Questo sito contribuisce alla audience di Il Messaggero

Come hackerare WhatsApp

di

Dopo aver letto alcuni presunti tutorial su come hackerare WhatsApp, temi che qualcuno possa ficcare facilmente il naso nel tuo account e spiare tutte le tue conversazioni? Beh, fai bene a preoccuparti della tua privacy, però non devi essere paranoico. Spiare le chat di WhatsApp non è un’operazione impossibile, teoricamente tutti i sistemi informatici si possono “bucare”, ma per fortuna la situazione non è così disperata come si legge in giro.

Grazie alle ultime implementazioni in termini di cifratura, le conversazioni di WhatsApp sono diventate molto più difficili da intercettare rispetto al passato ed è quasi impossibile “catturarle” senza accedere fisicamente al telefono della vittima. Questo significa che con un pizzico di attenzione, impostando in maniera adeguata il proprio smartphone ed evitando di collegarsi a reti wireless pubbliche, si possono dormire sonni ragionevolmente tranquilli.

Ti andrebbe di saperne di più? Bene, allora continua a leggere. Adesso ti illustro le principali tecniche usate dai criminali informatici per hackerare gli account di WhatsApp e le migliori strategie per difendersi. Per completezza d’informazione, a fine guida sarà altresì mia premura indicarti quali sono gli accorgimenti da adottare per evitare di andare incontro a situazioni spiacevoli quali quelle descritte nel post. Ora, però, mettiamo al bando le ciance e procediamo!

Indice

Informazioni preliminari

Whatsapp

Per scoprire quali sono le principali tecniche usate dai criminali informatici per hackerare WhatsApp devo fornirti alcune informazioni preliminari che possono permetterti di comprendere bene come funziona l’applicazione e quali sono i sistemi di protezione adottati da quest’ultima.

WhatsApp utilizza un sistema di cifratura end-to-end (da punto a punto) che permette di visualizzare il contenuto delle conversazioni solo ai legittimi mittenti e destinatari. Grazie ad essa, le informazioni vengono protette con una sorta di lucchetto digitale, viaggiano in maniera criptata verso i server di WhatsApp e poi arrivano sul dispositivo del destinatario, dove vengono decifrate e quindi risultano leggibili da quest’ultimo.

Il tutto avviene in maniera automatica, senza che gli utenti debbano fare nulla, grazie a due chiavi crittografiche: una pubblica che viene condivisa tra gli utenti e una privata che risiede esclusivamente sullo smartphone di ciascun utente. Altra cosa importante da sottolineare è che la cifratura copre non solo i messaggi testuali, ma anche le foto, i video e tutti gli altri contenuti che possono essere gestiti da WhatsApp.

Per essere più precisi, il sistema di cifratura utilizzato da WhatsApp si chiama TextSecure, è open source ed è stato sviluppato dalla società Open Whisper Systems, che ha annunciato la sua collaborazione con il celebre servizio di messaggistica nel novembre 2014. Questo significa che precedentemente WhatsApp non utilizzava la stessa misura di protezione. Impiegava, infatti, un sistema di cifratura basato sull’algoritmo RC4, il quale lavorava solo in uscita (dal dispositivo del mittente ai server del servizio) ed era molto più facile da attaccare.

Alcuni test realizzati dalla società di sicurezza Heise nell’aprile del 2015 hanno dimostrato che la cifratura end-to-end non era stata adottata contemporaneamente su tutte le versioni di WhatsApp: all’epoca dei test era presente solo su Android, mentre sulle altre piattaforme software veniva utilizzato ancora l’algoritmo RC4, ma ora la situazione è cambiata e per fortuna la cifratura end-to-end è attiva su tutte le versioni di WhatsApp indipendentemente dal sistema operativo installato sul dispositivo. Se vuoi maggiori informazioni a riguardo, puoi leggere anche il mio tutorial su come crittografare WhatsApp.

Alla luce di quanto detto, adesso WhatsApp dovrebbe essere ragionevolmente sicuro, la cifratura end-to-end dovrebbe impedire ai malintenzionati di catturare le conversazioni tramite attività come lo sniffing delle reti wireless (cioè il monitoraggio della rete a cui è collegato il dispositivo di riferimento, di cui ti ho parlato in dettaglio nella mia guida su come sniffare una rete wireless), ma purtroppo ci sono alcune incognite di cui bisogna tenere conto.

Innanzitutto, bisogna dire che WhatsApp è un software closed source, per cui non possiamo esaminare a fondo il suo codice sorgente e non possiamo sapere se la cifratura end-to-end è stata implementata in maniera impeccabile. Poi esistono altre tecniche, quali quelle che trovi segnalate in questo tutorial, meno raffinate dello sniffing wireless ma non per questo meno efficaci, che permettono di spiare WhatsApp e le conversazioni avute all’interno della app.

Nel 2021, per esempio, si è fatta un po’ di polemica perché si è scoperto che segnalando dei contenuti in WhatsApp, i messaggi oggetto della segnalazione vengono visti in chiaro dallo staff del social network, insieme ai quattro precedenti (inviati per dare “un contesto” alla conversazione), ma si tratta di una cosa piuttosto normale, visto che le segnalazioni devono essere valutate nel merito dai responsabili del servizio e vengono inviate volontariamente dagli utenti (non avrebbe senso inviare per la valutazione da parte dello staff di WhatsApp un messaggio illeggibile!).

Come fare per hackerare WhatsApp

A questo punto, direi che ci siamo: possiamo finalmente entrare nel vivo della guida e andare a scoprire, dunque, quali sono le tecniche maggiormente diffuse tra i malintenzionati per hackerare WhatsApp. Le trovi segnalate qui sotto.

Clonazione del MAC address

Hacker

Una tecnica per hackerare WhatsApp molto in voga fra i criminali informatici è quella che prevede la clonazione del MAC address, o per meglio dire l’installazione di una copia “clonata” della app. Cosa s’intende per copia “clonata”? Te lo spiego subito.

Camuffando l’indirizzo MAC del proprio smartphone e attivando WhatsApp con il tuo numero di telefono, un malintenzionato potrebbe usufruire del servizio di messaggistica sul suo smartphone, ingannando i sistemi di verifica della app e accedendo in modo indisturbato al tuo account.

Il MAC address, infatti, è un codice numerico che identifica in maniera univoca tutti i dispositivi in grado di connettersi a Internet e WhatsApp lo utilizza, insieme al numero di telefono, per verificare l’identità degli utenti.

Ora, se qualcuno con delle conoscenze informatiche medio-alte riesce a sottrarti lo smartphone e a scoprire il MAC address del dispositivo (informazione liberamente accessibile dal menu con le informazioni del sistema operativo), può utilizzare delle applicazioni per camuffare il MAC address del proprio smartphone (es. BusyBox e Mac Address Ghost per Android o SpoofMAC per iPhone, di cui ti ho parlato nella mia guida su come clonare WhatsApp) e farlo apparire uguale a quello del tuo.

Arrivato a questo punto, lo “spione” di turno può installare una copia di WhatsApp sul proprio cellulare, attivarla usando il tuo numero di telefono (per cui facendo recapitare l’SMS con il codice di verifica sul tuo device) e accedere al servizio fingendosi te, quindi ottenendo l’accesso completo alle tue conversazioni.

Di per sé, dunque, la clonazione del MAC address non è un’operazione molto complessa, ma per portarla a termine bisogna ottenere l’accesso fisico allo smartphone della vittima e bisogna avere anche un bel po’ di tempo a propria disposizione.

E se qualcuno, con conoscenze informatiche più modeste, provasse ad attivare una nuova copia di WhatsApp con il tuo numero? La risposta è presto data: senza clonazione preventiva del MAC address si rivelerebbe un’operazione abbastanza inutile. WhatsApp, infatti, consente di associare ogni numero di telefono a un solo smartphone per volta. Questo significa che il legittimo proprietario dell’account potrebbe tornare in pieno possesso della sua identità semplicemente riattivando WhatsApp sul proprio smartphone. Il telefono dello “spione” perderebbe automaticamente l’accesso.

 

App spia

Spiare

Altro pericolo a cui bisogna stare molto attenti sono le cosiddette app spia, ovvero delle applicazioni, spesso invisibili all’occhio dell’utente, in grado di hackerare WhatsApp registrando i messaggi composti sulla tastiera, catturando screenshot dello schermo del telefono e inviando altre informazioni a persone in remoto.

Di applicazioni di questo genere ce ne sono davvero tante: alcune di natura più professionale e a pagamento, progettate con il chiaro scopo di spiare gli utenti e altre spesso gratuite, che ufficialmente servono a svolgere attività di parental control o a sorvegliare il telefono in caso di smarrimento/furto ma che configurate a dovere possono diventare degli strumenti di spionaggio a tutto tondo. Fortunatamente, però, non si tratta di app alla portata di tutti e, inoltre, sono molto costose e si possono usare solo sui dispositivi su cui è stato effettuato il root o il jailbreak.

Tra le applicazioni spia più avanzate e più diffuse al momento ti segnalo iKeyMonitor, che è compatibile sia con Android che con iPhone e permette di spiare tutte le attività: le app usate, i messaggi scambiati, i testi digitati sulla tastiera del telefono, le chiamate e molto altro ancora.

Tra le app di parental control, invece, ti segnalo Qustodio, che è fruibile sia su Android che su iOS, oltre che Screen Time, disponibile anch’essa sia per Android che per iOS, le quali permettono di monitorare le applicazioni eseguite sul telefono e di limitarne l’uso, anche se non consentono un tracciamento diretto dei messaggi scambiati all’interno di WhatsApp.

WhatsApp Web/Desktop

Foto che mostra aun utente che usa un MacBook

Conosci WhatsApp Web? Si tratta di un servizio online che permette di usare WhatsApp dal computer senza installare software specifici. E di WhatsApp Desktop, ne hai mai sentito parlare? È il client per Windows e macOS del famoso servizio di messaggistica oggetto di questa guida. Ti ho descritto entrambe le soluzioni nel mio tutorial su come usare WhatsApp su PC.

Sia WhatsApp Web che Desktop sono in grado di memorizzare l’identità dell’utente, quindi dopo il primo login non c’è bisogno di autenticarsi nuovamente e funziona anche se lo smartphone non è connesso alla stessa rete wireless del PC (basta che sia connesso a una qualsiasi rete Wi-Fi, o anche alla rete dati 3G/4G/5G) e anche quando lo smartphone non è collegato, se nelle impostazioni di WhatsApp è stata attivata la funzione multi-dispositivo (che al momento in cui sto scrivendo questo tutorial è ancora in versione beta, maggiori informazioni qui).

Da questi “indizi” puoi capire facilmente che un malintenzionato potrebbe sottrarti il telefono con una qualsiasi scusa, usarlo per accedere a WhatsApp Web sul suo computer (basta scansionare un QR code con la fotocamera del cellulare) e spiare i tuoi messaggi, sebbene a oggi tale tecnica non possa più essere considerata valida al 100% in quanto WhatsApp invia delle notifiche relative all’accesso e richiede l’identificazione biometrica per attivare l’accesso.

Come hackerare WhatsApp senza telefono vittima

Come hackerare un account Facebook

Qualora ti stessi domandando se esiste un modo per hackerare WhatsApp senza avere a portata di mano il telefono della vittima, ti rispondo subito che sì, la cosa è fattibile, sebbene in tal caso il termine “hackeraggio” non sia propriamente corretto.

Devi sapere, infatti, che esistono alcuni servizi per monitorare gli accessi a WhatsApp, fruibili sotto forma di app oppure dal browser, che offrono la possibilità di ottenere il dato in questione digitando il numero di telefono della persona di tuo interesse.

Non richiedono un accesso fisico allo smartphone della vittima e non ci si può difendere contro la loro azione, in quanto gli orari di accesso a WhatsApp sono dati pubblici in fin dei conti, ma per fortuna non agiscono in altro modo.

Nella maggior parte dei casi, impiegare soluzioni del genere è totalmente gratis, ma alcune funzionalità avanzate, come può esserlo l’esportazione dei dati ottenuti, sono disponibili solo a pagamento. Inoltre, bisogna mettere in conto che di tanto in tanto servizi di questo tipo smettono di funzionare correttamente o, addirittura, completamente.

Come non farsi hackerare WhatsApp

Segreteria personalizzata sullo smartphone

Come ti avevo anticipato a inizio guida, mi sembra doveroso indicarti anche come evitare che un malintenzionato possa hackerare il tuo account WhatsApp mettendo in pratica le tecniche che ti ho descritto nelle righe precedenti. Qui di seguito, dunque, trovi tutta una serie di utili suggerimenti.

  • Aggiorna WhatsApp — scaricando sempre gli ultimi aggiornamenti disponibili per l’app di WhatsApp puoi impedire ai malintenzionati di usare eventuali falle che questi potrebbero scovare nel codice dell’app. Per maggiori dettagli al riguardo, puoi leggere la mia guida su come aggiornare WhatsApp su iPhone.
  • Disconnetti i dispositivi da WhatsApp — se temi che qualcuno stia usando il tuo account WhatsApp a tua insaputa, per risolvere scollega tutti i dispositivi attualmente attivi con il servizio. Per riuscirci, ti basta intervenire dalle impostazioni dell’app, come ti ho spiegato in dettaglio nella mia guida su come disconnettere WhatsApp Web.
  • Abilita il blocco su WhatsApp — devi sapere che WhatsApp mette a disposizione dei suoi utenti una funzione che consente di bloccare l’accesso all’applicazione tramite volto o impronta digitale, il che consente di impedire l’accesso alle proprie conversazioni a chi non è autorizzato. Per capire come abilitare questa funzione, leggi la mia guida su come mettere il blocco su WhatsApp.
  • Imposta un PIN sicuro — se utilizzi un PIN sufficientemente sicuro sul tuo cellulare puoi evitare che i malintenzionati possano accedere al to telefono e, di conseguenza, anche a WhatsApp. La maggior parte dei dispositivi consente anche di configurare lo sblocco impostando l’uso dell’impronta digitale e quella del volto. Per maggiori dettagli, consulta il mio articolo su come bloccare lo schermo.
  • Disattiva la visualizzazione degli SMS nella lock screen — effettuando la clonazione del MAC address dello smartphone un malintenzionato può attivare WhatsApp sul proprio telefono usando il suo numero. Per riuscirci, però, deve poter leggere il codice di verifica fornito tramite SMS sul tuo cellulare. Per cui, disattivando la visualizzazione degli SMS nella lock screen puoi impedire il verificarsi situazioni di questo tipo. Per capire come procedere, leggi il mio post su come non far vedere i messaggi sul blocco schermo.
  • Non usare reti Wi-Fi pubbliche — la cifratura end-to-end non dovrebbe rendere possibile lo sniffing delle reti wireless, ma per maggiore sicurezza ti suggerisco di evitare di collegare il tuo cellulare a reti Wi-Fi pubbliche e/o a reti che non dispongono di protezioni adeguate. Piuttosto usa la rete 3G/4G/5G della tua SIM. In alternativa, puoi un servizio VPN (rete privata virtuale) sul tuo smartphone. Grazie a servizi di questo tipo, come ad esempio NordVPN (di cui ti ho parlato approfonditamente qui) e Surfshark (di cui ti ho parlato qui), potrai cifrare tutti i dati della tua connessione rendendoli inaccessibili all’esterno, superare i blocchi regionali, le censure e perfino accedere ai cataloghi esteri dei servizi di streaming. Il tutto a prezzi abbastanza contenuti.
  • Verifica la presenza di app spia — se ritieni che possano esserci delle app spia sul tuo cellulare, accedi alla lista delle applicazioni installate su du essi per controllare ciò e, chiaramente, rimuovile il prima possibile. Per approfondimenti, leggi il mio post su come eliminare software spia dal cellulare.
  • Riattiva l’account disattivato — se qualcuno ha abilitato WhatsApp su un altro device con il tuo numero di telefono, non ti sarà più possibile usufruirne sul tuo smartphone. Se ti trovi in una situazione del genere, rivolgiti all’assistenza di WhatsApp per segnalare la cosa. Per saperne di più, leggi la mia guida su come contattare WhatsApp.
Salvatore Aranzulla

Autore

Salvatore Aranzulla

Salvatore Aranzulla è il blogger e divulgatore informatico più letto in Italia. Noto per aver scoperto delle vulnerabilità nei siti di Google e Microsoft. Collabora con riviste di informatica e cura la rubrica tecnologica del quotidiano Il Messaggero. È il fondatore di Aranzulla.it, uno dei trenta siti più visitati d'Italia, nel quale risponde con semplicità a migliaia di dubbi di tipo informatico. Ha pubblicato per Mondadori e Mondadori Informatica.