Telegram, la famosa app “open source” che costituirebbe l’anti-WhatsApp per eccellenza, ha qualche problema di sicurezza e non solo.
Telegramnon è così sicuro come dicono.
In effetti l’ho sospettato fin da subito: non è stato usato il ben noto e sicuro protocollo TLS, ma, per “risparmiare la batteria del cellulare” e per “richiedere meno tempo per cifrare sui dispositivi più obsoleti”, gli sviluppatori di Telegram hanno deciso di crearsi un protocollo tutto loro (mi ricorda qualcuno… amico caro…). Questo protocollo chiamato MTProto, utilizza algoritmi più leggeri del TLS pur garantendo, secondo gli sviluppatori di Telegram, la più totale e assoluta sicurezza.
A priori direi che non si può guardare alla batteria o al “ci mette mezzo secondo per cifrare il messaggio” se si parla di sicurezza. In più loro pretendono di aver creato un super protocollo in due giorni, dal nulla quando il TLS è stato sviluppato in decenni a partire dalle ceneri del protocollo SSL. I server di Telegram non sono software libero, e, guarda caso, è stata scoperta una falla nelle chat segrete che consente al server di effettuare un MITM. E questa sarebbe una Chat segreta?
Mettiamo a paragone Telegram e XMPP(Jabber).
XMPP(Jabber) | Telegram |
rete federata | rete distribuita e centralizzata |
molte implementazioni di server liberi | server proprietari |
molti client liberi tra cui scegliere | pochi client liberi tra cui scegliere |
elevati standard industriali di sicurezza (TLS) | protocollo di dubbia efficacia |
crittografia end to end con OTR | crittografia end to end tramite "chat segrete" |
Perfect Forward Secrecy | PFS se si elimina la chat segreta e la si ricrea |