WhatsApp è diventata la piattaforma di messaggistica dominante, facendo impallidire tutti gli altri contendenti, ad eccezione di Messenger, anch’esso, di Facebook. In tal modo, questa piattaforma ha anche spinto in background la messaggistica SMS classica, che visto i suoi limiti, non è un male. Ma ora l’ultima mossa da Android di Google sarà probabilmente la sfida più ardua per WhatsApp.
Se non hai ancora aggiunto RCS, lo farai presto. Rich Communication Services è una reinvenzione della messaggistica cellulare, una via di mezzo tra l’ecosistema SMS gestito da operatori di rete e piattaforme come WhatsApp e iMessage. L’implementazione RCS su larga scala è stata spinta da Google con iMessage per Android, ma ha sempre avuto un punto debole. Fino ad ora. Forse.
WhatsApp ha reso popolare il passaggio dagli SMS basati su rete ad una piattaforma di messaggistica separata. L’app multipiattaforma ha consentito agli utenti di scambiare dati più ricchi, di inviare messaggi tramite WiFi quando molti utenti pagavano ancora per ogni SMS inviato. Poi sono seguiti i gruppi, chiamate vocali e video e la sua crittografia end-to-end. La messaggistica era stata reinventata.
Un paio di anni dopo WhatsApp, Apple è entrata in gioco con iMessage: il suo ovvio svantaggio, che mittenti e destinatari dovevano usare iPhone, è stato superato dall’integrazione con la piattaforma SMS standard sui telefoni. Se un destinatario avesse avuto iMessage o fosse offline, il messaggio sarebbe stato inoltrato come SMS.
L’idea alla base di RCS è quella di offrire la migliore soluzione di entrambi i mondi: l’ubiquità multipiattaforma di SMS con le funzionalità di WhatsApp e iMessage, ma integrata direttamente nell’infrastruttura di rete principale. E per le reti, che hanno perso miliardi di entrate rispetto alle piattaforme sovrastanti dominanti, questa è stata un’opportunità per provare a rientrare in gioco.
Il problema, però, ed è un grosso problema, è che l’infrastruttura SMS è intrinsecamente insicura, prestandosi ai cosiddetti “attacchi man-in-the-middle”. I messaggi attraversano i data center di rete, tutto può essere visto: la sicurezza è nella migliore delle ipotesi e quando si viaggia si è vulnerabili all’intercettazione dell’operatore locale.
Non posso sottolineare abbastanza quanto sia insicuro la messaggistica SMS per tutto ciò che è sensibile, sia che si viaggi o meno. Questa è una soluzione arcaica e ci sono più opzioni migliori. Lo scorso novembre, ho segnalato i gruppi di minacce sponsorizzati dallo stato cinese che avevano compromesso più operatori di rete per impiantare malware di ricerca di parole chiave e utenti negli stessi centri SMS.
Nello stesso mese, una società di sicurezza tedesca ha avvertito che RCS è un po ‘meglio, con implementazioni “mal protette in molte reti, che consentono agli hacker di assumere completamente il controllo degli account degli utenti”. I ricercatori hanno affermato che le vulnerabilità di RCS includono lo spoofing dell’ID chiamante, il tracciamento della posizione dell’utente e l’intercettazione dei messaggi.
La risposta, ovviamente, è la crittografia end-to-end. Il modo in cui funziona è rimuovere eventuali vulnerabilità “man-in-the-middle” crittografando i messaggi da un endpoint all’altro, con solo il mittente e il destinatario in possesso della chiave di decrittazione. Questo livello di sicurezza della messaggistica è stato introdotto nel mercato di massa da WhatsApp ed è ora diventato una funzionalità standard di ogni altra piattaforma decente.
Tale è la sicurezza di questa architettura, che ha spinto le forze dell’ordine di tutto il mondo a lamentarsi del fatto che ora non possono accedere ai messaggi di un utente, anche con un mandato. Non esiste backdoor: l’unica opzione è quella di compromettere uno degli endpoint e accedere ai messaggi nel loro stato decrittografato. Un po ‘ironicamente, quando la National Security Agency degli Stati Uniti ha pubblicato un recente avviso sulla messaggistica, i voti migliori sono andati alle piattaforme che hanno crittografato in questo modo.
Non dovresti usare una piattaforma di messaggistica che non sia crittografata end-to-end, è davvero così semplice. E quindi c’è un vero motivo per celebrare le notizie che suggeriscono che Google lo abbia preso a cuore e che prevede di aggiornare RCS con questo livello di sicurezza. Come riportato da 9to5Google che ha studiato una versione di sviluppo interno trapelata di Google Messaggi, “abbiamo scoperto che è in corso un lavoro per consentirti di inviare messaggi crittografati end-to-end tramite RCS”.
Apparentemente ci sono più riferimenti alla crittografia end-to-end nel codice, ma poco più di questo è ancora noto. Una cosa che cambierebbe sicuramente il gioco sarebbe una qualche forma di crittografia end-to-end RCS standardizzata che consente l’invio di messaggi sicuri all’esterno di Google Messaggi. Sappiamo che, proprio come iMessage, questo nuovo approccio eseguirà il failover su SMS / MMS se un utente non può ricevere la variante crittografata o se la larghezza di banda è insufficiente su entrambe le estremità.
Esistono molte altre incognite, ovviamente, mentre il dibattito sulla crittografia dei messaggi continua. Negli Stati Uniti, la legge EARN-IT che si fa strada attraverso il Congresso è un tentativo di imporre backdoor in piattaforme di messaggistica, indebolendo gravemente i loro livelli di sicurezza. Sembra che il proprietario di WhatsApp, Facebook, stia ora sperimentando altre forme di analisi della sicurezza che non comportano il disimballaggio della crittografia stessa. Scopriremo presto se questo appaga i critici.
Si tratta di uno sviluppo importante, visti gli sforzi congiunti di Google e delle reti mobili, RCS sarà la tecnologia di messaggistica più veloce di tutti i tempi. Rimuovere il difetto critico che riduce seriamente la sua usabilità è una grande vittoria per i miliardi di voi che dovrebbero usarlo solo con questa protezione aggiuntiva.
