In risposta alle accuse fatte in merito alla sicurezza della nota app di messaggistica dal capo di Wired e WhatsApp Will Cathcart, è giunta una risposta dalla portavoce di Telegram Remi Vaughn.
Vaughn sostiene che Cathcart è stato fuorviato dall’articolo pubblicato da Wired poiché contiene diverse inesattezze e la redazione ha ignorato i commenti e le risposte di Telegram.
Puoi scoprire un elenco dei nove errori commessi da Telegram nell’articolo di Wired su telegra.ph (uno strumento di pubblicazione minimalista di Telegram). “Questo elenco è in fase di ampliamento”, termina il messaggio.
L’affermazione sul monitoraggio della posizione nell’articolo Wired è affrontata in questo post. Secondo Telegram, solo lo 0,01% degli utenti ha reso pubblica la propria posizione, il che è necessario affinché sia possibile il rilevamento della posizione.
Il protocollo End to End di Telegram messo in discussione da Whatsapp
Vaughn sostiene che Cathcart si sbaglia quando afferma che il protocollo End To End Encryption (E2EE) utilizzato da Telegram non è stato testato in modo indipendente per quanto riguarda la segretezza dei colloqui nascosti. Il protocollo MTProto 2.0 utilizzato da Telegram per proteggere le sue chat è stato confermato da un team dell’Università di Udine in Italia.
Tieni presente che si tratta di una verifica del protocollo piuttosto che di un’implementazione specifica. Tuttavia, l’app Telegram utilizza build ripetibili ed è open source a partire dalla versione 5.13. Le build riproducibili consentono di compilare il codice sorgente pubblicamente accessibile e confermare che il codice macchina prodotto corrisponda al codice macchina pubblicato sul sito Web di Telegram, Google Play Store e Apple App Store. Sebbene il team di Udine abbia confermato anche il protocollo MTProto 2.0 in presenza di server malevoli, i server di Telegram non sono open source.
Le evidenze riportate
Evidenziano un problema che potrebbe compromettere la sicurezza delle chat segrete: è fondamentale che l’utente verifichi l’impronta digitale delle chiavi di autenticazione su un canale esterno sicuro prima di iniziare una conversazione segreta. Altrimenti potrebbero verificarsi aggressioni man-in-the-middle (ad esempio una terza parte che intercetta e forse anche altera i messaggi). I ricercatori sottolineano che un errore utente simile può verificarsi durante l’utilizzo dell’app Signal.
Serve cioè stabilire una conversazione privata e controllare la chiave crittografica. Questo per stabilire una conversazione privata e controllare la chiave di crittografia. Pertanto, se utilizzi una delle due app, assicurati di controllare accuratamente l’impronta digitale. Fino a quando non lo fai, una conversazione segreta non è effettivamente nascosta. Non puoi di conseguenza utilizzare la stessa o un’altra chat non sicura per assicurarti che l’impronta digitale corrisponda.