Questo sito contribuisce alla audience di Il Messaggero
Settimana del Black Friday
Scopri le migliori offerte dell'Amazon Black Friday 2018. Vedi le offerte Amazon

Come controllare WhatsApp di un altro

di

Quanto è sicuro WhatsApp? Esiste la possibilità che qualcuno entri di nascosto nei nostri account per spiarne il contenuto? È vero che esistono delle app per controllare WhatsApp di un altro a distanza? Sono tantissime le persone che me lo chiedono, tutti i giorni, ma purtroppo non esiste una risposta univoca a questo genere di domande. Mi piacerebbe liquidare la questione dicendo “stai tranquillo, WhatsApp è impenetrabile”, ma sarebbe una bugia. Direi il falso anche affermando l’esatto contrario, cioè che WhatsApp è un “colabrodo” sotto il punto di vista della sicurezza informatica. E allora, dove sta la verità? Nel mezzo, come sempre.

Per avere un quadro realistico della situazione, né troppo sereno né troppo allarmante, dobbiamo analizzare in dettaglio le tecniche sfruttate dai criminali informatici per attaccare WhatsApp e spiare i nostri messaggi e dobbiamo capire come prevenirli. Per fortuna — te lo anticipo — non bisogna essere degli esperti di informatica per dormire sonni ragionevolmente tranquilli, ma guai ad abbassare la guardia e, soprattutto, guai a non mettere in pratica tutte quelle sane regole di buonsenso che dovrebbero guidarci ogni giorno nell’utilizzo dei nostri smartphone. Spesso, ahimè, ce le dimentichiamo (per poi pentircene amaramente).

Attenzione: nel tutorial farò riferimento ad alcune tecniche di hacking utilizzate per spiare le comunicazioni altrui. Ti esorto a non metterle in atto, in quanto questo rappresenterebbe una grave violazione della privacy, nonché un reato punibile dalla legge. Questa guida è stata scritta a puro scopo illustrativo e io non mi assumo alcuna responsabilità circa l’uso che farai delle informazioni presenti in esso.

Indice

Applicazioni spia

Come controllare WhatsApp di un altro

Cominciamo dallo scottante tema legato alle applicazioni-spia. Come evidenziato anche in articoli precedenti, ad esempio quelli sulle applicazioni per spiare i cellulari e sulle tecniche per spiare gli smartphone Android, esistono delle app che consentono di monitorare e perfino comandare gli smartphone a distanza.

Questo significa che sì, potenzialmente qualcuno potrebbe spiare le tue attività da remoto, “catturare” tutto quello che visualizzi sullo schermo, tutto quello che digiti sulla tastiera del telefono e perfino comandare il dispositivo a distanza. Ma per fortuna, nella stragrande maggioranza dei casi, per fare tutto ciò occorre un accesso fisico allo smartphone.

In altre parole, se impedisci ai malintenzionati di mettere le mani sul tuo telefono (o quantomeno di accedere liberamente al sistema operativo del dispositivo), puoi ridurre al minimo il rischio di essere spiato con una di queste app. Chiaro? Ecco, dunque, alcuni consigli su come prevenire questo problema.

  • Non prestare lo smartphone a persone di cui non ti fidi e non lasciare il dispositivo incustodito per molto tempo. Lo so, sono consigli di una banalità sconcertante, ma spesso è proprio la mancanza di attenzione nei dettagli che gioca dei brutti scherzi!
  • Impedisci che qualcuno possa accedere liberamente al tuo smartphone impostando un PIN sicuro per la lock-screen. Su Android basta andare nel menu Impostazioni > Sicurezza > Blocco Schermo e selezionare la voce PIN dalla schermata che si apre. Su iPhone bisogna andare nel menu Impostazioni > Touch ID e Codice (o Face ID e Codice) e selezionare la voce Cambia codice. Se il tuo dispositivo supporta lo sblocco tramite impronte digitali e/o riconoscimento facciale, utilizzalo visto che è un metodo ancora più sicuro.

Un altro consiglio che mi sento di darti è quello di recarti nel pannello di gestione delle app (Impostazioni > App > Tutte su Android e Impostazioni > Generali > Spazio libero iPhone su iPhone) e controllare se c’è qualche nome “sospetto”, ossia qualche app dal nome sconosciuto che potrebbe nascondere un’applicazione spia.

Purtroppo va detto che molte delle applicazioni per il monitoraggio degli smartphone sono in grado di nascondersi dai menu di sistema, quindi potresti non renderti conto della loro presenza. In situazioni del genere, se sospetti che qualcuno stia monitorando le tue attività ma non vedi applicazioni “sospette” nei menu del cellulare, non ti resta che formattare il dispositivo e cancellare tutti i dati presenti nella sua memoria. Trovi spiegato come fare nei miei tutorial su come resettare Android e come resettare iPhone.

Furto d’identità

Come controllare WhatsApp di un altro

Il furto d’identità è una delle tecniche più utilizzate per controllare WhatsApp di un altro. Consiste nell’ingannare i sistemi di protezione della app fingendosi un’altra persona, e quindi accedendo alle sue conversazioni. Esistono diversi modi per mettere a segno questo genere di “colpo”. Fra i metodi più comuni c’è l’utilizzo di WhatsApp Web/Desktop, la versione per computer di WhatsApp che permette di scambiarsi messaggi dal browser o dal client ufficiale del servizio, e la clonazione del MAC adress. Analizziamoli entrambi più da vicino.

WhatsApp Web/Desktop

Come ti ho spiegato anche nel mio tutorial su come usare WhatsApp su PC, WhatsApp Web funziona utilizzando lo smartphone come “ponte”. Si tratta di una semplice interfaccia per l’applicazione installata sul telefono, la quale non funziona se il device non è accesso e connesso a Internet, però… c’è un però.

WhatsApp Web funziona anche quando il telefono non è connesso alla stessa rete wireless del PC, quindi anche se questo si trova lontano dal computer ed è connesso a Internet tramite la rete dati 3G o 4G LTE. Altro aspetto potenzialmente “critico”, riguarda il fatto che per accedere al servizio basta scansionare una sola volta il codice QR visualizzato nel browser con la fotocamera del cellulare: mettendo la spunta sull’opzione Resta connesso, gli accessi successivi avvengono in maniera completamente automatica.

Questi due fattori potrebbero consentire a un malintenzionato di sottrarti lo smartphone, effettuare l’acceso a WhatsApp Web e ottenere l’accesso al tuo account dal computer (o da un tablet, utilizzando la modalità di visualizzazione desktop di WhatsApp Web). Tutto in pochi secondi!

Per prevenire questo tipo di minaccia, metti in pratica i suggerimenti che ti ho dato prima (ovvero non prestare il telefono a sconosciuti e utilizzo un PIN di sblocco sicuro) e di tanto in tanto dai un’occhiata alle sessioni di WhatsApp Web attive sul tuo account.

Per controllare le sessioni di WhatsApp Web attive sul tuo account, apri l’applicazione e seleziona la voce WhatsApp Web dal menu (…) (o dalla scheda Impostazioni, se utilizzi iOS). Se rilevi delle attività “sospette”, pigia sul pulsante Disconnettiti da tutti i computer e tutti i PC connessi al tuo account WhatsApp perderanno automaticamente l’accesso.

Inoltre, tieni sempre d’occhio le notifiche che arrivano sul tuo smartphone: nelle ultime versioni, infatti, WhatsApp notifica in maniera automatica l’utente quando viene effettuato un nuovo accesso a WhatsApp Web o WhatsApp Desktop.

Clonare il MAC Address

Un’altra tecnica mediante la quale i criminali informatici possono perpetrare il furto d’identità è clonando il MAC address del telefono della vittima. Qualora tu non lo sapessi, il MAC address è un codice di 12 cifre che identifica in maniera univoca tutti i dispositivi in grado di connettersi a Internet e WhatsApp lo utilizza, insieme al numero di telefono, per identificare i suoi utenti.

Se un malintenzionato riesce a scoprire il MAC address del tuo smartphone (informazione facilmente reperibile nel menu Impostazioni > Info) e a camuffare quello del suo telefono in modo che appaia uguale a quest’ultimo (esistono delle applicazioni come MAC Address Ghost su Android e SpoofMAC su iPhone che consentono di farlo abbastanza facilmente), può installare una copia “clonata” di WhatsApp, attivarla con il tuo numero di telefono e accedere al tuo account senza che l’applicazione rilevi l’utilizzo dello stesso account su due cellulari diversi (operazione che, come forse già saprai, normalmente non è consentita). Per maggiori informazioni su questo tipo di attacco e le “contromosse” che puoi mettere in atto per contrastarlo, leggi il mio tutorial su come clonare WhatsApp.

Sniffing wireless

Come controllare WhatsApp di un altro

Come ti ho spiegato nel mio post su come sniffare una rete wireless, esistono delle applicazioni, anche gratuite, che permettono di “catturare” tutti i dati che circolano su una rete wireless in modo da violare la privacy altrui.

WhatsApp contrasta efficacemente questa minaccia con l’adozione del sistema di cifratura end-to-end per tutte le comunicazioni. Con la cifratura end-to-end, messaggi, chiamate e altri contenuti vengono criptati usando una coppia di chiavi (una pubblica, che viene condivisa con l’interlocutore e cifra le comunicazioni in uscita, e una privata, che invece risiede unicamente sullo smartphone di ciascun utente e decifra le comunicazioni in entrata) e viaggiano in maniera cifrata anche sui server del servizio. Questo significa che solo i legittimi mittenti e destinatari possono leggerne il contenuto, ma è giusto avere qualche piccolo dubbio relativo alla sua implementazione.

Uno studio pubblicato nell’aprile del 2015 aveva dimostrato che solo i messaggi inviati da e verso Android venivano cifrati usando la cifratura end-to-end. Sugli altri sistemi operativi veniva utilizzato un sistema basato sull’algoritmo RC4, che è notoriamente vulnerabile agli attacchi di sniffing. Ora la situazione è diversa, in quanto tutte le piattaforme adottano la cifratura end-to-end, ma c’è un altro problema di cui bisogna non dimenticarsi. WhatsApp è un software closed source. Ciò significa che non possiamo analizzare a fondo il suo codice sorgente e non possiamo sapere se l’implementazione della cifratura end-to-end è stata fatta correttamente, se il sistema funziona su tutte le piattaforme o se, magari, è stato disattivato in alcune nazioni su pressione dei governi locali.

Insomma, dobbiamo fidarci e incrociare le dita affinché non ci siano “buchi” nell’implementazione dei sistemi di cifratura in questione. L’unica cosa che possiamo effettivamente fare per difenderci contro questo tipo di rischio è evitare l’utilizzo di reti Wi-Fi pubbliche (che come noto sono il terreno di caccia preferito dagli “spioni”) o utilizzare altre applicazioni di messaggistica, magari open source, con una cifratura end-to-end di provata affidabilità.