Signal è da tempo considerato il gold standard per le comunicazioni private e sicure. La sua promessa principale si basa sulla crittografia end-to-end, che garantisce che solo il mittente e il destinatario possano leggere un messaggio, e sulle funzionalità di “messaggi che scompaiono” che garantiscono che non rimanga alcuna traccia digitale.
Tuttavia, un recente rapporto di 404 Media ha rivelato una vulnerabilità significativa: l’FBI è riuscita a leggere i messaggi Signal di un sospetto anche dopo che l’utente aveva cancellato l’app dal proprio dispositivo.
La vulnerabilità: una porta laterale attraverso le notifiche
La violazione non ha comportato la “violazione” della crittografia di Signal. Invece, gli investigatori hanno sfruttato un effetto collaterale tecnico del modo in cui gli smartphone gestiscono gli avvisi.
Quando ricevi un messaggio, il tuo telefono utilizza le notifiche push per avvisarti. Per rendere utili queste notifiche, il sistema operativo spesso memorizza un’anteprima del contenuto del messaggio in modo che possa essere visualizzato nella schermata di blocco. In questo caso specifico, l’FBI è riuscita a estrarre questi messaggi dal database delle notifiche push dell’iPhone.
Ciò rivela una realtà critica della sicurezza mobile: la crittografia protegge i dati solo mentre sono in transito o archiviati all’interno dell’app stessa. Se il sistema operativo del telefono crea un’anteprima in testo semplice di quel messaggio per mostrarti una notifica, tale anteprima diventa un dato separato e non crittografato presente nei file di sistema del tuo telefono.
Perché questo è importante per la privacy
Questo non è solo un problema di segnale; si tratta di un problema sistemico che interessa quasi tutte le app di messaggistica che utilizzano le notifiche push. Anche se un’app è matematicamente “inattaccabile”, il modo in cui interagisce con il sistema operativo dello smartphone (iOS o Android) può creare “fughe di notizie”.
Per gli utenti attenti alla privacy, ciò significa che la funzionalità progettata per comodità, ovvero la possibilità di leggere un frammento di testo senza sbloccare il telefono, è la stessa funzionalità che può essere utilizzata per aggirare la sicurezza di alto livello.
Come proteggere i tuoi messaggi Signal
La buona notizia è che questo difetto è facilmente risolvibile attraverso una semplice regolazione delle impostazioni. Per evitare che il contenuto del messaggio venga archiviato nel database delle notifiche del telefono, attenersi alla seguente procedura:
- Apri l’app Signal.
- Tocca la tua immagine del profilo nell’angolo in alto a sinistra per accedere alle Impostazioni.
- Seleziona la sezione Notifiche.
- Tocca Contenuto notifica.
- Seleziona “Nessun nome o contenuto.”
Abilitando questa impostazione, riceverai comunque avvisi quando hai un nuovo messaggio, ma la notifica non mostrerà chi lo ha inviato o cosa ha detto. Per leggere il messaggio ti verrà richiesto di aprire manualmente l’app. Questa piccola modifica garantisce che, anche se un dispositivo viene sequestrato, il contenuto sensibile rimane bloccato dietro la crittografia di Signal anziché rimanere in un registro delle notifiche.
Conclusione
Mentre la crittografia end-to-end fornisce una solida protezione per i dati in transito, il modo in cui i sistemi operativi mobili gestiscono le notifiche crea una lacuna significativa. La regolazione delle impostazioni di notifica per nascondere i contenuti è un passaggio fondamentale per garantire che le tue conversazioni “private” rimangano veramente private.
