Attualmente, WhatsApp su iPhone consente agli utenti di eseguire il backup della cronologia chat su ‘iCloud’, ma i messaggi e i contenuti multimediali di cui gli utenti eseguono il backup non sono protetti dalla crittografia end-to-end di WhatsApp mentre si trovano nei ‘server cloud di Apple’.
Dato che Apple detiene le chiavi di crittografia per ‘iCloud’, un mandato di comparizione di Apple o un attacco non autorizzato di ‘iCloud’ potrebbe potenzialmente consentire l’accesso ai messaggi di WhatsApp archiviati lì. Secondo quanto riferito, Apple è stata sottoposta a pressioni per non aggiungere la crittografia ai backup ‘iCloud’ dopo che l’FBI si è lamentato.
WhatsApp: la funzione è attualmente in lavorazione
L’imminente funzionalità di WhatsApp risolverà tale vulnerabilità di sicurezza consentendo agli utenti di crittografare e proteggere con password la cronologia delle chat prima di caricarla sulla piattaforma basata su cloud di Apple. WhatsApp ha iniziato i primi lavori sulla funzione di sicurezza nel marzo 2020.
L’implementazione renderà sicuri i backup nei server iCloud remoti rendendoli illeggibili senza una chiave di crittografia. I backup crittografati saranno facoltativi e agli utenti verrà chiesto di salvare una chiave di crittografia a 64 bit o di creare una password associata alla chiave.
Quando un utente di WhatsApp crea una password collegata alla chiave di crittografia del proprio account, WhatsApp memorizza la chiave in un modulo di sicurezza hardware fisico (HSM) che funge da cassetta di sicurezza e può essere sbloccato utilizzando la password corretta. WhatsApp sa solo che esiste una chiave in un HSM, non la chiave stessa o la password associata per sbloccarla.
Quando la password viene utilizzata per sbloccare l’HSM, viene rilasciata la chiave di crittografia che quindi decrittografa il backup dell’account sui server Apple. Tuttavia, se viene immessa ripetutamente la password errata, i dati nell’HSM diventano permanentemente inaccessibili.