Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 8 Settembre 2025 13:24
Il social network X, precedentemente noto come Twitter, ha iniziato a lanciare un nuovo servizio di messaggistica crittografata chiamato XChat. Si presenta formalmente come una piattaforma con crittografia end-to-end completa : la corrispondenza può essere letta solo dai suoi partecipanti e il servizio stesso non avrebbe accesso al contenuto.
Tuttavia, i crittografi stanno già sottolineando che l’implementazione attuale è tutt’altro che affidabile ed è inferiore a standard riconosciuti come Signal.
La prima preoccupazione riguarda il modo in cui XChat gestisce le chiavi . All’attivazione, all’utente viene chiesto di creare un PIN di quattro cifre, che viene utilizzato per crittografare la chiave privata. Questa chiave viene quindi memorizzata sui server di X, non sul dispositivo dell’utente. Questo non accade con Signal: la chiave segreta rimane sempre locale.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Non è chiaro se i moduli di sicurezza hardware (HSM) vengano utilizzati per proteggere le chiavi. Senza di essi, un operatore potrebbe teoricamente indovinare il PIN e accedere alla corrispondenza. Un rappresentante di X ha affermato in estate che sono stati utilizzati gli HSM, ma finora non è stata pubblicata alcuna conferma, il che ha portato gli esperti a parlare di un “regime di completa fiducia nelle parole dell’azienda“.
La seconda debolezza di XChat è descritta dall’azienda stessa nella sua pagina di supporto : la corrispondenza può essere compromessa da un “insider malintenzionato o da X”. Questa minaccia è nota come attacco “man-in-the-middle“, in cui il servizio sostituisce la chiave e ottiene di fatto la possibilità di leggere i messaggi. In questo caso, X fornisce all’utente una chiave pubblica senza la possibilità di verificare se è stata sostituita. Di conseguenza, gli utenti non hanno modo di verificare l’autenticità della protezione.
Il terzo problema è la natura chiusa del codice. A differenza di Signal, che è ben documentato e aperto a verifiche, XChat è ancora completamente proprietario. L’azienda promette di pubblicare un documento tecnico e di renderlo open source in futuro, ma non ci sono tempistiche precise.
Infine, XChat non supporta la cosiddetta modalità Perfect Forward Secrecy, in cui ogni messaggio viene crittografato con una chiave separata. Per questo motivo, la compromissione di una chiave privata consente a un aggressore di accedere all’intera cronologia della corrispondenza, non solo ai messaggi più recenti.
Il noto ricercatore Matthew Garrett osserva che, anche se ci si fida ora degli sviluppatori di X, questi possono cambiare le regole e indebolire la protezione in qualsiasi momento, e gli utenti non saranno in grado di dimostrare il contrario. La sua opinione è condivisa da Matthew Green, professore di crittografia alla John Hopkins University , che consiglia di non fare affidamento sul nuovo servizio più che sui normali messaggi personali non crittografati.
Nonostante le ripetute richieste dei giornalisti, il servizio stampa di X non ha ancora fornito alcuna risposta alle domande di chiarimento sulla sicurezza di XChat.
RedazioneIl MITRE ha reso pubblica la classifica delle 25 più pericolose debolezze software previste per il 2025, secondo i dati raccolti attraverso le vulnerabilità del national Vulnerability Database. Tali...
Un recente resoconto del gruppo Google Threat Intelligence (GTIG) illustra gli esiti disordinati della diffusione di informazioni, mettendo in luce come gli avversari più esperti abbiano già preso p...
All’interno del noto Dark Forum, l’utente identificato come “espansive” ha messo in vendita quello che descrive come l’accesso al pannello di amministrazione dell’Agenzia delle Entrate. Tu...
In seguito alla scoperta di due vulnerabilità zero-day estremamente critiche nel motore del browser WebKit, Apple ha pubblicato urgentemente degli aggiornamenti di sicurezza per gli utenti di iPhone ...
La recente edizione 2025.4 di Kali Linux è stata messa a disposizione del pubblico, introducendo significative migliorie per quanto riguarda gli ambienti desktop GNOME, KDE e Xfce. D’ora in poi, Wa...
