque sollevato dubbi riguardo al livello di sicurezza del protocollo di criptaggio dell'app, che è closed source e non può essere controllato da terze parti.
  • Backup in iCloud: se esegui il backup dei messaggi di iMessage in iCloud, questi vengono criptati in iCloud tramite una chiave controllata dalla società e non da te. Ciò significa che, se i tuoi messaggi in iCloud subiscono un attacco informatico o vengono richiesti da un'autorità giudiziaria, è possibile che vengano divulgati. E se da un lato Apple ha dichiarato con fermezza di non aver creato "back door" nel proprio sistema né di aver indebolito la tecnologia di criptaggio, dall'altro sia Apple che altre società del settore tecnologico hanno precedenti di collaborazione con le autorità per quanto riguarda la divulgazione di informazioni archiviate nel cloud.

7. Facebook Messenger

Logo dell'app Facebook Messenger

L'app di messaggistica di Facebook è disponibile per telefoni iPhone e Android e offre una comoda soluzione per rimanere in contatto con amici e parenti grazie alla sua indiscussa popolarità.

Funzionalità di Facebook Messenger per la sicurezza

  • Criptaggio end-to-end: Nel 2016, Facebook ha aggiunto la funzionalità Conversazioni segrete per proteggere i messaggi con il protocollo di criptaggio end-to-end di Signal (usato anche da WhatsApp). Tuttavia, in Signal e WhatsApp il criptaggio end-to-end è abilitato per impostazione predefinita, mentre la funzionalità Conversazioni segrete deve essere attivata.
  • Messaggi con autodistruzione: puoi impostare i messaggi di Facebook Messenger in modo che vengano cancellati automaticamente dopo un determinato periodo di tempo (compreso tra cinque secondi e 24 ore).

Rischi di Facebook Messenger per la sicurezza

  • Criptaggio non predefinito: come già indicato, il criptaggio end-to-end per i messaggi deve essere attivato dall'utente. Ciò significa che i messaggi inviati senza questa funzionalità vengono criptati solo per l'invio al server di Facebook e quindi una seconda volta per l'invio al destinatario (mentre il criptaggio end-to-end avviene direttamente tra il mittente e il destinatario). Ciò significa che sui server di Facebook rimane archiviata una copia dei messaggi.

App da evitare: Google Hangouts

Logo dell'app di messaggistica Google Hangouts

Anche se disponibile gratuitamente su iOS e Android, Google Hangouts suscita diversi dubbi in materia di privacy e sicurezza. Anche se le conversazioni di Hangouts vengono criptate, non viene utilizzato il criptaggio end-to-end, ma un criptaggio dei messaggi "in transito". In altre parole, i messaggi vengono criptati solo durante il passaggio dal dispositivo ai server di Google. Una volta salvati su un server, Google può accedervi liberamente. Se richiesto, Google è in grado di accedere alle sessioni di comunicazione private e inoltrare tali informazioni alle autorità pubbliche. E alla luce delle rivelazioni del Rapporto sulla trasparenza di Google, secondo le quali la società riceve e spesso soddisfa richieste di informazioni sui clienti, questo fatto è veramente preoccupante.

Inoltre, le immagini inviate con Hangouts vengono condivise tramite URL pubblici. Ciò significa che in teoria chiunque (con un minimo di conoscenza degli URL) può visualizzare le immagini private degli utenti. È quindi un'app decisamente da evitare per inviare foto riservate...

Che cosa fare per restare protetti?

Il diritto alla privacy online di ogni individuo è fondamentale, ma talvolta serve uno spirito proattivo per proteggere tale diritto da quanti vorrebbero accedervi in modo incondizionato. In un mondo ideale, useremmo tutti app di messaggistica super sicure, come Signal o Wickr, per comunicare. Tuttavia, considerata l'ampia diffusione di app meno sicure o discutibili in fatto di privacy, come Facebook Messenger o WhatsApp, talvolta è più conveniente optare per una via di mezzo.

Se scegli di usare un'app di messaggistica meno sicura, abbinala a una soluzione di protezione tramite VPN, ad esempio AVG Secure VPN, per tenere le tue informazioni il più possibile al sicuro.

Provare AVG Secure VPN gratuitamente

 

AVG Secure VPN Provalo GRATIS