Il bug su iPhone che svela contatti segreti: l’allarme NSA sulle chat criptate

La questione della chat di gruppo su Signal dove le massime cariche politiche statunitensi discutevano dell'attacco agli Houthi in Yemen senza accorgersi che fosse presente anche un giornalista, ha sollevato più di un allarme riguardante la sicurezza delle app di messaggistica istantanea, e in particolare se utilizzate su alcuni dispositivi che, per impostazione, risultano non sicuri.

La National Security Agency (Nsa), una delle agenzie di intelligence statunitensi, ha emesso un avviso sulla vulnerabilità di tali piattaforme, in particolar modo riferendosi a Signal, indicando anche che tipo di precauzione prendere nell'utilizzo dell'app. La vulnerabilità si riscontra nell'uso da parte di Apple dell'intelligenza artificiale integrata nel dispositivo per suggerire l'aggiunta o l'aggiornamento dei contatti in base ai messaggi ricevuti. Spiegato pragmaticamente, se si effettua un copia e incolla di un messaggio di testo da una email in un'altra email, l'Ia aggiunge i dettagli (come il contatto) del primo mittente a quelli del secondo mittente del messaggio sul telefono del destinatario. Sebbene possa sembrare una prassi intenzionale, in realtà si tratta di una sorta di bug del sistema operativo, ma che può essere sfruttata per lo spionaggio da entità ostili.

Sempre l'Nsa riferisce che l'avviso è stato emesso in risposta alla segnalazione del Threat Intelligence Group di Google secondo cui il Gru russo (il servizio segreto militare di Mosca) aveva manomesso la funzione di invito al gruppo di Signal, inducendo con l'inganno gli ucraini a invitare russi in chat sicure. Signal, come accennato, non è l'unica app afflitta da questo meccanismo legato all'Ia: questa minaccia si estende anche ad altre applicazioni di messaggistica popolari come WhatsApp e Telegram.

L'Nsa nel suo avviso, oltre a suggerire di cambiare spesso il Pin di app e dispositivi, fornisce una vademecum di come mettersi al sicuro da questa falla di sistema. Ci sono infatti due impostazioni dell'iPhone che lavorano in tandem e che permettono che questo accada: la prima si trova in Impostazioni - App – [Signal/WhatsApp] – Contatti e se questa impostazione è diversa da “nessuno”, l'app di messaggistica estrarrà i dettagli dei contatti. L'Nsa riferisce che è più sicuro, sebbene molto più scomodo, cercare o aggiungere contatti manualmente all'interno dell'app. La seconda impostazione, che è più importante per capire il bug, riguarda l'uso dell'intelligenza artificiale per dedurre che i dettagli dei contatti sono cambiati. In questo caso per evitare problemi di sicurezza, bisogna andare nel menù “impostazioni” - Apple Intelligence e Siri - App - Contatti. Qui va disattivata la funzione “mostra suggerimenti contatti” e sempre nello stesso menù si deve disattivare “impara da questa app”, che fornisce suggerimenti di contatto di terze parti. Analogamente, secondo l'avviso dell'Nsa, si può disattivare “condividi contatti con iOS” nelle impostazioni di Signal, che invia questi suggerimenti in modo inverso.

Apportare queste modifiche permette di evitare di aggiungere colleghi di lavoro a gruppi di amici o a chat scolastiche, col pregio anche di evitare di aggiungere giornalisti a gruppi segreti che pianificano attacchi militari. Il risvolto della medaglia, però, è rappresentato dal fatto che se un contatto cambia il suo numero, l'Ia non suggerirà più di modificare i suoi dati sull'iPhone.

Ovviamente ciascuno è libero di scegliere se mantenere le cose come sono, a seconda della propria propensione al rischio e della natura delle proprie attività sul telefono. Sarebbe comunque consigliabile evitare di discutere di piani segreti, oppure di altro materiale sensibile, sulle chat di gruppo delle più importanti applicazioni di messaggistica.

Sebbene non sia specificamente menzionato dall'Nsa, è buona regola anche essere molto cauti con gli allegati inviati nei messaggi: sebbene le piattaforme più sicure impediscano di scaricare i contenuti sospettati come

dannosi, una volta scaricato un file sul telefono, queste protezioni vengono meno. Questo è pertanto il motivo per cui si dovrebbe evitare di impostare il salvataggio automatico sullo smartphone di fotografie e di video.