Questo sito contribuisce alla audience di Il Messaggero
Salvatore Aranzulla Day
Evento di formazione SEO con Salvatore Aranzulla. Scopri il programma

Come controllare WhatsApp di un altro

di

Quanto è sicuro WhatsApp? Esiste la possibilità che qualcuno entri di nascosto nei nostri account per spiarne il contenuto? È vero che esistono delle app per controllare WhatsApp di un altro a distanza? Sono tantissime le persone che me lo chiedono, tutti i giorni, ma purtroppo non esiste una risposta univoca a questo genere di domande.

Mi piacerebbe liquidare la questione dicendo “stai tranquillo, WhatsApp è impenetrabile”, ma sarebbe una bugia. Direi il falso anche affermando il contrario, cioè che WhatsApp è un “colabrodo” sotto il punto di vista della sicurezza informatica. E allora, dove sta la verità? Nel mezzo, come sempre.

Per avere un quadro realistico della situazione, né troppo sereno né troppo allarmante, dobbiamo analizzare in dettaglio le tecniche sfruttate dai criminali informatici per attaccare WhatsApp e spiare i nostri messaggi e dobbiamo capire come prevenirli. Per fortuna – te lo anticipo – non bisogna essere degli esperti di informatica per dormire sonni ragionevolmente tranquilli, ma guai ad abbassare la guardia e, soprattutto, guai a non mettere in pratica tutte quelle sane regole di buonsenso che dovrebbero guidarci ogni giorno nell’utilizzo dei nostri smartphone. Spesso, ahimè, ce le dimentichiamo (per poi pentircene amaramente).

Applicazioni spia

Come controllare WhatsApp di un altro

Cominciamo dallo scottante tema legato alle applicazioni-spia. Come evidenziato anche in articoli precedenti, ad esempio quelli sulle applicazioni per spiare i cellulari e le tecniche per spiare gli smartphone Android, esistono delle app che consentono di monitorare e perfino comandare gli smartphone a distanza.

Questo significa che sì, potenzialmente qualcuno potrebbe spiare le tue attività da remoto, “catturare” tutto quello che visualizzi sullo schermo, tutto quello che digiti sulla tastiera del telefono, e perfino comandare il dispositivo a distanza. Ma per fortuna, nella maggior parte dei casi, per fare tutto ciò occorre un accesso fisico allo smartphone.

In altre parole, se impedisci ai malintenzionati di mettere le mani sul tuo telefono (o quantomeno di accedere liberamente al sistema operativo del dispositivo), puoi ridurre al minimo il rischio di essere spiato con una di queste app. Chiaro? Allora vediamo insieme come prevenire questo tipo di minacce.

  • Non prestare lo smartphone a persone di cui non ti fidi e non lasciare il dispositivo incustodito per molto tempo. Lo so, sono consigli di una banalità sconcertante, ma spesso è proprio la mancanza di attenzione nei dettagli che ci gioca brutti scherzi!
  • Impedisci che qualcuno possa accedere liberamente al tuo smartphone impostando un PIN sicuro per la lock-screen. Su Android basta andare nel menu Impostazioni > Sicurezza > Blocco Schermo e selezionare la voce PIN dalla schermata che si apre (oppure Sequenza, se preferisci utilizzare una gesture al posto del PIN numerico). Su iPhone bisogna andare nel menu Impostazioni > Touch ID e Codice e selezionare la voce Cambia codice.

Un altro consiglio che mi sento di darti è quello di recarti nel pannello di gestione delle app ((Impostazioni > App > Tutte su Android e Impostazioni > Generali > Utilizzo spazio e iCloud > Gestisci spazio su iPhone) e controllare se c’è qualche nome “sospetto”, ossia qualche app dal nome sconosciuto che potrebbe nascondere un’applicazione spia.

Purtroppo va detto che molte delle applicazioni per il monitoraggio degli smartphone sono in grado di nascondersi dai menu di sistema, quindi potresti non renderti conto della loro presenza. In situazioni del genere, se sospetti che qualcuno stia monitorando le tue attività ma non vedi applicazioni “sospette” nei menu del cellulare, non ti resta che formattare il dispositivo e cancellare tutti i dati presenti nella sua memoria. Trovi spiegato come fare nei miei tutorial su come resettare Android e come resettare iPhone.

Furto d’identità

Come controllare WhatsApp di un altro

Il furto d’identità è una delle tecniche più utilizzate per controllare WhatsApp di un altro. Consiste nell’ingannare i sistemi di protezione della app fingendosi un’altra persona, e quindi accedendo alle sue conversazioni.

Esistono diversi modi per mettere a segno questo genere di “colpo”. Uno dei più semplici prevede l’utilizzo di WhatsApp Web, la versione online di WhatsApp che permette di scambiarsi messaggi tramite PC.

Come ti ho spiegato anche nel mio tutorial su come usare WhatsApp su PC, WhatsApp Web funziona utilizzando lo smartphone come “ponte”. Si tratta di una semplice interfaccia per l’applicazione installata sul telefono, la quale non funziona se il device non è accesso e connesso a Internet, però… c’è un però.

WhatsApp Web funziona anche quando il telefono non è connesso alla stessa rete wireless del PC, quindi anche se questo si trova lontano dal computer ed è connesso a Internet tramite la rete dati 3G/LTE. Inoltre per accedere al servizio basta scansionare una sola volta il codice QR visualizzato nel browser con la fotocamera del cellulare: mettendo la spunta sull’opzione Resta connesso gli accessi successivi avvengono in maniera completamente automatica.

Questi due fattori potrebbero consentire a un malintenzionato di sottrarti lo smartphone – bastano pochi secondi -, effettuare l’acceso a WhatsApp Web e ottenere l’accesso al tuo account dal computer (o da un tablet, utilizzando la modalità di visualizzazione desktop di WhatsApp Web).

Per prevenire questo tipo di minaccia, metti in pratica i suggerimenti che ti ho dato prima (non prestare il telefono a sconosciuti e utilizzo di un PIN sicuro) e di tanto in tanto da’ un’occhiata alle sessioni di WhatsApp Web attive sul tuo account.

Per controllare le sessioni di WhatsApp Web attive sul tuo account, apri l’applicazione e seleziona la voce WhatsApp Web dal menu (…) (o dalla scheda Impostazioni, se utilizzi iOS). Se rilevi delle attività “sospette”, pigia sul pulsante Disconnettiti da tutti i computer e tutti i PC connessi al tuo account WhatsApp perderanno automaticamente l’accesso.

Un’altra tecnica mediante la quale i criminali informatici possono perpetrare il furto d’identità è clonare il MAC address del telefono della vittima. Il MAC address è un codice di 12 cifre che identifica in maniera univoca tutti i dispositivi in grado di connettersi a Internet e WhatsApp lo utilizza, insieme al numero di telefono, per identificare i suoi utenti.

Se un malintenzionato riesce a scoprire il MAC address del tuo smartphone (informazione facilmente reperibile nel menu Impostazioni > Info) e a camuffare quello del suo telefono in modo che appaia uguale a quest’ultimo (esistono delle applicazioni come MAC Address Ghost e BusyBox su Android e SpoofMAC su iPhone che consentono di farlo abbastanza facilmente), può installare una copia clonata di WhatsApp, attivarla con il tuo numero di telefono e accedere al tuo account senza che l’applicazione rilevi l’utilizzo dello stesso account su due cellulari diversi (operazione che normalmente non è consentita). Per maggiori informazioni su questo tipo di attacco e le “contromosse” che puoi mettere in atto per contrastarlo, leggi il mio tutorial su come clonare WhatsApp.

Sniffing wireless

Come controllare WhatsApp di un altro

Come ti ho spiegato nel mio post su come sniffare una rete wireless, esistono delle applicazioni, anche gratuite, che permettono di “catturare” tutti i dati che circolano su una rete wireless in modo da violare la privacy altrui.

WhatsApp sta cercando di contrastare questa minaccia adottando un sistema di cifratura end-to-end per i messaggi, ma purtroppo ci sono dei dubbi relativi alla sua reale applicazione. Con la cifratura end-to-end, le comunicazioni vengono criptate usando una coppia di chiavi (una pubblica che viene condivisa con l’interlocutore e cifra le comunicazioni in uscita e una privata che risiede unicamente sullo smartphone e decifra le comunicazioni in entrata) e viaggiano in maniera cifrata anche sui server del servizio. Questo significa che solo i legittimi mittenti e destinatari possono leggerne il contenuto, ma purtroppo ci sono dei sani dubbi relativi alla sua implementazione.

Uno studio pubblicato nell’aprile del 2015 ha dimostrato che solo i messaggi inviati da e verso Android venivano cifrati usando la cifratura end-to-end. Sugli altri sistemi operativi veniva utilizzato un sistema basato sull’algoritmo RC4 che è notoriamente vulnerabile agli attacchi di sniffing.

Inoltre c’è da prendere in considerazione il fatto che WhatsApp è un software closed source. Ciò significa che non possiamo analizzare a fondo il suo codice sorgente e non possiamo sapere se l’implementazione della cifratura end-to-end è stata fatta correttamente, se il sistema funziona su tutte le piattaforme (gli sviluppatori hanno promesso che sarebbe arrivato gradualmente anche su iOS, Windows Phone ecc.) o se, magari, è stato disattivato in alcune nazioni su pressione dei governi locali.

Insomma, dobbiamo fidarci e incrociare le dita affinché non ci siano “buchi” nell’implementazione dei sistemi di cifratura. L’unica cosa che possiamo fare per difenderci contro questo tipo di rischio è evitare l’utilizzo di reti Wi-Fi pubbliche (che come noto sono il terreno di caccia preferito dagli “spioni”) o utilizzare altre applicazioni di messaggistica, open source, con una cifratura end-to-end di provata affidabilità.

Attenzione: spiare le comunicazioni altrui rappresenta una grave violazione della privacy, nonché un reato punibile a norma di legge. Questo tutorial è stato scritto a puro scopo illustrativo e io non mi assumo alcuna responsabilità circa l’uso che verrà effettuato delle informazioni presenti in esso.