Nel suo memo del marzo 2019 (A privacy-focused vision) Mark Zuckerberg aveva promesso che i messaggi scambiati tramite i vari tools di messaggistica di Facebook (incluso dunque Whatsapp) sarebbero stati end-to-end encrypted, senza la possibilità da parte del network di conoscerne il contenuto. Ma un’approfondita analisi di ProPublica svela quello che era già sotto il naso di tutti: non è affatto vero.
ProPublica
ProPublica è un ente no-profit dedicato al giornalismo investigativo e vincitore di numerosi premi Pulitzer. E’ questa organizzazione ad aver pubblicato il report da cui abbiamo preso spunto per l’articolo.
End to End Encryption
L’idea della crittografia end-to-end è basata sul sistema delle coppie di chiavi: se A deve parlare con B, il primo può utilizzare la sua chiave privata (che conosce solo A) per crittografare un messaggio che sarà decifrabile da chiunque (incluso B) grazie alla chiave pubblica. Che senso ha? Semplice: in questo modo B è sicuro che il messaggio sia stato inviato proprio da A.
Ma se le chiavi sono usate all’inverso – A usa la chiave pubblica di B – ecco che allora solo B potrà decifrare il messaggio, in quanto per farlo è necessaria la chiave privata di B stesso.
Pubblicità
Incrocio di chiavi
Risulta ovvio che scambiandosi le rispettive chiavi pubbliche alla prima sessione ed utilizzandole per le successive conversazioni A e B possono creare uno scambio di informazioni decifrabile solo da loro stessi.
Cos’è una chiave?
Ma cos’e una chiave? La chiave pubblica è semplicemente il prodotto di due numeri primi molto grandi, mentre la privata è composta dai i numeri primi iniziali. Il tutto funziona perché non esiste modo semplice (che non sia la forza bruta, altresì detta andare per tentativi ) per fattorizzare un numero.
Divisori
Ad esempio, 221 è il prodotto di due numeri primi (come conferma Alexa), ma per trovarli occorre provare i vari possibili divisori (come conferma Wolfram Alpha). Ebbene, se i numeri primi sono abbastanza grandi il tempo per eseguire questo attacco a tentativi rende l’operazione nei fatti non eseguibile.
Qualcosa non quadra
Se esiste un lavoro per i moderatori vuol dire che qualcosa non quadra. I segni li avevamo sotto il naso: nel giugno 2021 The Verge aveva pubblicato un articolo in cui i moderatori di WhatsApp di lingua spagnola denunciavano una retribuzione inferiore a quella di alti moderatori (presumibilmente non ispanici).
Pubblicità
Content Moderator?
Tutti presi dalle nostre preoccupazioni politically correct non ci eravamo accorti di un piccolo particolare: come era possibile che esistesserero dei content moderator, visto che i contenuti non erano visibili che agli utenti?
Pubblicità
Come nascondere un fatto in piena vista
Ebbene, ProPublica ha scoperto che Accenture (la firm incaricata da Facebook di questa funzione di controllo) dispone di oltre 1000 di questi moderatori (in tre location: Austin, Dublino e Singapore).
Pubblicità
L’ammissione
A seguito della scoperta, Il direttore della comunicazione di WhatsApp, Carl Woog ha ammesso l’esistenza di questi gruppi, nati – afferma – allo scopo di identificare e rimuovere crimini e abusi.
Pubblicità
Dati e Metadati
Secondo ProPublica questo controllo funziona come segue: quando un utente riceve un messaggio che ritiene abusivo, questo ha la possibilità di segnalarlo a WhatApp. In questo caso gli ultimi cinque messaggi della conversazione sono inviati – in chiaro – al gruppo di moderatori per il controllo.
Pubblicità
So far so good
Sembrerebbe accettabile, i messaggi in chiaro sono pochi e visibili solo a seguito di un’azione specifica di uno dei due interlocutori. Ma la frase successiva del report è piu’ preoccupante: algoritmi di Intelligenza Artificiale scansionano in continuazione la miriade di dati non crittografati relativi ad ogni conversazione. Numeri di telefono, foto di profilo, messaggi di stato, location del telefono, livello di carica della batteria (quest’ultima una fissazione ultimamente) ed effettuano un controllo incrociato con i dati pubblici di Facebook e Instagram.
Pubblicità
Metadati
Si tratta di metadati, non del contenuto dei messaggi: ma è il caso di ricordare una famosa affermazione di Stewart Baker, general counsel dell’NSA (ripresa da, o forse rubata a Edward Snowden), che citiamo in originale:
“Metadata absolutely tells you everything about somebody’s life. If you have enough metadata, you don’t really need content”.
Pubblicità
Term of Service
Quanti metadati mantiene WhatsApp (pardon, Facebook) relativamente alle nostre chat? Difficile saperlo: l’informazione è nascosta nell’intreccio di frasi in legalese che compongono le famose condizioni di servizio che tutti accettiamo senza leggere.
Il caso Apple
Concludiamo con una nota positiva: non lo avevamo scritto, ma lo avrete intuito. Uno dei motivi con cui Facebook giustifica l’esistenza di questi controlli è il consueto: la lotta alla pedofilia. La stessa scusa adottata da Apple per motivare la scansione (addirittura direttamente sugli iPhone degli stessi clienti) delle comunicazioni tramite iMessage (un concorrente di WhatsApp). Ma – almeno in quest’ultimo caso – l’azienda fondata dai due Steve ha dovuto fare marcia indietro. Per il momento. (M.H.B per NL)
