Quando si parla di messaggistica crittografata, il primo nome che viene in mente è quasi sempre Signal. L’app è considerata da anni lo standard per chi cerca privacy nelle comunicazioni digitali. Eppure, una recente indagine ha fatto emergere un dettaglio piuttosto inquietante: le autorità avrebbero trovato un modo sorprendentemente semplice per accedere ai messaggi su Signal, anche quando questi risultano cancellati dall’app. E no, questa volta non si tratta di qualche gaffe istituzionale legata alla Casa Bianca.
Il punto debole, a quanto pare, non riguarda la crittografia end-to-end di Signal in sé, che resta tecnicamente solida. Il problema sta altrove, in un meccanismo che la maggior parte degli utenti nemmeno considera: le notifiche push. Queste piccole anteprime che appaiono sullo schermo ogni volta che arriva un messaggio possono, in determinate circostanze, esporre il contenuto delle conversazioni. Si tratta di un canale laterale, qualcosa che non intacca direttamente la cifratura ma che offre comunque una via d’accesso alle informazioni scambiate tra gli utenti.
Come funziona questo stratagemma e perché riguarda tutti
La questione è tanto semplice quanto sottovalutata. Le notifiche push passano attraverso i server di Apple o Google, a seconda del sistema operativo dello smartphone. Questo significa che, in teoria, le autorità potrebbero richiedere a queste aziende i dati relativi alle notifiche, ottenendo così frammenti di conversazione o metadati utili a ricostruire gli scambi tra due persone. Non serve violare la crittografia, basta sfruttare un anello debole della catena.
Per chi utilizza Signal con la convinzione di avere una protezione totale, questa scoperta rappresenta un campanello d’allarme non da poco. L’app resta tra le più sicure in circolazione, su questo non ci sono dubbi. Ma la sicurezza di Signal dipende anche da come viene configurata sul proprio dispositivo. Chi dà per scontato che basti installarla per essere al riparo da qualsiasi tipo di sorveglianza potrebbe trovarsi davanti a una brutta sorpresa.
Disattivare le notifiche push: una contromisura semplice ma efficace
La buona notizia è che esiste una soluzione pratica e alla portata di chiunque. Disattivare le notifiche push di Signal limita in modo significativo il rischio di esposizione, senza andare a compromettere in alcun modo il funzionamento della crittografia. I messaggi continuano a essere protetti dalla cifratura end-to-end, ma si elimina quel passaggio intermedio che potrebbe rappresentare una falla sfruttabile.
Ovviamente, rinunciare alle notifiche significa perdere la comodità di vedere subito chi ha scritto e cosa ha scritto, senza aprire l’app. È un compromesso, certo. Ma per chi tiene davvero alla propria privacy e utilizza Signal proprio per questo motivo, si tratta di un piccolo sacrificio che può fare una differenza enorme.
Va detto che Signal non è l’unica app di messaggistica esposta a questo tipo di vulnerabilità legata alle notifiche push. Il meccanismo riguarda potenzialmente qualsiasi applicazione che sfrutti i sistemi di notifica di Apple e Google. La differenza è che chi sceglie Signal lo fa quasi sempre con un’aspettativa di sicurezza superiore rispetto ad altre piattaforme, e scoprire che un elemento così banale possa vanificare parte di quella protezione ha comprensibilmente generato parecchia discussione.
