Abbiamo visto nei giorni scorsi che è stata trovata una vulnerabilità in Whatsapp sfruttata da un’azienda israeliana per installare spyware su smartphone Android e iOS. Pavel Durov, fondatore di Telegram, non ha perso l’occasione per scagliarsi contro la piattaforma di messaggistica americana, rea a suo dire di essere molto insicura e mettere a repentaglio la privacy dei suoi utenti. Se volete saperne di più, potete leggere qui cosa ne abbiamo scritto.Purtroppo per Durov, però, anche la sua piattaforma è tutt’altro che una perla per quello che riguarda sicurezza e privacy.

Evan Sultanik, professore aggiunto della Drexel University di Filadelfia, si è infatti dilungato in una serie di post su Twitter per ricordare a tutti che se Whatsapp non è una garanzia di privacy, le cose in Telegram sono anche peggiori. «Telegram non è la soluzione – si legge all’inizio della sfilza di post su Twitter – Non lasciate che i vostri amici usino Telegram». L’affermazione è un po’ forte, dal momento che non tutti usano le chat per parlare di segreti di stato, ma le sue argomentazioni sono robuste.

«Telegram non usa la crittografia end to end nelle chat di gruppo ed è disabilitata di default nelle chat tra due persone. Chiunque abbia permessi da amministratore su di un server Telegram può leggere tutti i vostri messaggi» – scrive Sultanik. Inoltre: «Telegram usa un protocollo di messaggistica proprietario, non sviluppato da (esperti) crittografi. Parte del protocollo è basato su SHA-1, (un algoritmo) che oggi può essere facilmente aggirato». Segue un link al documento che parla delle debolezze dello SHA1. Fa poi notare in un altro messaggio che nel 2016 è stato dimostrato che il fatto che Telegram usi gli SMS come metodo per la doppia autenticazione permette di sfruttare un bug nel protocollo signaling system n.7 (più conosciuto come SS7) per aggirare i controlli e permettere a una terza persona di infiltrarsi nelle chat. Lo stesso problema era valido per Whatsapp, ma quando uno spione si intrometteva nella conversazione il programma avvisava che il telefono dell’interlocutore era cambiato.

Inoltre, un report del 2017, sempre citato da Sultanik nei suoi tweet, parla di tutta una serie di vulnerabilità riscontrate in Telegram sia dipendenti da errori di programmazione, sia dipendenti dall’infrastruttura di comunicazione. Alcune di queste permettevano di capire chi sta parlando con chi anche se tutte le funzioni di sicurezza sono abilitate.Come ciliegina sulla torta, il professore faceva notare che le API per bot Telegram sono insicure e sono state usate per divulgare (e controllare) malware, come riportato in un articolo di Forbes.Ma non è ancora tutto. In fondo al discorso, Sultanik punta il dito su una strana caratteristica di Telegram, che in teoria dovrebbe essere un progetto aperto. «L’app di Telegram” – scrive – ci arriva con il codice offuscato. C’è qualcuno che davvero compila l’app in casa? No, la scaricano tutti dall’app store. Ma il codice che arriva dallo store è uguale a quello che è disponibile pubblicamente? No! La versione pubblica manca di funzioni di caratteristiche rispetto a quella che scarichi dallo store».

Abbiamo chiesto ad Andrea Draghetti, esperto di sicurezza di D3Lab, un parere sulla vicenda e su quali possano essere le alternative, più sicure, rispetto a Telegram e Whatsapp.«Entrambe le applicazioni – dice Draghetti – non sono perfette. Ma Evan, oltre alle tante cose sensate ha inserito anche una imprecisione: Telegram usa ora SHA256 e non SHA1». «Ad oggi – continua – le applicazioni che seguono le indicazioni dei migliori standard di tutela dei dati sono Signal e Threema. Il problema fondamentale è l’usabilità che fa dimenticare all’utente finale come i loro dati vengano trattati. Telegram è una applicazione molto semplice da usare e con tantissime funzionalità (sticker, bot, canali, gruppi, super gruppi, upload di dati pressoché illimitato, etc). Queste caratteristiche hanno portato al suo successo. Signal e Threema, invece, sono meno immediate, non hanno tante funzionalità o caratteristiche estetiche che si trovano in Telegram, ma sicuramente tutelano meglio le conversazioni degli utenti».