Ci sono molti software per i sistemi operativi mobili che forniscono crittografia end-to-end. Qual è il modo migliore per decidere quale è affidabile se la loro fonte non viene rivelata? Eseguire il reverse engineering di Android .apk o provare a monitorare il traffico di rete?
Monitorare il traffico di rete è un modo per vedere quanto sia facile interrompere la crittografia, ma non dirà nulla di quanto sia sicura l'app stessa, e solo se capiterà di scegliere uno standard molto debole sarebbe trovi qualcosa di interessante. Piuttosto, il rischio maggiore è un'app che rinuncerà alle chiavi in un modo specifico (locale o remoto) per consentire l'intercettazione. Questo è impossibile da sapere se non si dispone della fonte completa per l'app e di tutto il resto in esecuzione privilegiato sul telefono (che potrebbe curiosare nell'app). Il team dietro a Signal (Open Whisper systems) pubblica il proprio codice sorgente tramite Github.
Il modo migliore per decidere quale è affidabile secondo me è tornare alle verifiche professionali esterne. Se la fonte è chiusa e in aggiunta, non ci sono stati controlli, è davvero difficile dimostrare l'implementazione corretta della crittografia, l'assenza di bug e backdoor e punti deboli nella progettazione.
Se vuoi verificare personalmente l'applicazione, l'inversione dell'apk e il monitoraggio e l'analisi del traffico dovrebbero essere parte del processo.
Per ulteriori informazioni sulle applicazioni di comunicazione sottoposte a controllo, consultare EFF Secure Messaging Scorecard: collegamento
Leggi altre domande sui tag encryption android