Redazione RHC : 8 Settembre 2025 13:24
Il social network X, precedentemente noto come Twitter, ha iniziato a lanciare un nuovo servizio di messaggistica crittografata chiamato XChat. Si presenta formalmente come una piattaforma con crittografia end-to-end completa : la corrispondenza può essere letta solo dai suoi partecipanti e il servizio stesso non avrebbe accesso al contenuto.
Tuttavia, i crittografi stanno già sottolineando che l’implementazione attuale è tutt’altro che affidabile ed è inferiore a standard riconosciuti come Signal.
La prima preoccupazione riguarda il modo in cui XChat gestisce le chiavi . All’attivazione, all’utente viene chiesto di creare un PIN di quattro cifre, che viene utilizzato per crittografare la chiave privata. Questa chiave viene quindi memorizzata sui server di X, non sul dispositivo dell’utente. Questo non accade con Signal: la chiave segreta rimane sempre locale.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence".
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Non è chiaro se i moduli di sicurezza hardware (HSM) vengano utilizzati per proteggere le chiavi. Senza di essi, un operatore potrebbe teoricamente indovinare il PIN e accedere alla corrispondenza. Un rappresentante di X ha affermato in estate che sono stati utilizzati gli HSM, ma finora non è stata pubblicata alcuna conferma, il che ha portato gli esperti a parlare di un “regime di completa fiducia nelle parole dell’azienda“.
La seconda debolezza di XChat è descritta dall’azienda stessa nella sua pagina di supporto : la corrispondenza può essere compromessa da un “insider malintenzionato o da X”. Questa minaccia è nota come attacco “man-in-the-middle“, in cui il servizio sostituisce la chiave e ottiene di fatto la possibilità di leggere i messaggi. In questo caso, X fornisce all’utente una chiave pubblica senza la possibilità di verificare se è stata sostituita. Di conseguenza, gli utenti non hanno modo di verificare l’autenticità della protezione.
Il terzo problema è la natura chiusa del codice. A differenza di Signal, che è ben documentato e aperto a verifiche, XChat è ancora completamente proprietario. L’azienda promette di pubblicare un documento tecnico e di renderlo open source in futuro, ma non ci sono tempistiche precise.
Infine, XChat non supporta la cosiddetta modalità Perfect Forward Secrecy, in cui ogni messaggio viene crittografato con una chiave separata. Per questo motivo, la compromissione di una chiave privata consente a un aggressore di accedere all’intera cronologia della corrispondenza, non solo ai messaggi più recenti.
Il noto ricercatore Matthew Garrett osserva che, anche se ci si fida ora degli sviluppatori di X, questi possono cambiare le regole e indebolire la protezione in qualsiasi momento, e gli utenti non saranno in grado di dimostrare il contrario. La sua opinione è condivisa da Matthew Green, professore di crittografia alla John Hopkins University , che consiglia di non fare affidamento sul nuovo servizio più che sui normali messaggi personali non crittografati.
Nonostante le ripetute richieste dei giornalisti, il servizio stampa di X non ha ancora fornito alcuna risposta alle domande di chiarimento sulla sicurezza di XChat.
RedazioneI macro movimenti politici post-covid, comprendendo i conflitti in essere, hanno smosso una parte predominante di stati verso cambi di obbiettivi politici sul medio/lungo termine. Chiaramente è stato...
Come abbiamo riportato questa mattina, diversi cavi sottomarini nel Mar Rosso sono stati recisi, provocando ritardi nell’accesso a Internet e interruzioni dei servizi in Asia e Medio Oriente. Micros...
La Commissione Europea ha inflitto a Google una multa di 2,95 miliardi di euro, per abuso di posizione dominante nel mercato della pubblicità digitale. L’autorità di regolamentazione ha affermato ...
La cultura hacker è nata grazie all’informatico Richard Greenblatt e al matematico Bill Gosper del Massachusetts Institute of Technology (MIT). Tutto è iniziato nel famoso Tech Model Railroad Club...
Sette italiani su dieci hanno il proprio numero di telefono incluso in questa banca dati. Ma cosa significa attualmente disporre di un tale quantitativo di numeri telefonici concentrati all’interno ...
