Redazione RHC : 8 Settembre 2025 13:24
Il social network X, precedentemente noto come Twitter, ha iniziato a lanciare un nuovo servizio di messaggistica crittografata chiamato XChat. Si presenta formalmente come una piattaforma con crittografia end-to-end completa : la corrispondenza può essere letta solo dai suoi partecipanti e il servizio stesso non avrebbe accesso al contenuto.
Tuttavia, i crittografi stanno già sottolineando che l’implementazione attuale è tutt’altro che affidabile ed è inferiore a standard riconosciuti come Signal.
La prima preoccupazione riguarda il modo in cui XChat gestisce le chiavi . All’attivazione, all’utente viene chiesto di creare un PIN di quattro cifre, che viene utilizzato per crittografare la chiave privata. Questa chiave viene quindi memorizzata sui server di X, non sul dispositivo dell’utente. Questo non accade con Signal: la chiave segreta rimane sempre locale.
 CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub.
Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Non è chiaro se i moduli di sicurezza hardware (HSM) vengano utilizzati per proteggere le chiavi. Senza di essi, un operatore potrebbe teoricamente indovinare il PIN e accedere alla corrispondenza. Un rappresentante di X ha affermato in estate che sono stati utilizzati gli HSM, ma finora non è stata pubblicata alcuna conferma, il che ha portato gli esperti a parlare di un “regime di completa fiducia nelle parole dell’azienda“.
La seconda debolezza di XChat è descritta dall’azienda stessa nella sua pagina di supporto : la corrispondenza può essere compromessa da un “insider malintenzionato o da X”. Questa minaccia è nota come attacco “man-in-the-middle“, in cui il servizio sostituisce la chiave e ottiene di fatto la possibilità di leggere i messaggi. In questo caso, X fornisce all’utente una chiave pubblica senza la possibilità di verificare se è stata sostituita. Di conseguenza, gli utenti non hanno modo di verificare l’autenticità della protezione.
Il terzo problema è la natura chiusa del codice. A differenza di Signal, che è ben documentato e aperto a verifiche, XChat è ancora completamente proprietario. L’azienda promette di pubblicare un documento tecnico e di renderlo open source in futuro, ma non ci sono tempistiche precise.
Infine, XChat non supporta la cosiddetta modalità Perfect Forward Secrecy, in cui ogni messaggio viene crittografato con una chiave separata. Per questo motivo, la compromissione di una chiave privata consente a un aggressore di accedere all’intera cronologia della corrispondenza, non solo ai messaggi più recenti.
Il noto ricercatore Matthew Garrett osserva che, anche se ci si fida ora degli sviluppatori di X, questi possono cambiare le regole e indebolire la protezione in qualsiasi momento, e gli utenti non saranno in grado di dimostrare il contrario. La sua opinione è condivisa da Matthew Green, professore di crittografia alla John Hopkins University , che consiglia di non fare affidamento sul nuovo servizio più che sui normali messaggi personali non crittografati.
Nonostante le ripetute richieste dei giornalisti, il servizio stampa di X non ha ancora fornito alcuna risposta alle domande di chiarimento sulla sicurezza di XChat.
RedazioneIl Segretario Generale del Garante per la protezione dei dati personali, Angelo Fanizza, ha rassegnato le proprie dimissioni a seguito di una riunione straordinaria tenuta questa mattina nella sala Ro...
Un impiegato si è dichiarato colpevole di aver hackerato la rete del suo ex datore di lavoro e di aver causato danni per quasi 1 milione di dollari dopo essere stato licenziato. Secondo l’accusa, i...
Una vulnerabilità critica, CVE-2025-9501, è stata scoperta nel popolare plugin WordPress W3 Total Cache Questa vulnerabilità consente l’esecuzione di comandi PHP arbitrari sul server senza autent...
Il Consiglio Supremo di Difesa, si è riunito recentemente al Quirinale sotto la guida del Presidente Sergio Mattarella, ha posto al centro della discussione l’evoluzione delle minacce ibride e digi...
Esattamente 40 anni fa, il 20 novembre 1985, Microsoft rilasciò Windows 1.0, la prima versione di Windows, che tentò di trasformare l’allora personal computer da una macchina con una monotona riga...
