WhatsApp, scoperte tante novità in lavorazione su Android e iOS

12 Giugno 2020 92

Bottino bello corposo nelle ultime ore per i ragazzi di WABetaInfo, sempre a caccia di novità, scoop e indiscrezioni sulla piattaforma di messaggistica più diffusa al mondo: oltre alla ricerca per data di cui vi abbiamo raccontato ieri, ne sono emerse altre cinque. Segue elenco sintetico:

  • Rivoluzione per Utilizzo Archiviazione: è in test una sezione completamente riprogettata, dove debutteranno diverse nuove funzionalità - per esempio, si potranno filtrare i risultati in modo tale da mostrare solo i file di grandi dimensioni, e ci sarà un pulsante per scegliere il tipo di ordinamento che si preferisce (per esempio più nuovo, più vecchio, dimensioni). Sui

  • Cancella tutto tranne i preferiti: è una funzione già nota nelle chat il cui scopo è molto facile da intuire, ma non in Utilizzo Archiviazione - finora. WhatsApp la sta testando su iOS.
  • Supporto a ShareChat: è un social network indiano per certi versi direttamente concorrente di YouTube. WhatsApp sta testando sia su Android sia su iOS un player dedicato che permetterà di visualizzare l'anteprima del contenuto direttamente senza abbandonare l'app.
  • Ricerca immagine su Web: un sistema anti-fake news. Se WhatsApp si accorge che un'immagine è stata inoltrata per più di quattro volte, sostituirà il pulsante di inoltro ben visibile nella conversazione a quello di ricerca su Web, naturalmente attraverso Google. È già disponibile nell'ultima Beta per iOS, ancora in lavorazione su Android.
  • Nuovo colore per i fumetti dei propri messaggi in uscita con il tema scuro: un verde un po' più chiaro e più tendente al blu. Vedete la differenza tra l'attuale e il nuovo nell'ultima immagine qui di seguito.

Naturalmente il fatto che una funzione sia in lavorazione non garantisce la certezza che sarà presentata ufficialmente, e tantomeno ci permette di azzardare previsioni attendibili sulle tempistiche di rilascio. Certo è che WhatsApp è famosa per sapersi prendere il suo tempo e non fare le cose di fretta: basti pensare a quanto abbiamo dovuto attendere il tema scuro...


92

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
ale

Sì e con il backup su Google Drive/iCloud la sicurezza non viene meno scusa? C'è scritto se leggi bene quando attivi il backup che i messaggi caricati sul cloud non sono protetti da crittografia. Quindi carica il backup o carica solo la chiave privata (protetta da password ovviamente) cosa cambia?

Senza contare che nemmeno il backup è fatto bene perché è dipendente dalla piattaforma, se vuoi passare da Android ad iOS o viceversa non c'è modo di ripristinare il backup (lo trovo assurdo).

Per accedere a WhatsApp web vero, serve il dispositivo. Ma ti serve solo la prima volta che accedi. Se dopo uno ti trafuga i cookies del browser di WhatsApp web, una cosa non impossibile da fare, le sessioni web hanno durata praticamente eterna.

andrew

Parli letteralmente senza senso: WhatsApp ha il backup su Google Drive/iCloud, quindi no per l'utente inesperto non è complicato.
Prima della funzione semplicemente perdevano i messaggi.

Se la chiave è legata alla persona implica che hai un backup esterno (e ti ribadisco per l'ennesima volta: l'utente inesperto questo sbattimento non lo fa) , basta che uno lo piazza su un servizio cloud e tutta la sicurezza viene meno.

La chiave di legata al dispositivo invece richiede la procedura che hai descritto, quindi mi stai praticamente dando ragione senza volerlo.

Per accedere WhatsApp Web devi avere il dispositivo, te ne accorgi se lo perdi. La chiave se viene trafugata no.

Il tuo sistema ideale va purtroppo in conflitto con la semplicità d'uso richiesta dalla maggior parte delle persone , cosa che fatichi a capire.

ale

Anche WhatsApp è macchinoso da usare, se per questo. Sì, se ti limiti ad installarlo su un device facile, poi quando devi trasferire la roba da un telefono all'altro quanti lo sanno fare? Copiare una chiave è più difficile di copiare un intero database di messaggi? Non credo.

Trafugare la chiave non è che sia una cosa semplice eh, dovresti rubare il dispositivo fisico, ed estrarre da questo la chiave (quindi con root su Android o Jailbreak su iOS). Come lo puoi fare fra l'altro con questo sistema lo puoi fare anche per WhatsApp ad esempio (tipo io quando cambiavo ROM Android ogni settimana per non far vedere a tutti ogni 2 secondi "tizio ha cambiato codice di sicurezza" spostavo semplicemente la cartella /data/com.whatsapp con adb e il root e via, e la chiave rimaneva la stessa...).

In ogni caso ogni sistema crittografico certifica che la chiave sia dell'utente ma non che sia veramente l'utente ad usarla. Banalmente anche senza supporre che uno perda la chiave, in WhatsApp basta che accedi ad una sessione di WhatsApp web senza che l'utente se ne accorga, e dove sta la sicurezza?

Il mio sistema ideale è decentralizzato (ovvero posso tirarmi su il mio server) e cifrato end2end, con i messaggi che restano cifrati sui server. Tutti gli altri sistemi li trovo poco sensati, a quel punto uso Telegram che anche se è tutto in chiaro poco mi cambia.

andrew

Non è fattibile, ti ostini ad ignorare completamene che qualsiasi soluzione stile GPG sarebbe ostica all'utente con poca esperienza e che vuole roba semplice.

Se il server si mette tra lo scambio iniziale, sei fesso tu che non verifichi... la funzione è li appositamente per quello.
(tra l'altro ti rispondi da solo per la questione semplicità: già adesso, che è un sistema di verifica semplice. non viene sfruttato adeguatamente da molti utenti, figurati con sistemi più complessi)

Tra l'altro continui a tirare in ballo il network of trust, senza comprenderlo, (e spiegandomelo come se non lo sapessi, a me, che uso Linux da 15 anni): come ti ho già fatto l'esempio, il "network of trust" ti certifica che la chiave è DI quell'utente ma non ti certifica che ad UTILIZZARLA sia veramente il proprietario.

Se uno riesce a trafugare la chiave privata, il Web of Trust (il nome preciso è questo) dove te lo piazzi dopo evito di dirtelo per finezza.
(non a caso in GPG proprio per questo caso esiste la funzione di revoca delle chiavi, perché tra i contro ci sta il fatto che sono trafugabili)

ale

Ma infatti la chiave non è giusto sia legata al dispositivo, è giusto sia legata alla persona. In questo ti dicevo prendere il modello di GPG, ogni utente ha la sua coppia di chiavi, se Alice deve spedire un messaggio a Bob cifra con la chiave pubblica di Bob e firma con la sua chiave privata.

Invece le app di messaggistica ora usano protocolli basati sullo scambio di chiavi di Diffie-Hellman che in realtà è meno sicuro, in quanto il server ha un ruolo fondamentale nello scambio (se il server si mette in mezzo allo scambio di chiavi iniziali può fare un man in the middle, infatti poi le app ti mettono a disposizione una funzione per verificare che la chiave simmetrica poi usata per cifrare la comunicazione sia la stessa, che poi chi verifica veramente?)

Fra l'altro il network of trust di GPG, ossia il meccanismo per cui la gente firma le chiavi di altri per certificare che sono veramente loro, sugli smartphone si farebbe in modo molto facile (es. immaginati con l'NFC, appoggio due telefoni e si firmano le chiavi dei due utenti)

andrew

Infatti sono molti che o non usano l'autenticazione a due fasi, o dopo piazzano post disperati che non sanno più come accedere ai servizi.

La differenza con l'email è il fatto che la chiave privata è generica, mentre sui programmi di messaggistica istantanea cambia con il dispositivo, e non è generica per l'utente.
Se utente 2 invia ad utente 1 un messaggio, lo fa con la chiave "utente 1/dispositivo 1"
Provider salva il messaggio sul server, ma poi inviandolo a dispositivo 2 di utente 1,questo non può leggerlo perché la chiave è diversa .

La soluzione sarebbe usare una chiave per utente, ma si perderebbe molto in sicurezza: se cambi dispositivo non ti avvisa o comunque garantisce che l'utente potrebbe non essere quello originale con cui chattavi su dispositivo 1.
(limite presente anche nel gpg, se uno riesce ad ottenere chiave privata e passphrase, può fingersi me, e la rete di fiducia serve a ben poco in questo caso, and verifica solo di chi è la chiave, ,non chi la sta usando o dove, mentre la chiave per dispositivo aggiunge un livello extra di sicurezza)

Ci sta poi il sistema di Matrix, probabilmente quanto più vicino a quanto descritto, prima, che ti permette di verificare i tuoi dispositivi (senza non ti arrivano i messaggi crittografati) , ma in questo caso l'utente inesperto certo non si mette a verificare i dispositivi manualmente, senza contare il backup delle chiavi.

Quindi ritorniamo al punto di partenza : le soluzioni ci sono anche, ma non sono per la "massa"

(E, no, con l'e2e non hai bisogno di fidarti dell'entità centrale se il client è open source, solo di verificare il codice)

ale

Va beh se non ti fai il backup della chiave perdi i messaggi. Ora su WhatsApp è se cambi telefono passando da Android ad iOS o viceversa perdi i messaggi. Cosa è meglio? Fra l'altro tutti i sistemi che usano generatori di OTP ti chiedono di salvare recovery code da qualche parte, e se non li salvi cavoli tuoi.

GPG da quanti anni esiste? Più di 20 anni. E se ci pensi implementa un sistema di messaggistica in cloud di fatto. Prendi la mail, la cifri con la public key del destinatario, la invii (quindi di fatto finisce su una sorta di cloud se usi IMAP) ed il destinatario la scarica e la decifra.

E sì, assurdo che nel 2020 nessuno riesca a riproporre lo stesso protocollo per un sistema di chat. Che fra le altre cose sarebbe pure più sicuro (perché con i sistemi cifrati e2e che hai attualmente o ti fidi dell'entità centrale o ti incontri a confrontare fisicamente le chiavi sui dispositivi che non è sempre fattibile.. al contrario GPG ha il concetto di network of trust per cui gli utenti verificano e firmano le chiavi degli altri, molto più sicuro)

Forse non interessa avere questo livello di sicurezza, però sarebbe interessante fare un protocollo del genere. In realtà la cosa bella sarebbe definire un protocollo per inviare messaggi con cifratura end2end decentralizzato, una sorta di mail 2.0.

Madfranck

si, ma se lo utilizzi da una parte lo disattivi dall'altra. funziona in contemporanea solo su pc.

Andrea Z.

esatto, quando gli rispondo poi mi arrabbio con me stesso per aver ceduto l'ennesima volta... la considero una sconfitta personale, una mia debolezza

LaVeraVerità

Bloccarlo è cosa saggia, non tanto per evitare il fastidio di leggerlo quanto per non cadere nella tentazione di insultarlo a morte.

Andrea Z.

io ho 9 maxim castelli bloccati, visto adesso sul mio profilo
NOVE

andrew

Non ho detto che non si può fare, ti ho citato io stesso gli esempi in cui cloud ed e2e sono utilizzati MA macchinosi, e tu mi hai aggiunto l'email che comunque per gli utenti inesperti è sempre stato complesso.

Il problema non è la chiave pubblica, è la chiave privata che va conservata... lo immagini l'utente di WhatsApp a farsi il backup della chiave privata?

Il sistema QR puoi usarlo quando da un dispositivo all'altro, ma quando perdi l'accesso tutti i tuoi dispositivi e non hai backup? O hai il backup della chiave privata o codice,o addio messaggi in cloud
(Servizi email crittografati se perdi la password e la chiave di backup devi resettare l'email con tutti i messaggi, perdendoli)
Ed ancora, lo vedi l'utente WhatsApp, che neanche si imposta l'autenticazione a 2 fasi... impostare una password (ricordarsela) e/o fare un backup di un file in posto sicuro?

La questione del costo è vera fino ad un certo punto, Wire ad esempio ha la versione a pagamento, ma il cloud nell'e2e comunque non lo ha neanche in quella versione.
Threema è a pagamento, e non ha cloud e2e.
Telegram ha il cloud, e dunque i server e non ha pubblicità da proporre... perché non implementa e2e e cloud insieme?

Ma è stupendo comunque come almeno 7 team interi di sviluppo (WhatsApp, Telegram, Signal, Wire, Threema, Keybase e Matrix) non ci arrivino ad invenzioni e conclusioni che si riescono a trovare nei commenti sul web.

Cloud
ale

Si può fare cloud ed end2end volendo, anzi esiste da non so quanti anni, pensa a chi cifra le mail con GPG ad esempio. Si potrebbe fare una cosa simile dove WhatsApp di fatto è il key server che tiene (e certifica) le chiavi pubbliche di tutti gli utenti.

Spostare la chiave privata da un dispositivo all'altro è un problema ma non così tanto insormontabile, puoi facilitarlo anche con l'inquadrare un QR o simili. O puoi cifrare la chiave con una password scelta dall'utente e salvarla sul server.

Il motivo per cui gli altri non lo fanno è semplice, e non è legato alla tecnologia: avere dati in cloud ha un costo, e il costo lo ripaghi se puoi utilizzare quei dati per fara analisi e simili. Avere dati cifrati in cloud è una cosa totalmente inutile per te che offri il servizio, visto che non li puoi usare, è solo un costo per te non sostenibile economicamente. E quindi tanto vale consumare la memoria dei dispositivi degli utenti.

TITANO

Visto che non sanno fare un interfaccia grafica decente dovrebbero mettere a disposizione più colori per le conversazioni ecc come telegram...

Desmond Hume

non sta a me farlo... Quando in Telegram si degneranno di fare le videochiamate forse... manco in tempi di quarantena col boom delle videochiamate si sono svegliati.

Super Mario Bianconero
Cloud

Accade quando la differenza viene calcolata tra date di dispositivi diversi.
Probabilmente la data di creazione è lato server e quella attuale è del tuo dispositivo.

ghost

Coming soon 2050

Andrea Pantaleo

Questa cosa antifake è gravemente sottovalutata, dovrebbero metterla anche per i messaggi scritti... Ieri a mia madre è stato inoltrato un papiro che diceva che i virus in realtà sono batteri e l'aspirina ci curerà dal corona

Maxim Castelli
Maxim Castelli
fabrynet

Basta convincere quei due tre contatti con cui scrivi di più e il grosso è fatto.

Desmond Hume

Vorrei lo facesse l'intera rubrica ma siccome così non è...

fabrynet

Fai prima ad usare Telegram...

Lino Torvaldi

WhatsApp: scoperte tante falle in lavorazione su Android e iOS, ma poi ho riletto meglio

LaVeraVerità

Certo che potrei. D'altra parte non sopporto proprio quelle teste di casso teste di organo riproduttivo maschile, rinc0gli0niti ridotti al livello m3ntale di una sacca scrotale, rotti in cul0 lesionati allo sfint3re e figli di una scr0fa incestuosa che dicono volgarità sui forum.

EDITED Castelli edition

andrew

Si certo, e2e con il server... E se cambi dispositivo come li decifri i messaggi destinati a te? (o al destinatario, se cambia lui il dispositivo)

Telegram in cloud non è e2e, è semplicemente una crittografia lato server (volendo potrebbero accedere ai tuoi messaggi quando vogliono, le chiavi per leggerli le hanno), le chat segrete di Telegram sono e2e.

Gli unici sistemi ibridi e2e e cloud che conosco sono Matrix e Keybase, entrambi validi ma enormemente macchinosi per l'utente inesperto (devi marcare come verificato il nuovo dispositivo dal precedente, importare ed esportare chiavi di backup, pena la perdita dell'accesso all'account e/o ai messaggi crittografati)

Insomma... Se sia WhatsApp, che Signal, che Telegram, che Wire non ti mettono chat e2e in cloud un motivo ci sarà no?

LaVeraVerità

Mi unisco al collega Maxim Castelli (noto sminuzzatore di gonadi, passato dalle filippiche contro l'uso dei termini albionici al bacchettonismo più estremo) nell'esprimere @Freddy la necessità della più severa reprimenda contro questo linguaggio postribolare ed inadeguato.

EDIT: Probabilmente non sei nemmeno il Maxim Castelli originale, visto il numero dei tuoi commenti, ma solo un emulatore. Ma questo genere di cose non riguardavano i serial killer?

LaVeraVerità

Mi unisco al collega Maxim Castelli (noto sminuzzatore di gonadi, passato dalle filippiche contro l'uso dei termini albionici al bacchettonismo più estremo) nell'esprimere @Freddy la necessità della più severa reprimenda contro questo linguaggio postribolare ed inadeguato.

LaVeraVerità

https://uploads.disquscdn.c...

Maxim Castelli

Segnalo umilmente @freddy contenuti oltremisura volgari.

LaVeraVerità

Certo che potrei. D'altra parte non sopporto proprio quelle teste di caxxo, rinc0gli0niti e rotti in cul0 che parlano male sui forum.

PistacchioScemo

e diventare quindi come te?

DeathTheKid

Mah, a me non piace proprio come è concepita, continuamente vedo utenti che non sanno che tutti i vocali le gif ecc vengono salvati, duplicati e ogni tanto vanno rivisti ed eliminati perché a lungo andare saturano la memoria, ma soprattutto le foto modificate con i disegnini non vengono sempre mostrate in galleria, per avere un quadro completo dei dati bisogna obbligatoriamente passare per la cartella di sistema cosa che sanno fare in pochi rispetto alla massa. Introducendo nuove funzionalità stanno solo eludendo il solito problema più grande.

Salvatore Provino

Bon, allora speriamo che arrivi presto e senza problemi di sicurezza! Conoscevo già la differenza fra Whatsapp e Telegram, Signal usato pochissimo tanti anni fa e ricordavo evidentemente male :P

MK50

Lo abbiamo percepito in maniera diversa allora... Perchè io Telegram per le chat singole non lo uso praticamente mai, e iMessage tra i miei contatti non lo usa (purtroppo) nessuno... :/

Marco

Cancella tutto tranne i preferiti: è una funzione già nota nelle chat il cui scopo è molto facile da intuire, ma non in Utilizzo Archiviazione - finora. WhatsApp la sta testando su iOS.

Già presente da un po'

Maxim Castelli

Può esprimere lo stesso concetto scevro di volgarità?

Maxim Castelli

Non è già utilizzabile su più dispositivi?

Alex193a
Salvatore Provino

Signal e Telegram hanno protocolli totalmente diversi, Whatsapp è legato direttamente al numero di telefono.

x s.

L’ho scritto anche sopra, lo hanno programmato talmente male che sono felice lo abbiano tolto.

x s.

Whatsapp aveva fatto una cosa pessima. Ho fatto l’aggiornamento e sono apparse molte, troppe chat inutili nel menu di condivisione, spazzando via quelle di Telegram e iMessage. Pessimo.

Alex193a
Alex193a
Desmond Hume

voglio multidevice e applicazione per ipad.
Datevi una mossa.

Orlaf

Ora sai come mi sento io quando leggo che Microsoft ha aggiornato Win10 ahahaha.

P.S: Buon fallimento delle UWP.

Luca Lindholm

Devono FALLIRE.

F-A-L-L-I-R-E

ErCipolla

Si possono avere entrambe le cose eh...

Recensione Sony Xperia 1 II: tra eccellenze e black out

La carica degli Snapdragon 765: sono gli smartphone del momento | Video

Recensione LG Velvet: il nuovo design ci piace ma serve un rinnovamento software

Recensione Huawei P30 Pro New Edition: può ancora dire la sua