Pillole

Pillole di informazione digitale

Segnalazioni di articoli su diritti digitali, software libero, open data, didattica, tecno-controllo, privacy, big data, AI, Machine learning...

Secondo la valutazione della privacy policy e dei termini di servizio svolta da PrivacySpy e ToS;DR, Telegram è messo meglio, non peggio, di Signal, WhatsApp, Element (istanza ufficiale) e altri.

PrivacySpy: Telegram 8.8, Signal 8, Element 7.2, WhatsApp 4.7
ToS;DR: Element B, Signal B, Telegram B, WhatsApp C

Penso che siamo tutti d'accordo in teoria: Telegram è peggiore degli altri in quanto ha la crittografia e2e solo nelle chat 1:1 e non di default ed il server closed source, con client e protocollo aperti e build riproducibili. In pratica, bisogna considerare come funzionano i protocolli e le implementazioni.

WhatsApp è closed source con binari offuscati e nessuno è in grado di verificare cosa faccia effettivamente l'applicazione. La fiducia richiesta in meta è massima.

Signal, considerato da molti il miglior protocollo per le applicazioni di comunicazione, ha alcuni problemi abbastanza gravi:

  1. TOFU: richiede di verificare su un canale sicuro la chiave di crittografia di ogni dispositivo di ogni utente (impossibile nei gruppi con N grande) anche in caso di reinstallazione del client per escludere attacchi MiTM (https://t.me/monitoraPA/57343) (problema presente anche su WhatsApp, Telegram chat segrete e altri).
  2. Tecnologia SVR e server su AWS: per salvare i dati in cloud si basa sulla tecnologia fallata intel SGX (https://signal.org/blog/the-ecosystem-is-moving/). I server sono su AWS IaaS gestito da Amazon che può accedere ai dati sfruttando tali falle. Per fortuna al momento il backup riguarda solo le impostazioni e il grafo dei contatti.
  3. Assenza username: richiede di dare un identificativo personale come il numero di telefono anche per comunicare, non solo per iscriversi.
  4. Server semi open source: non c'è modo di verificare che la versione presente su github sia la stessa in esecuzione. Inoltre, possiamo considerarlo semi open source in quanto per lunghi periodo non ha aggiornato il repository (per non mostrare il codice legato a mobile Coin).
  5. Niente federazione: non supporta la federazione e contrasta l'utilizzo di client di terze parti, per questo niente versioni su f-droid (https://github.com/signalapp/Signal-Android/issues/127).
  6. Finanziato dal governo USA alla pari di Google e altri.
  7. Quindi anche Signal richiede un elevato livello di fiducia, nonostante sia completamente open source e con crittografia e2e. Personalmente se mi devo fidare cosi tanto, visti gli svantaggi dell'assenza di username, backup delle chat e applicazioni di terze parti, preferisco Telegram.

La migliore alternativa per le applicazioni di messaggistica è Element/Matrix poiché è completamente open source ed e2ee, ma soprattutto federato e quindi favorisce la decentralizzazione del sistema distribuendo il potere nelle mani degli utenti. Inoltre, supporta il cross-signing che risolve il problema TOFU e il backup delle chat in modo abbastanza intuitivo.
C'è un progetto di matrix per renderlo p2p ovvero privo di qualunque server e fiducia in terze parti.
Anche qui occorre fare attenzione a non utilizzare l'istanza ufficiale di Element che non è buona dal punto di vista della privacy e della raccolta dei dati personali. Alcuni difetti di Element/matrix sono i client PC basati su electron che consumano molte risorse CPU/memoria e il maggior consumo di traffico dati oltre all'assenza di una videoconferenza integrata attualmente basata su jitsi (questo dovrebbe essere risolto a breve).

Ringrazio Emilia che ha scritto nel canale Telegram/Matrix di Monitora-Pa questo breve riassunto della situazione delle principali app di messaggistica cosidetta istantanea.

Nella trasmissione del 12/02/2023 si parla di applicazioni che non fanno quello che ci si aspetta.

  • Ad esempio Telegram offre molte meno proprietà di sicurezza di quello che lascia spesso intendere. Lo sa bene la polizia russa, che in qualche modo riesce ad accedere a contenuti in teoria riservati. Del resto sono tante le applicazioni di messaggistica che dichiarano di essere super sicure, salvo poi essere puntualmente smentite.
  • Raccontiamo la storia di una vulnerabilità di sicurezza di Facebook: l'impatto di questa vulnerabilità è molto piccolo, perché è stata corretta presto, ma è interessante capire come funzionava.
  • Una nuova causa riguarda il mondo dei siti che permettono di scaricare da youtube, ormai rubrica fissa di questa trasmissione. Questa volta però, i "nostri" sono quelli che denunciano. In particolare Yout.com ha denunciato la RIAA chiedendole di smettere di segnalare il loro sito a Google per ottenerne la rimozione dai risultati di ricerca. Inaspettatamente, viene in aiuto... la Microsoft.
  • Per chiudere, alcune storie di telemetria (nei suoi usi e abusi) e di ChatGPT (vedi sopra).

Ascolta la puntata sul sito di Radio Onda Rossa

Quali sono le relazioni che stabiliamo attraverso le App di messagistica instantanea? Come lo strumento ci induce a preferire dei comportamenti piuttosto che altri? E perche? Abbiamo esplorato le caratteristiche di questi strumenti e delle interazioni che si stabiliscono tra esseri umani ed esseri macchinici quando inviamo dei messaggi istantanei; perché scriviamo molti messaggi? Che effetto ha su di noi questa enorme produzione di messaggi?

In parte, questo è dovuto alla tecnologia dell'instant messaging in sé; in parte questo è alimentato con tecniche inserite negli strumenti da chi li ha progettati, tecniche finalizzate a farci produrre sempre più dati, in un'epoca dove i dati sono il nuovo petrolio. Ma non è tutto nero quello che appiccica e in chiusura proponiamo delle tecniche di autodifesa che ripartendo dall'idea di relazioni conviviali e consapevoli ci permettono di usare questi strumenti senza essere posseduti dai loro demoni!

Ascolta sul sito di Radio Onda Rossa

Ascolta direttamente