Redazione RHC : 8 Settembre 2025 13:24
Il social network X, precedentemente noto come Twitter, ha iniziato a lanciare un nuovo servizio di messaggistica crittografata chiamato XChat. Si presenta formalmente come una piattaforma con crittografia end-to-end completa : la corrispondenza può essere letta solo dai suoi partecipanti e il servizio stesso non avrebbe accesso al contenuto.
Tuttavia, i crittografi stanno già sottolineando che l’implementazione attuale è tutt’altro che affidabile ed è inferiore a standard riconosciuti come Signal.
La prima preoccupazione riguarda il modo in cui XChat gestisce le chiavi . All’attivazione, all’utente viene chiesto di creare un PIN di quattro cifre, che viene utilizzato per crittografare la chiave privata. Questa chiave viene quindi memorizzata sui server di X, non sul dispositivo dell’utente. Questo non accade con Signal: la chiave segreta rimane sempre locale.
Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber"Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi". Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]  Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Non è chiaro se i moduli di sicurezza hardware (HSM) vengano utilizzati per proteggere le chiavi. Senza di essi, un operatore potrebbe teoricamente indovinare il PIN e accedere alla corrispondenza. Un rappresentante di X ha affermato in estate che sono stati utilizzati gli HSM, ma finora non è stata pubblicata alcuna conferma, il che ha portato gli esperti a parlare di un “regime di completa fiducia nelle parole dell’azienda“.
La seconda debolezza di XChat è descritta dall’azienda stessa nella sua pagina di supporto : la corrispondenza può essere compromessa da un “insider malintenzionato o da X”. Questa minaccia è nota come attacco “man-in-the-middle“, in cui il servizio sostituisce la chiave e ottiene di fatto la possibilità di leggere i messaggi. In questo caso, X fornisce all’utente una chiave pubblica senza la possibilità di verificare se è stata sostituita. Di conseguenza, gli utenti non hanno modo di verificare l’autenticità della protezione.
Il terzo problema è la natura chiusa del codice. A differenza di Signal, che è ben documentato e aperto a verifiche, XChat è ancora completamente proprietario. L’azienda promette di pubblicare un documento tecnico e di renderlo open source in futuro, ma non ci sono tempistiche precise.
Infine, XChat non supporta la cosiddetta modalità Perfect Forward Secrecy, in cui ogni messaggio viene crittografato con una chiave separata. Per questo motivo, la compromissione di una chiave privata consente a un aggressore di accedere all’intera cronologia della corrispondenza, non solo ai messaggi più recenti.
Il noto ricercatore Matthew Garrett osserva che, anche se ci si fida ora degli sviluppatori di X, questi possono cambiare le regole e indebolire la protezione in qualsiasi momento, e gli utenti non saranno in grado di dimostrare il contrario. La sua opinione è condivisa da Matthew Green, professore di crittografia alla John Hopkins University , che consiglia di non fare affidamento sul nuovo servizio più che sui normali messaggi personali non crittografati.
Nonostante le ripetute richieste dei giornalisti, il servizio stampa di X non ha ancora fornito alcuna risposta alle domande di chiarimento sulla sicurezza di XChat.
RedazioneSe n’è parlato molto poco di questo avvenimento, che personalmente reputo strategicamente molto importante e segno di un forte cambiamento nella gestione delle vulnerabilità non documentate in Ita...
Autore: Inva Malaj e Raffaela Crisci 04/10/2025 – Darkforums.st: “303” Rivendica Data Breach di 9 GB su Apple.com Nelle prime ore del 4 ottobre 2025, sul forum underground Darkforums è comparsa...
La storia di SoopSocks è quella che, purtroppo, conosciamo bene: un pacchetto PyPI che promette utilità — un proxy SOCKS5 — ma in realtà introduce un impianto malevolo ben orchestrato. Non stia...
Per decenni, l’informatica è stata considerata una scelta professionale stabile e ricca di opportunità. Oggi, però, studenti, università e imprese si trovano davanti a un panorama radicalmente m...
Lunedì scorso, Asahi Group, il più grande produttore giapponese di birra, whisky e bevande analcoliche, ha sospeso temporaneamente le sue operazioni in Giappone a seguito di un attacco informatico c...
