Signal non è sicuro, nuova caduta di stile del fondatore di Telegram

Pavel Durov, fondatore dell’apprezzata app di messaggistica istantanea Telegram non è andato per il sottile e ha pesantemente criticato una delle principali soluzioni rivali. Signal non è sicuro: è questa la posizione dell’imprenditore che mette alla gogna l’applicazione più volte sostenuta, in passato, da Edward Snowden e addirittura dalla Commissione Europea.

Eppure Durov ci va pesante e con un post al vetriolo spara a zero su Signal, dopo aver ripetutamente preso di mira – in passato – WhatsApp e i suoi responsabili.

La tesi Pavel Durov: Signal non è sicuro e va abbandonato subito

L’ideatore di Telegram solleva una serie di preoccupazioni riguardo Signal, partendo dal presupposto che i vertici del progetto sarebbero attivisti utilizzati dal Dipartimento di Stato USA per influenzare cambiamenti di regime all’estero. Durov afferma che il governo statunitense avrebbe investito 3 milioni di dollari nello sviluppo della soluzione crittografica alla base di Signal. La stessa tecnologia è ora implementata in numerose altre piattaforme di messaggistica, inclusi WhatsApp, Facebook Messenger, Google Messaggi e persino Skype.

Durov mette in luce anche il fatto che diversi personaggi di spicco hanno dichiarato che i loro “messaggi privati” su Signal sono stati utilizzati contro di loro nei tribunali o dai media d’Oltreoceano.

Quando vengono sollevati dubbi sull’effettivo livello di sicurezza assicurato dalla crittografia di Signal, i responsabili del progetto osservano che il loro codice è open source e può essere verificato da chiunque. Tuttavia, Durov sostiene che si tratti di una “tattica ingannevole”, poiché Signal non consente ai ricercatori di verificare che il codice pubblicato su GitHub sia effettivamente lo stesso usato per generare l’app Signal installabile sui dispositivi degli utenti iOS. Inoltre, Signal ha rifiutato di aggiungere la possibilità di creare build riproducibili per iOS, rispondendo picche a una richiesta proveniente dalla comunità.

Contrariamente a Signal, Durov sottolinea il fatto che Telegram consente agli utenti di verificare che tutte le sue app utilizzino lo stesso codice open source pubblicato su GitHub. E sostiene che, negli ultimi dieci anni, le chat segrete di Telegram sono rimaste l’unico metodo di comunicazione che può essere considerato effettivamente privato.

Pericolosa disinformazione: le affermazioni di Durov fortemente contestate

Tutto è cominciato con la pubblicazione di un articolo rilanciato da Jack Dorsey, recentemente “licenziatosi” da BlueSky, e da Elon Musk. Dorsey si limita a scrivere che non era al corrente di quanto contestato a Signal mentre Musk commenta semplicemente che si tratta di affermazioni inquietanti.

Signal ha risposto alle esternazioni di Durov definendole un esempio di “pericolosa disinformazione“, finalizzata a confondere le persone sulla sicurezza e la privacy offerte dal servizio, con l’obiettivo di indirizzarle verso piattaforme più esposte ad attività di sorveglianza.

La presidente di Signal, Meredith Whittaker, ha criticato a sua volta Telegram, definendo la piattaforma di messaggistica come “notoriamente insicura” e sottolineando la presunta collaborazione con i governi, a dispetto delle affermazioni pubbliche rispetto alla privacy e alla libertà di parola.

Secondo il crittografo Matthew Green, è Telegram a non essere sicuro per impostazione predefinita. Non certo Signal

Esperti di crittografia come il professor Matthew Green, docente presso la Johns Hopkins e vero “peso massimo” del settore, rincarano la dose sostenendo che le misure di cifratura utilizzate da Signal sono un punto di riferimento sicuro. Non solo. La soluzione crittografica di Signal è continuamente oggetto di analisi e verifica da parte della comunità di ricerca.

Secondo Green, la campagna avviata da Durov nei confronti di Signal non avrebbe fondamento e sarebbe mirata a far fuggire tanti attivisti dall’applicazione per indurli a sbarcare su Telegram, app per larga parte non protetta dalla crittografia.

“Telegram non abilita la crittografia end-to-end per impostazione predefinita. A meno che non si attivi manualmente una chat segreta, tutti i dati sono visibili sui server di Telegram“, osserva ancora il crittografo. “Quello che Durov sta facendo è promuovere, per la vostro auto, il ketchup come migliore dell’olio motore sintetico. Telegram non è un sistema di messaggistica sicuro, punto. E ciò per scelta di Durov“.

Build riproducibili a partire dal codice sorgente: fumo negli occhi nel caso di Telegram

Rispetto al tema delle build riproducibili (verificare che il codice open source permetta di ottenere lo stesso binario disponibile sulle varie piattaforme), Green sottolinea che Signal offre questa possibilità per i terminali Android. Su iOS la cosa è ben diversa e ha a che fare con le policy di Apple, alle quali non è possibile contravvenire.

Green ricorda che Telegram ha seguito una “scorciatoia” su iOS sostenendo che per verificare le build e quindi il codice sorgente a partire dal quale è generata la versione del client di messaggistica per i dispositivi Apple, è necessario un iPhone sottoposto a jailbreaking. Insomma, non è una cosa da tutti. Inoltre, non è comunque possibile verificare le app integralmente: alcuni file restano infatti crittografati. E conclude con una frase esplosiva: “se utilizzate Telegram, noi esperti non possiamo garantire che le vostre comunicazioni restino private. A questo punto, infatti, presuppongo che non lo siano, nemmeno attivando la modalità di chat segreta“.