Pillole

Pillole di informazione digitale

Segnalazioni di articoli su diritti digitali, software libero, open data, didattica, tecno-controllo, privacy, big data, AI, Machine learning...

App di messaggistica: qual'è più rispettosa della privacy

Secondo la valutazione della privacy policy e dei termini di servizio svolta da PrivacySpy e ToS;DR, Telegram è messo meglio, non peggio, di Signal, WhatsApp, Element (istanza ufficiale) e altri.

PrivacySpy: Telegram 8.8, Signal 8, Element 7.2, WhatsApp 4.7
ToS;DR: Element B, Signal B, Telegram B, WhatsApp C

Penso che siamo tutti d'accordo in teoria: Telegram è peggiore degli altri in quanto ha la crittografia e2e solo nelle chat 1:1 e non di default ed il server closed source, con client e protocollo aperti e build riproducibili. In pratica, bisogna considerare come funzionano i protocolli e le implementazioni.

WhatsApp è closed source con binari offuscati e nessuno è in grado di verificare cosa faccia effettivamente l'applicazione. La fiducia richiesta in meta è massima.

Signal, considerato da molti il miglior protocollo per le applicazioni di comunicazione, ha alcuni problemi abbastanza gravi:

  1. TOFU: richiede di verificare su un canale sicuro la chiave di crittografia di ogni dispositivo di ogni utente (impossibile nei gruppi con N grande) anche in caso di reinstallazione del client per escludere attacchi MiTM (https://t.me/monitoraPA/57343) (problema presente anche su WhatsApp, Telegram chat segrete e altri).
  2. Tecnologia SVR e server su AWS: per salvare i dati in cloud si basa sulla tecnologia fallata intel SGX (https://signal.org/blog/the-ecosystem-is-moving/). I server sono su AWS IaaS gestito da Amazon che può accedere ai dati sfruttando tali falle. Per fortuna al momento il backup riguarda solo le impostazioni e il grafo dei contatti.
  3. Assenza username: richiede di dare un identificativo personale come il numero di telefono anche per comunicare, non solo per iscriversi.
  4. Server semi open source: non c'è modo di verificare che la versione presente su github sia la stessa in esecuzione. Inoltre, possiamo considerarlo semi open source in quanto per lunghi periodo non ha aggiornato il repository (per non mostrare il codice legato a mobile Coin).
  5. Niente federazione: non supporta la federazione e contrasta l'utilizzo di client di terze parti, per questo niente versioni su f-droid (https://github.com/signalapp/Signal-Android/issues/127).
  6. Finanziato dal governo USA alla pari di Google e altri.
  7. Quindi anche Signal richiede un elevato livello di fiducia, nonostante sia completamente open source e con crittografia e2e. Personalmente se mi devo fidare cosi tanto, visti gli svantaggi dell'assenza di username, backup delle chat e applicazioni di terze parti, preferisco Telegram.

La migliore alternativa per le applicazioni di messaggistica è Element/Matrix poiché è completamente open source ed e2ee, ma soprattutto federato e quindi favorisce la decentralizzazione del sistema distribuendo il potere nelle mani degli utenti. Inoltre, supporta il cross-signing che risolve il problema TOFU e il backup delle chat in modo abbastanza intuitivo.
C'è un progetto di matrix per renderlo p2p ovvero privo di qualunque server e fiducia in terze parti.
Anche qui occorre fare attenzione a non utilizzare l'istanza ufficiale di Element che non è buona dal punto di vista della privacy e della raccolta dei dati personali. Alcuni difetti di Element/matrix sono i client PC basati su electron che consumano molte risorse CPU/memoria e il maggior consumo di traffico dati oltre all'assenza di una videoconferenza integrata attualmente basata su jitsi (questo dovrebbe essere risolto a breve).

Ringrazio Emilia che ha scritto nel canale Telegram/Matrix di Monitora-Pa questo breve riassunto della situazione delle principali app di messaggistica cosidetta istantanea.

Instant messaging Privacy telegram whatsapp Signal matrix
Una app per domarti, una app per trovarti...

WeChat è l'applicazione che definire di messaggistica è un eufemismo, poco conosciuta da queste parti ma usatissima in Cina.

La puntata di Le Dita Nella Presa del 6 febbraio ne segue la storia dalla nascita per cercare di capire come ha potuto diventare quello che è: un sistema omnicomprensivo che include le funzionalità di messaggistica, social network, e-commerce, dating, pagamenti online, portale della Pubblica Amministrazione, e molto altro. Senza farsi mancare funzionalità di sorveglianza e censura (anche automatica).

Ascolta la trasmissione sul sito di Radio Onda Rossa

privacy LDNP Le Dita Nella Presa Instant messaging wechat censura Cina
Più mi scrivi meno ti leggo: riflessioni sulla messaggistica istantanea

Quali sono le relazioni che stabiliamo attraverso le App di messagistica instantanea? Come lo strumento ci induce a preferire dei comportamenti piuttosto che altri? E perche? Abbiamo esplorato le caratteristiche di questi strumenti e delle interazioni che si stabiliscono tra esseri umani ed esseri macchinici quando inviamo dei messaggi istantanei; perché scriviamo molti messaggi? Che effetto ha su di noi questa enorme produzione di messaggi?

In parte, questo è dovuto alla tecnologia dell'instant messaging in sé; in parte questo è alimentato con tecniche inserite negli strumenti da chi li ha progettati, tecniche finalizzate a farci produrre sempre più dati, in un'epoca dove i dati sono il nuovo petrolio. Ma non è tutto nero quello che appiccica e in chiusura proponiamo delle tecniche di autodifesa che ripartendo dall'idea di relazioni conviviali e consapevoli ci permettono di usare questi strumenti senza essere posseduti dai loro demoni!

Ascolta sul sito di Radio Onda Rossa

Ascolta direttamente

Le Dita Nella Presa Instant messaging whatsapp telegram nudging