Questo sito contribuisce alla audience di Il Messaggero

Come controllare WhatsApp

di

Ogni giorno ricevo messaggi da parte di persone angosciate all’idea che un malintenzionato possa entrare nei loro account su WhatsApp, controllarli in maniera furtiva e spiare tutte le loro conversazioni. Si tratta di paure infondate o c’è davvero il rischio qualcuno ficchi il naso nei nostri messaggi? Proviamo a scoprirlo insieme.

Di seguito proveremo ad analizzare alcune delle principali tecniche utilizzate dai criminali informatici per spiare e controllare WhatsApp a distanza e scopriremo quali sono le “contromosse” da attuare per evitare di finire nel loro mirino. Ti anticipo subito che qualche rischio esiste davvero, d’altronde nessun sistema informatico è impenetrabile al 100%, ma non bisogna essere paranoici.

Adottando delle comuni regole di buonsenso e facendo attenzione a chi utilizza il nostro smartphone possiamo mettere “fuori gioco” la totalità degli attacchi verso WhatsApp senza rivolgerci a professionisti del settore e senza installare software particolari. Adesso però basta cincischiare, entriamo subito nel cuore dell’argomento e cominciamo ad analizzare le tecniche usate dai criminali informatici per spiare le conversazioni su WhatsApp: alcune sono davvero molto ingegnose, oltre che pericolose.

Furto d’identità su WhatsApp

Come controllare WhatsApp

Per spiare i nostri messaggi e controllare WhatsApp senza il nostro permesso, i criminali informatici devono riuscire a camuffare la loro reale identità. Devono fingersi noi, rubando la nostra identità online. Sono diverse le tecniche che possono consentire ai malintenzionati di rubare le nostre identità su WhatsApp, proviamo ad analizzarne un paio.

WhatsApp Web

WhatsApp Web è una funzione di WhatsApp che permette di accedere al servizio tramite PC utilizzando qualsiasi browser abilitato, come per esempio Chrome, Firefox o Safari. Per usufruirne, basta collegarsi alla sua pagina principale, inquadrare un QR code con la fotocamera dello smartphone e lasciare il telefono connesso a Internet (a qualsiasi rete, anche quella 3G/LTE del proprio operatore va bene).

Ebbene, se un malintenzionato riesce a entrare in possesso del tuo smartphone, lo usa per accedere a WhatsApp Web e in quel frangente spunta la casella resta connesso del servizio, che permette al browser di memorizzare l’identità dell’utente, può ottenere un accesso continuativo al tuo account senza che tu te ne accorga, o quasi. Ma di questo parleremo a breve…

Clonazione del Mac address

Un’altra tecnica attraverso la quale i criminali informatici possono perpetrare il furto d’identità su WhatsApp è la “clonazione” della app mediante camuffamento del MAC address.

Il MAC address è un codice di 12 cifre che serve a identificare in maniera univoca tutti i dispositivi in grado di connettersi a Internet, come smartphone, tablet, schede di rete dei PC e così via. WhatsApp lo utilizza insieme al numero di telefono per identificare i suoi utenti, quindi clonandolo – cioè camuffandolo in modo che appaia uguale a quello di un altro utente – è possibile rubare l’identità di un’altra persona e accedere alle sue conversazioni.

Esistono diverse applicazioni che permettono di modificare il MAC address dello smartphone, come ad esempio BusyBox e Mac Address Ghost su Android o SpoofMAC su iPhone. Utilizzarle non è complesso, basta aver effettuato il root su Android o il jailbreak su iPhone, ma richiede molto tempo.

Per portare a segno il proprio “colpo”, i criminali informatici devono infatti scoprire il MAC address del telefono della vittima (basta accedere al menu Impostazioni > Info di quest’ultimo), impostare lo stesso codice sul proprio device, installare una copia di WhatsApp e attivarla usando il numero di telefono della persona da spiare (sul quale verrà recapitato l’SMS con il codice di attivazione di WhatsApp).

Per nostra fortuna si tratta di una procedura molto articolata, richiede un accesso prolungato al telefono della vittima e una discreta preparazione tecnica da parte della persona che desidera metterla in pratica, tuttavia non bisogna sottovalutare la sua potenziale efficacia.

Come difendersi?

A questo punto, sorge spontanea una domanda: come proteggersi da chi vuole rubarci l’identità su WhatsApp? Considerando che la maggior parte delle tecniche prevede un accesso fisico al telefono della vittima (almeno inizialmente), per difendersi basta mettere in pratica alcune semplici regole di buonsenso.

  • Non prestare lo smartphone a sconosciuti e non lasciarlo incustodito in luoghi pubblici.
  • Impostare un PIN sicuro per bloccare accessi non autorizzati al telefono. Su Android basta andare nel menu Impostazioni > Sicurezza > Blocco Schermo e selezionare la voce PIN (oppure Sequenza, se si preferisce utilizzare una gesture al posto del PIN numerico), mentre su iPhone basta recarsi nel menu Impostazioni > Touch ID e Codice e selezionare la voce Cambia codice.
  • Impedire la visualizzazione degli SMS nella lock-screen. Quest’operazione, associata all’utilizzo di un PIN sicuro, scongiura il rischio che un malintenzionato possa attivare una copia clonata di WhatsApp usando il tuo numero di telefono (in quanto non potrà visualizzare il codice di conferma che sarà recapitato via SMS sul tuo device). Se hai uno smartphone Android, per disattivare la visualizzazione degli SMS nella lock-screen devi andare nel menu Impostazioni > Sicurezza > Blocco Schermo, impostare un PIN o una gesture e scegliere di nascondere solo i contenuti sensibili. Se hai un iPhone devi andare nel menu Impostazioni > Notifiche > Messaggi e togliere la spunta dalla voce Mostra in “Blocco schermo”.
  • Monitorare le sessioni di WhatsApp Web – prima abbiamo detto che se qualcuno accede a WhatsApp Web utilizzando il tuo smartphone tu non puoi accorgertene. Questo è vero, ma solo in parte. Recandoti nel menu Impostazioni > WhatsApp Web di WhatsApp puoi visualizzare tutte le sessioni di WhatsApp Web attive sul tuo account e pigiando sul pulsante Disconnettiti da tutti i computer puoi disattivarle in maniera istantanea. In questo modo tutti gli “spioni” collegati al tuo account tramite WhatsApp Web perderanno l’accesso automatico al servizio.

Applicazioni-spia

Come controllare WhatsApp

Ormai esistono tantissime applicazioni per spiare i cellulari. Alcune di esse sono costosissime e molto difficili da usare, altre invece sono molto più accessibili e si possono configurare anche avendo conoscenze informatiche limitate. Basti pensare alle soluzioni per il parental control o la localizzazione dei dispositivi smarriti, che si trovano tranquillamente sugli store ufficiali di Apple e Google, in alcuni casi sono gratis, ma se opportunamente configurate permettono anche di spiare e controllare uno smartphone a distanza.

Ma come facciamo a capire se qualcuno vuole controllare WhatsApp da remoto con una di queste app? Purtroppo non è facile in quanto la maggior parte delle applicazioni-spia si nasconde automaticamente da tutti i menu di sistema, ma tentar non nuoce.

Il primo suggerimento che ti do è dunque quello di entrare nel pannello di gestione delle applicazioni del tuo smartphone (Impostazioni > App > Tutte su Android e Impostazioni > Generali > Utilizzo spazio e iCloud > Gestisci spazio su iPhone) e controllare se ci sono nomi “sospetti”.

In caso di esito negativo, se sospetti la presenza di applicazioni-spia sul tuo device, mi spiace ma l’unica soluzione che rimane a tua disposizione è formattare la memoria del telefono. Trovi spiegato come fare nei miei tutorial su come resettare Android e come resettare iPhone.

Sniffing delle reti wireless

Come controllare WhatsApp

In conclusione vorrei parlarti del rischio “sniffing” wireless, che non permette ai malintenzionati di controllare WhatsApp in maniera diretta ma potrebbe consentire loro di leggere i tuoi messaggi.

Come ti ho spiegato anche nel mio post su come sniffare una rete wireless, esistono dei software che permettono di monitorare le reti wireless e di “catturare” tutti i dati che viaggiano su queste ultime. Fra questi potrebbero esserci anche i messaggi di WhatsApp, ma per fortuna esistono delle misure di protezione che vengono applicate in maniera automatica dal servizio e che dovrebbero tenerci ragionevolmente al sicuro.

Mi riferisco alla cifratura end-to-end che WhatsApp ha cominciato ad adottare alla fine del 2014, la quale protegge i messaggi usando un sistema a doppia chiave: una pubblica che viene condivisa con il proprio interlocutore e serve a cifrare le comunicazioni in uscita e una privata che invece risiede sul nostro smartphone e ci permette di decifrare le comunicazioni in entrata. Una tecnologia del genere assicura che i messaggi arrivino cifrati anche sui server di WhatsApp e siano decifrabili solo dai legittimi mittenti e destinatari, tuttavia non possiamo dormire sonni completamente tranquilli.

Come mai? Perché WhatsApp è un’applicazione closed source, non possiamo analizzare a fondo il suo codice sorgente e quindi non sappiamo se la cifratura end-to-end è stata implementata in maniera adeguata nel servizio. Un test risalente all’aprile del 2015, ad esempio, ha dimostrato che solo i messaggi inviati da e verso Android venivano cifrati con il sistema end-to-end, sulle altre piattaforme veniva utilizzato un sistema di cifratura basato sull’algoritmo RC4 che è molto più vulnerabile agli attacchi esterni.

Morale della favola? Dobbiamo fidarci di WhatsApp e dei suoi sistemi di protezione, oppure possiamo migrare verso altre applicazioni di messaggistica open source che applicano la cifratura end-to-end in maniera trasparente. A ognuno la propria scelta. In entrambi i casi è consigliabile evitare le reti Wi-Fi pubbliche che, come noto, sono un terreno di caccia molto battuto dai criminali informatici.