Questo sito contribuisce alla audience di Il Messaggero
Salvatore Aranzulla Day
Evento di formazione SEO con Salvatore Aranzulla. Scopri il programma

Come leggere messaggi WhatsApp

di

Hai paura che qualcuno possa accedere al tuo WhatsApp e leggere tutti i tuoi messaggi senza permesso? Non sei il solo, credimi. Nella mia casella di posta elettronica arrivano ogni giorno decine di messaggi di persone che hanno il tuo stesso timore, che hanno paura di essere spiate. A dire il vero c’è anche qualcuno che vorrebbe sapere come leggere messaggi WhatsApp a distanza, per spiare il partner o gli amici, ma per fortuna sono in minoranza!

Ad ogni modo, visto il grande interesse che suscita quest’argomento, oggi ho deciso di occuparmi di WhatsApp e della sua privacy. Vedremo insieme quali sono le tecniche più utilizzate dai criminali informatici per spiare le nostre conversazioni e scopriremo quali “armi” adottare per prevenire i loro attacchi. Ti assicuro che non ci vuole molto per dormire sonni relativamente tranquilli, basta applicare un pizzico di sano buonsenso all’utilizzo che facciamo dei nostri smartphone.

Nota: l’articolo che segue è pubblicato a puro scopo informativo. Intercettare le comunicazioni altrui rappresenta una grave violazione della privacy, nonché un reato, quindi io non mi assumo alcuna responsabilità circa l’uso che potrai fare delle informazioni che stai per leggere.

Sniffing delle reti wireless

Come leggere messaggi WhatsApp

Lo sniffing è quell’attività che prevede il monitoraggio di una rete wireless con il fine di “catturare” tutte le informazioni che circolano su quest’ultima. Esistono diversi strumenti per attuarla, come ad esempio il famosissimo software gratuito Wireshark (di cui ti ho parlato anche nella mia guida su come sniffare una rete wireless). Ma, fattivamente, quanto è pericolosa questa tecnica per i messaggi di WhatsApp?

Non è facile rispondere. Dalla fine del 2014 WhatsApp utilizza una tecnologia di cifratura end-to-end denominata TextSecure, la quale funziona mediante l’utilizzo di una coppia di chiavi: una chiave privata che risiede unicamente sui nostri smartphone e serve a decifrare i messaggi in entrata e una chiave pubblica che, invece, viene condivisa con il nostro interlocutore e viene utilizzata per cifrare i messaggi in uscita.

Questo, tradotto in parole povere, significa che i messaggi partono dai nostri telefonini in forma cifrata, passano per i server di WhatsApp e giungono sullo smartphone del destinatario senza che nessuno, all’infuori di quest’ultimo, possa visualizzarne il contenuto. La cosa bella è che avviene tutto “dietro le quinte”, noi non ci accorgiamo di nulla, però… c’è un però!

Nell’aprile del 2015 un team di ricercatori tedeschi ha realizzato uno studio sulla sicurezza di WhatsApp, studio dal quale è emerso che solo le conversazioni da e verso i terminali Android venivano cifrate utilizzando il sistema TextSecure. Le comunicazioni indirizzate ad altre piattaforme software adoperavano una cifratura basata sull’algoritmo RC4, che è notoriamente vulnerabile e quindi può consentire ad eventuali “sniffer” di risalire al contenuto dei messaggi.

In seguito alla pubblicazione dello studio, gli sviluppatori di Open Whisper Systems (coloro che hanno creato il sistema TextSecure) hanno puntualizzato che la cifratura end-to-end sarebbe arrivata gradualmente anche su iOS, Windows Phone e altri sistemi operativi, ma noi non possiamo sapere qual è precisamente la situazione attuale delle cose.

WhatsApp è un’applicazione closed source, non possiamo esaminare a fondo il suo codice sorgente, e quindi non possiamo sapere se (e come) la cifratura end-to-end viene applicata. Potrebbero esserci anche delle circostanze, o dei paesi, in cui questa viene disattivata in maniera volontaria dall’applicazione (rendendo le nostre comunicazioni più vulnerabili). Inoltre non possiamo sapere se l’implementazione di TextSecure all’interno della app sia avvenuto ad opera d’arte, potrebbero anche esserci degli errori in grado di “smontare” tutta l’ottima architettura di questo sistema.

Morale della favola? Se la cifratura end-to-end viene applicata correttamente, le comunicazioni di WhatsApp non risultano vulnerabili agli attacchi di sniffing (gli “spioni” otterrebbero solo dei pacchetti di dati illeggibili)… ma purtroppo non sappiamo essere sicuri al 100% dell’applicazione di questo sistema di protezione.

Come difendersi: è brutto a dirsi, ma dobbiamo “fidarci” di WhatsApp. Le uniche misure che possiamo adottare per prevenire gli attacchi da parte degli sniffer sono evitare di utilizzare le reti Wi-Fi pubbliche (che come noto sono il terreno di caccia preferito dei criminali informatici) e – come misura estrema – abbandonare WhatsApp in favore di un sistema di messaggistica open source in cui l’utilizzo della cifratura end-to-end è certo e verificato.

Furto d’identità

Come leggere messaggi WhatsApp

Un’altra minaccia a cui devi stare attento è quella relativa al furto d’identità. Grazie a un “trucchetto” di tipo psicologico (il cosiddetto social engineering) un malintenzionato potrebbe entrare in possesso del tuo telefono, convincendoti a prestarglielo, e rubare la tua identità su WhatsApp per avere libero accesso a tutte le conversazioni. Ci sono diversi modi per farlo.

Una delle tecniche più banali per accedere all’account di qualcun altro su WhatsApp è prendere lo smartphone della “vittima”, utilizzarlo per accedere a WhatsApp Web (il servizio online che permette di utilizzare WhatsApp su PC) e lasciare attiva la spunta sull’opzione Resta connesso che consente di leggere messaggi WhatsApp dal computer senza dover effettuare ogni volta l’accesso (quindi senza dover scansionare ogni volta il QR code che compare sullo schermo del PC).

In alternativa, un criminale informatico potrebbe camuffare l’indirizzo MAC del proprio smartphone (esistono diverse applicazioni per farlo, come ad esempio Address Ghost e BusyBox su Android e SpoofMAC su iPhone), farlo sembrare identico a quello del tuo telefono e installare una copia clonata di WhatsApp usando il tuo numero di cellulare per l’attivazione del servizio.

Qualora non ne avessi mai sentito parlare, il MAC address è un codice di 12 cifre che identifica in maniera univoca tutti i dispositivi in grado di connettersi a Internet (quindi smartphone, tablet, schede di rete ecc.). Viene utilizzato anche da WhatsApp per verificare l’identità degli utenti (insieme al numero di telefono) e, clonarlo, può consentire ai malintenzionati di accedere ai messaggi di un’altra persona senza che l’applicazione rilevi l’accesso al servizio da due smartphone differenti (operazione che normalmente non viene consentita). Se vuoi saperne di più, dai un’occhiata al mio post su come clonare WhatsApp in cui ti ho spiegato in maniera dettagliata come funzionano entrambe queste tecniche.

Come difendersi: gli attacchi che contemplano un accesso fisico allo smartphone della vittima (come quelli che abbiamo appena analizzato insieme) possono essere contrastati in maniera efficace applicando delle semplici regole di buonsenso.

  • Non prestare il cellulare a sconosciuti ed evitare di lasciare il dispositivo incustodito per troppo tempo. Sono consigli banali, scontati, ma più validi che mai!
  • Impostare un PIN sicuro per evitare che qualcuno possa accedere senza permesso al contenuto del nostro smartphone. Per impostare un nuovo PIN sul tuo cellulare segui le indicazioni riportate di seguito.

    • Android: vai nel menu Impostazioni > Sicurezza > Blocco Schermo e seleziona la voce “PIN” da quest’ultimo. In alternativa, se vuoi utilizzare una gesture da “disegnare” sullo schermo del telefono anziché un PIN numerico, seleziona la voce “Sequenza”.
    • iPhone: vai nel menu Impostazioni > Touch ID e Codice e selezionare la voce “Cambia codice” da quest’ultimo.
  • Disattivare la visualizzazione degli SMS nella lock-screen, in quanto potrebbe essere utilizzata dai malintenzionati per conoscere il codice di attivazione di una copia clonata di WhatsApp. Ecco come si fa.

    • Android: vai nel menu Impostazioni > Sicurezza > Blocco Schermo, impostare un “PIN” o una “Sequenza” e scegli l’opzione per “nascondere solo i contenuti sensibili”.
    • iPhone: vai nel menu Impostazioni > Notifiche > Messaggi e togli la spunta dalla voce “Mostra in Blocco schermo”.
  • Controlla le sessioni di WhatsApp Web per verificare che non ci siano computer sconosciuti connessi al tuo account. Se non sai come si fa, apri WhatsApp e seleziona la voce relativa a WhatsApp Web dal menu delle impostazioni. Se rilevi delle attività anomale pigia sul pulsante “Disconnettiti da tutti i computer“, in questo modo tutti i computer connessi al tuo account perderanno l’accesso (sarà richiesta nuovamente la scansione del codice QR).

Applicazioni spia

Come leggere messaggi WhatsApp

Purtroppo, come abbiamo visto in tutorial come quelli su come spiare un cellulare e come spiare Android, esistono tantissime applicazioni-spia che potrebbero consentire ai malintenzionati di controllare le nostre attività e perfino comandare i nostri smartphone a distanza. Difendersi non è facile, anche perché la maggior parte di queste app è “invisibile”, non si vede nei menu del sistema operativo.

La maniera più efficace per liberarsene è resettare Android o resettare iPhone riportando il cellulare allo stato di fabbrica, ma prima di ricorrere a una misura così estrema ti consiglio di controllare ugualmente nei menu di sistema e vedere se c’è qualche app sospetta da cancellare: nella fretta di portare a termine il suo piano, allo “spione” di turno potrebbe essere sfuggita la possibilità di nascondere la app!

Per vedere la lista delle applicazioni installate su Android vai nel menu Impostazioni > App e seleziona la scheda Tutte. Per farlo su iPhone, vai nel menu Impostazioni > Generali > Utilizzo spazio e iCloud e seleziona la voce Gestisci spazio collocata sotto la dicitura Archivio.