Converso è una nuova app di messaggistica criptata che sostiene di offrire privacy assoluta e libertà da qualsiasi forma di sorveglianza. Un ricercatore che si presenta con il nome di Crnković sostiene di aver scoperto diverse gravi falle e vulnerabilità nell'app e ritiene che non sia affatto affidabile o sicura. Dovreste starci alla larga?
Converso è un'applicazione mobile che consente agli utenti di inviarsi messaggi di testo, messaggi vocali, foto e video, utilizzando la crittografia end-to-end (E2EE). Secondo il sito web dell'app:
"Non possiamo leggere i vostri messaggi o ascoltare le vostre chiamate, e nessun altro può farlo" e "Crediamo che nessuno debba essere in grado di sfruttare i vostri dati o le vostre conversazioni, punto e basta".
Crnković, curioso di sapere come funziona Converso e come si colloca rispetto ad altre app di messaggistica E2EE come Signal, WhatsApp o Telegram, ha quindi deciso di scaricare l'app e di provarla. Analizzando il codice che è riuscito a decifrare dall'APK, ha scoperto diversi problemi e vulnerabilità con la stessa.
Quello che ho scoperto è stato "scioccante e disorientante" ha scritto. Converso non sarebbe solo mal progettata e implementata, a suo dire, ma anche fuorviante e ingannevole. Ecco alcuni dei principali problemi che ha riscontrato:
- Converso utilizza dei server per trasmettere e consegnare messaggi e chiavi. Ciò significa che non si tratta di un'applicazione di messaggistica peer-to-peer come sostiene di essere.
- Converso raccoglie i dati degli utenti, compresi i numeri di telefono e i metadati relativi a ogni messaggio o chiave inviati o ricevuti. Questi dati vengono memorizzati sui server. Converso include anche un tracker di Google Analytics per registrare l'utilizzo dell'app.
- Il protocollo di crittografia di Converso è rudimentale e suscettibile di attacchi. Le coppie di chiavi non sono affidabili e non vi è alcuna garanzia di sicurezza quando si utilizza Converso.
- Converso sostiene falsamente che Signal e WhatsApp memorizzano i messaggi in un formato leggibile sui loro server. In realtà, entrambe le applicazioni utilizzano protocolli di crittografia ben documentati per crittografare i messaggi, e i messaggi crittografati non vengono memorizzati in un formato leggibile sui server di queste applicazioni.
- Converso sostiene falsamente di far parte di un'architettura decentralizzata, ma utilizza server centrali per la transazione di chiavi e messaggi.
E non solo, il report è lungo e molto interessante, vi invitiamo a leggerlo se volete andare nel dettaglio. Crnković dice di aver contattato il team di Converso per segnalare questi problemi e chiedere spiegazioni. Converso avrebbe già posto rimedio ad alcuni dei problemi segnalati.
Ad ogni modo, il ricercatore sostiene che "Per la vostra sicurezza, non dovreste usare Converso per inviare messaggi che non pubblichereste anche come tweet", il che spiega perfettamente la sua linea di pensiero.
Voi utilizzate Converso? Il team di sviluppo dell'app ha ancora la vostra fiducia dopo aver letto questa storia?