Per Pavel Durov.
[Pavel Durov és el creador i propietari de Telegram. L’article original d’aquesta traducció el trobareu aquí]
Fa uns quants mesos que vaig escriure sobre una vulnerabilitat de WhatsApp que permetia als pirates accedir a tota la informació de qualsevol telèfon que utilitzés aquesta aplicació. Facebook, la companyia propietària de WhatsApp, va argumentar llavors que no tenien proves que aquesta vulnerabilitat hagués estat mai utilitzada per cap pirata.
La setmana passada va quedar clar que aquesta vulnerabilitat havia estat utilitzada per a extreure comunicacions i fotografies privades de Jeff Bezzos [el fundador d’Amazon] -la persona més rica del planeta- que desafortunadament utilitzava WhatsApp. Ja que sembla que aquest atac tenia el seu origen en un govern estranger, molt probablement altres caps de negocis i líders de governs hagin estat víctimes del mateix.
Al meu article de novembre, vaig preveure que això passaria. Les Nacions Unides ara recomanen als seus oficials que eliminin WhatsApp dels seus dispositius, mentre que gent propera a Donalt Trump han rebut el consell de canviar els seus telèfons.
Donada la gravetat de la situació, seria d’esperar que Facebook/WhatsApp demanessin disculpes i es comprometessin a no plantar “backdoors” a les seves aplicacions d’ara en endavant. En canvi, van dir que la culpa era d’Apple i no de WhatsApp. El vicepresident de Facebook va dir que fou iOS i no WhatsApp el que havia estat atacat.
Si seguiu el meu blog, sabreu que no sóc precisament un fan d’Apple. Els dispositius iOS tenen multitud de problemes relacionats amb la privacitat. Però aquest no era un d’ells, per dos motius:
- La vulnerabilitat de WhatsApp de “vídeo corromput” no només era present a qualsevol dispositiu amb iOS, sinó també als que fan anar Android i fins i tot als que utilitzen Windows Phone. Això vol dir que era present a tots els dispositius amb WhatsApp instal·lat.
- Aquesta falta de seguretat no era present a cap altra aplicació de missatgeria instantània en sistemes iOS. Si Jeff Bezos hagués utilitzat Telegram en lloc de WhatsApp, no hauria estat víctima de xantatge per part dels qui van comprometre les seves comunicacions.
Conseqüentment, el problema no era específic d’iOS, sinó de WhatsApp.
A les seves campanyes de màrqueting, WhatsApp utilitza les paraules “encriptació de principi a fi” com si fos una cosa màgica que se suposa que fa totes les comunicacions automàticament segures. Per contra, aquesta tecnologia no és una bala de plata que us pot garantir privacitat absoluta per si sola.
Telegram va desplegar l’encriptació de principi a fi per a comunicacions de masses fa anys. WhatsApp el va seguir, i hem sigut conscients no només de les fortaleses d’aquesta tecnologia, sinó tambe de les seves limitacions. Altres característiques de les aplicacions de missatgeria poden fer que l’encriptació de principi a fi sigui inútil. A continuació hi ha tres exemples de què pot anar malament.
Primer, hi ha les còpies de seguretat. Els usuaris no volen perdre les seves converses quan canvien de dispositiu, i per tant en fan còpia de seguretat a serveis com iCloud -sovint sense ser conscients que les seves còpies de seguretat no estan encriptades. El fet que Apple fos obligada per l’FBI a abandonar els seus plans d’encriptació per a iCloud ja ho diu tot. Aquest és un dels motius pels quals Telegram mai utilitza serveis de tercers per a còpies de seguretat, i els xats secrets mai no es guarden enlloc.
Segon, hi ha les “backdoors” [portes del darrera]. Les agències de seguretat no estan massa contentes amb l’encriptació, i obliguen els desenvolupadors a incorporar secretament vulnerabilitats a les seves aplicacions. Ho sé perquè alguns d’ells m’ho han proposat – i he rebutjat cooperar-hi. Com a resultat, Telegram està bloquejat a alguns països on WhatsApp no té cap problema amb les autoritats, sospitosament Rússia i Iran.
Les “backdoors” són habitualment camuflades com errades de seguretat “accidentals”. Només durant el darrer any, a WhatsApp s’hi han trobat 12 d’aquestes “errades”, set de les quals eren crítiques -com la que va servir per a robar la informació de Jeff Bezzos. Alguns us diran que WhatsApp encara és “molt segur” tot i haver vist com 7 “backdoors” eren descobertes durant els darrers 12 mesos, però això és estadísticament improbable. Telegram, una aplicació utilitzada per centenars de milions de persones, incloent caps d’estat i propietaris de grans empreses, no ha tingut problemes d’aquesta severitat durant els darrers 6 anys.
Tercer, hi ha deficiències a la implementació de l’encriptat. Com pot ningú estar segur que l’encriptació que WhatsApp diu que té és la que realment està implementada a les seves aplicacions? El seu codi font està amagat, i els binaris de l’aplicació estan ofuscats, cosa que fa difícil analitzar-los. Per l’altra banda, les aplicacions de Telegram són de codi obert i la seva encriptació completament documentada des del 2013. Telegram utilitza una arquitectura verificable tant per iOS com per Android, la qual cosa significa que qualsevol pot comprovar que el codi font a GitHub i el de l’aplicació de Telegram que es descarrega són la mateixa cosa. No hi ha cap altra aplicació de missatgeria que faci això per als dos sistemes operatius de dispositius mòbils, i algú es podria començar a preguntar per què.
No us deixeu enganyar per l’equivalent a màgics de circ en tecnologia que pretenen que centreu la vostra atenció en un aspecte únic mentre fan els seus trucs a qualsevol altre lloc. Volen que penseu en l’encriptació de principi a fi com l’única cosa en què us heu de fixar per la vostra privacitat. La realitat és molt més complicada.
Alguns podrien dir que jo, com a fundador d’una aplicació rival puc ser parcial quan critico WhatsApp. Per descomptat que ho sóc. Per descomptat que considero els xats secrets de Telegram molt més segurs que qualsevol altre mitjà de missatgeria de la competència. Per què, si no, estaria desenvolupant i utilitzant Telegram?
De totes maneres, les afirmacions d’aquest article es basen en fets, no en preferències personals. I, igual que el codi de les aplicacions de Telegram, aquests fets són verificables i demostrables pels recursos de tercera part que se citen [vegeu l’article original per a les cites]. Quan es tracta de seguretat, ningú no hauria d’agafar la paraula de ningú com a garantida.
