Questo sito contribuisce alla audience di Il Messaggero

Come spiare messaggi WhatsApp

di

Hai paura che qualcuno possa spiare le tue conversazioni su WhatsApp? Vorresti qualche consiglio su come difenderti da questo tipo di minacce? Allora credo che tu sia capitato nel posto giusto al momento giusto.

Viste anche le numerose richieste che ho ricevuto sull’argomento, oggi ho deciso di occuparmi della privacy su WhatsApp: ti parlerò di alcune delle principali tecniche utilizzate dai malintenzionati per intercettare le conversazioni su questo popolarissimo servizio di messaggistica e, cosa ancora più importante, ti consiglierò alcune misure preventive da adottare per scongiurare che qualcuno possa ficcare il naso nel tuo account. Allora, sei pronto a cominciare?

Te lo dico subito: per fortuna spiare messaggi WhatsApp non è facile come si legge in giro (o almeno non lo è più), però guai ad abbassare la guardia! Bisogna stare sempre attenti e seguire tutte quelle regole di buonsenso che ci permettono di compiere le nostre attività digitali in maniera ragionevolmente tranquilla. Se vuoi capire meglio a cosa mi riferisco, continua a leggere, trovi spiegato tutto qui sotto. Cominceremo ad analizzare tutte le minacce dalle quali dobbiamo stare in guardia e poi vedremo, insieme, quali misure adottare per evitarle. Buona lettura!

Sniffing delle reti wireless

Come spiare messaggi WhatsApp

Una delle tecniche di spionaggio più “gettonate” è quella che prevede lo “sniffing” delle reti wireless con software come Wireshark (di cui ti ho parlato anch’io nel mio tutorial su come sniffare una rete wireless). Con il termine “sniffing” si indica un’attività di monitoraggio delle reti wireless che permette di catturare tutte le informazioni che viaggiano in chiaro su queste ultime.

Nel caso di WhatsApp, lo sniffing potrebbe essere utilizzato da un malintenzionato per monitorare la rete a cui è connesso lo smartphone della vittima, ma per fortuna questa tecnica non dovrebbe più funzionare.

Alla fine del 2014, infatti, gli sviluppatori di Open Whisper Systems hanno annunciato una collaborazione con WhatsApp che ha portato il loro sistema di cifratura end-to-end (denominato TextSecure) all’interno della celebre app di messaggistica.1

La cifratura end-to-end (da punto a punto) è una tecnologia che consente di proteggere le informazioni da accessi non autorizzati mediante un sistema a doppia chiave: una pubblica e una privata. Nel caso specifico di WhatsApp, la chiave pubblica viene condivisa con l’interlocutore e permette di cifrare i messaggi in uscita. La chiave privata, invece, risiede unicamente sullo smartphone di ciascun utente e serve a decifrare i messaggi in entrata.

Questo significa che i messaggi partono dal telefono del mittente e arrivano a quello del destinatario – passando per i server di WhatsApp – in maniera cifrata. Gli unici in grado di decifrarne il contenuto sono i possessori delle chiavi usate per generarli, ossia i legittimi mittenti e destinatari.

Quindi WhatsApp è inattaccabile? Beh, non proprio. La cifratura end-to-end mette potenzialmente fuori gioco le tecniche di sniffing, ma purtroppo ci sono altre “armi” che i malintenzionati possono mettere in campo per spiare messaggi WhatsApp.

Inoltre c’è da considerare il fatto che WhatsApp è un software closed source, cioè non è possibile analizzarne a fondo il codice sorgente, quindi non possiamo sapere se l’implementazione della cifratura end-to-end è stata effettuata a regola d’arte o meno.

Morale della favola: la situazione dovrebbe essere abbastanza tranquilla, ma è opportuno non abbassare la guardia.

Furto d’identità

Come spiare messaggi WhatsApp

Uno dei maggiori pericoli per i nostri account WhatsApp è attualmente rappresentato dai furti d’identità, ossia dall’accesso non autorizzato alle nostre conversazioni mediante il “raggiro” dei sistemi di autenticazione del servizio.

Furto d’identità tramite WhatsApp Web

Uno dei sistemi più semplici per rubare l’identità di qualcuno su WhatsApp è sfruttare la funzione Resta connesso di WhatsApp Web, il servizio che consente di inviare e ricevere i messaggi di WhatsApp sul PC usando il telefonino come “ponte”.

Te ne ho parlato anche nel mio post su come usare WhatsApp su PC: per accedere a WhatsApp Web basta inquadrare con lo smartphone il codice QR che compare sullo schermo del computer. Dopodiché, se si lascia attivo il segno di spunta accanto alla voce Resta connesso, il servizio funziona senza bisogno di ulteriori autenticazioni. Basta che il cellulare su cui è installato il client originale sia connesso a Internet (non importa se sulla stessa rete Wi-Fi del computer o su altre reti).

Questo cosa significa? Che un malintenzionato potrebbe sottrarti il telefono con una qualsiasi scusa, inquadrare il QR code di WhatsApp Web sul suo computer (o anche sul suo tablet, sfruttando la modalità di visualizzazione desktop inclusa in molti browser) e accedere ai tuoi messaggi senza che tu te ne accorga.

Clonazione del MAC address

La clonazione del MAC address è un’altra tecnica, piuttosto raffinata, che i malintenzionati possono sfruttare per rubare l’identità di un utente su WhatsApp. Risulta ancora piuttosto efficace ma la sua complessità, e soprattutto il tempo necessario alla sua messa in atto, la rendono poco diffusa.

Il MAC address è un codice di 12 cifre che identifica in maniera univoca tutti i dispositivi in grado di connettersi a Internet. Viene utilizzato anche da WhatsApp per verificare l’identità dell’utente, quindi se viene camuffato per apparire uguale a quello di un altro telefono può essere sfruttato per accedere agli account altrui.

Per “clonare” il MAC address di una persona, il malintenzionato di turno deve installare delle applicazioni ad-hoc sul suo smartphone (es. BusyBox e Mac Address Ghost per Android, che richiedono entrambe il root). Dopodiché deve entrare in possesso dello smartphone dalla vittima, deve scoprirne il MAC address (basta consultare la sezione Info del menu di Android o iOS) e deve impostare lo stesso codice sul suo telefono.

Ad operazione completata, lo “spione” deve installare una nuova copia di WhatsApp sul proprio smartphone, attivarla con il numero della vittima e inserire il codice di verifica che arriva sul telefono di quest’ultima. Come detto si tratta di un’operazione piuttosto lunga, non alla portata di tutti, ma comunque da conoscere per evitare brutte sorprese.

Nota: senza la clonazione preventiva del MAC address, è praticamente impossibile attivare WhatsApp con il numero di un’altra persona. O meglio, è possibile ma totalmente inutile. Il servizio, infatti, permette di utilizzare un solo smartphone per ciascun numero di telefono e quindi al legittimo proprietario dell’account basterebbe riattivare l’applicazione sul proprio device per “tagliare le gambe” ad eventuali spioni (che tra l’altro sarebbero scoperti immediatamente dalla vittima).

Applicazioni-spia

Come spiare messaggi WhatsApp

Altro pericolo da cui stare in guardia sono le cosiddette applicazioni-spia, delle app che vengono installate direttamente sugli smartphone delle persone da spiare e nascondono la loro presenza.

Anche le app per il parental control o i software anti-furto possono essere configurati in modo da spiare l’utente di nascosto e catturare screenshot dello smartphone. Te ne ho parlato in maniera dettagliata nel mio tutorial su come spiare i cellulari Android.

Come difendersi

Come spiare messaggi WhatsApp

A questo punto ti starai sicuramente chiedendo come si fa a proteggersi da tutte queste minacce. Beh, la sicurezza assoluta non esiste, ma se provi a mettere in pratica tutti i suggerimenti che sto per darti dovresti riuscire a dormire sonni ragionevolmente tranquilli.

  • Utilizza sempre la versione più aggiornata di WhatsApp – gli sviluppatori di WhatsApp lavorano costantemente alla sicurezza del loro software. Se vuoi dormire sonni relativamente tranquilli, apri dunque lo store del tuo smartphone e accertati di utilizzare la versione più recente dell’applicazione.
  • Utilizza un PIN sicuro – se un malintenzionato ti sottrae lo smartphone ma non riesce a indovinare il PIN per accedere a quest’ultimo, non può fare nulla di male. È dunque fondamentale che tu abbia un codice di sblocco nella lock-screen e che quest’ultimo sia sufficientemente complesso (quindi difficile da indovinare).

    • Per impostare il PIN su Android vai nel menu Impostazioni > Sicurezza > Blocco Schermo > PIN (oppure in Impostazioni > Sicurezza > Blocco Schermo > Sequenza se vuoi usare una gesture al posto del codice numerico).
    • Per impostare il PIN su iPhone vai nel menu Impostazioni > Touch ID e Codice > Cambia codice.
  • Disattiva la visualizzazione degli SMS nella lock-screen – un’altra misura di sicurezza che puoi adottare è la disattivazione delle notifiche relative agli SMS nella lock screen. In questo modo, se un malintenzionato prova ad attivare WhatsApp con il tuo numero di telefono e vuole visualizzare il codice di verifica del servizio, non può riuscirci.

    • Per disattivare gli SMS nella lock-screen di Android vai nel menu Impostazioni > Sicurezza > Blocco Schermo > PIN, imposta il tuo PIN e scegli di nascondere solo i contenuti sensibili.
    • Per disattivare gli SMS nella lock-screen dell’iPhone vai nel menu Impostazioni > Notifiche > Messaggi e togli la spunta dall’opzione Mostra in "Blocco Schermo".
  • Controlla le sessioni di WhatsApp Web – come accennato in precedenza, qualcuno potrebbe provare a rubarti l’identità usando WhatsApp Web. Per scongiurare questo rischio, vai nel menu Impostazioni > WhatsApp Web di WhatsApp e controlla tutte le sessioni attive sul tuo account. Se ce n’è qualcuna sospetta, pigia sul pulsante Disconnetti da tutti i computer e tutti gli eventuali “spioni” perderanno la possibilità di accedere a WhatsApp Web (in quanto sarà chiesto loro di scansionare nuovamente il QR code del servizio).
  • Evita le reti Wi-Fi pubbliche – anche se lo “sniffing” delle reti wireless non è più efficace come un tempo, meglio evitare le reti Wi-Fi pubbliche. Se puoi, prediligi la rete 3G/LTE del tuo operatore.
  • Ascolta i consigli della “mamma” – se vuoi evitare che qualcuno ficchi il naso nelle tue conversazioni online, ascolta i consigli della mamma: non prestare il telefono a sconosciuti, non lasciare lo smartphone incustodito per troppo tempo… e non fare tardi la sera! :)

  1. Come dimostrano alcuni test indipendenti pubblicati online, inizialmente la cifratura end-to-end era stata applicata solo alla versione Android di WhatsApp. Sulle altre piattaforme software veniva utilizzato un sistema di cifratura basato sull’algoritmo RC4 che è notoriamente più vulnerabile agli attacchi. Adesso comunque la situazione dovrebbe essere cambiata, la cifratura end-to-end sta pian piano raggiungendo tutte le versioni di WhatsApp. ↩︎