Come spiare un cellulare senza installare programmi
Ormai si sente parlare sempre più spesso di problemi di cybersecurity, come ben saprai se sei solito seguire le notizie a tema tecnologico. A tal proposito, una delle questioni più temute è relativa al fatto che ci sia qualcuno a spiare il proprio cellulare, dispositivo che siamo soliti portare ovunque e che contiene indubbiamente un ampio numero di dati sensibili.
A tal proposito, devi sapere che, purtroppo, quando i malintenzionati si chiedono come spiare un cellulare senza installare programmi, questi hanno a disposizione diverse strade. Se intendi proteggere a dovere il tuo fidato smartphone, dunque, è bene conoscere innanzitutto quali sono i principali metodi utilizzati dagli hacker per tentare di mettere in atto queste operazioni malevole.
La prima parte di questa guida sarà dedicata a una spiegazione generale relativa a quanto scoperto dagli esperti di sicurezza, mentre nella seconda parte del tutorial ti illustrerò ciò che puoi fare per mettere il più possibile in sicurezza il tuo dispositivo mobile. Tentare di controllare un cellulare altrui può facilmente sconfinare nei limiti della legalità e ovviamente in questa sede mi soffermerò solo su informazioni generiche utili a comprendere meglio la situazione generale e proteggere il proprio dispositivo, senza prendermi alcuna responsabilità circa utilizzi scorretti di quanto citato. Tutto chiaro? Perfetto, allora direi di iniziare!
Indice
- Informazioni preliminari
- Come fanno gli hacker a spiare un cellulare senza installare programmi
- Come proteggere il cellulare dagli hacker
Informazioni preliminari
Quando gli hacker si domandano come spiare un cellulare senza installare programmi, purtroppo non si fanno scrupoli a “tentarle tutte” e commettere reati punibili dalla legge.
Capisco, insomma, perché tu voglia agire in termini di protezione del tuo dispositivo a scopo precauzionale, considerando anche che la situazione è in continua evoluzione e sono ormai tanti i sistemi di protezione che è possibile valutare per “blindare” il proprio smartphone.
C’è da dire, però, che, anche nell’ambito dei dispositivi moderni, spesso sono le tecniche meno elaborate — quelle che fanno leva sulle nostre distrazioni e sulle nostre debolezze — anziché le falle di sicurezza presenti nei sistemi informatici, ad andare più facilmente a segno. In parole povere: sì, purtroppo è possibile monitorare un dispositivo tecnologico senza installare programmi o app, ma per fortuna è anche possibile proteggersi.
Nei prossimi capitoli di questo tutorial, dunque, scenderò più nel dettaglio della questione. Prima di iniziare, però, ti ricordo ancora una volta che le indicazioni contenute in questa guida svolgono puramente uno scopo illustrativo, pertanto io non mi assumo alcuna responsabilità circa l’utilizzo scorretto delle informazioni presenti (che sono comunque esclusivamente generali a scopo di protezione del proprio smartphone).
Come fanno gli hacker a spiare un cellulare senza installare programmi
Ora che sei a conoscenza delle questioni generali, direi che è giunto il momento di iniziare a conoscere quali sono le principali tecniche utilizzare gli hacker per tentare di spiare gli smartphone. Conoscendo queste ultime, infatti, saprai poi, come vedremo nella seconda parte del tutorial, come proteggere al meglio il tuo dispositivo e perché nel corso degli anni si sono resi necessari degli specifici sistemi di sicurezza.
Social engineering
Come accennato in precedenza, le tecniche di spionaggio più pericolose spesso sono quelle che tendiamo a sottovalutare, ovvero quelle che s fruttano le nostre debolezze e le nostre disattenzioni, in modo da violare i dispositivi elettronici che usiamo (in questo caso lo smartphone) e che custodiscono molti dei nostri dati. Le tecniche in questione vengono definite social engineering (ingegneria sociale) e prevedono, per l’appunto, il raggiro della vittima, al fine di accedere ai suoi dati.
Un esempio pratico di social engineering è quando il malintenzionato, usando una scusa studiata ad arte, riesce a farsi prestare il telefono dalla vittima e sfrutta la situazione per carpire i dati di suo interesse (la password di un account, il numero di una carta di credito e così via) o, addirittura, per installare delle applicazioni spia tramite le quali poi monitorare il dispositivo da remoto.
Purtroppo nei casi di social engineering non ci sono sistemi di sicurezza che tengano: se si presta il proprio smartphone a malintenzionati o se si forniscono a sconosciuti dati personali, c’è la possibilità che questi possano sfruttare l’occasione per compiere delle attività spionistiche. Al netto dell’esempio offline, oggi tante tecniche di ingegneria sociale vengono perpetrate online, con i malintenzionati che tentano di fingersi realtà credibili (per esempio, l’istituto bancario) per tentare di farsi dare direttamente dalla vittima dati sensibili. È sempre bene, insomma, prestare particolare attenzione a richieste di questo tipo ed evitare di farsi prendere dal “senso d’urgenza” che spesso i malintenzionati tentano di creare in questi casi.
Link e allegati malevoli
Un’altra tecnica di spionaggio simile al già citato social engineering è quella che prevede l’attacco a uno smartphone o a degli account dell’utente tramite dei link o degli allegati malevoli. Un caso purtroppo molto frequente è quello che accade tramite la ricezione di SMS o di messaggi di posta elettronica: in questi il malintenzionato invoglia la vittima a visitare dei link o a scaricare degli allegati, i quali possono rimandare a delle applicazioni spia che, in maniera silenziosa, si installano sullo smartphone e ne consentono il monitoraggio da remoto.
Un altro rischio a cui stare attenti è quello relativo a link che rimandano a finte pagine di social network, servizi online o istituti bancari. In questi casi, l’utente-vittima viene invitato a inserire i dati di accesso dei propri account o i numeri della propria carta di credito al fine di mettere in atto dei veri e propri tentativi di phishing. I dati immessi, infatti, vengono carpiti dal malintenzionato, il quale ottiene così l’accesso agli account e/o ai dati della carta di credito della vittima.
In questo caso, al netto dell’installazione delle applicazioni solo da fonti attendibili (ovvero gli store ufficiali integrati nei vari dispositivi), non posso che suggerirti di diffidare dei link e degli strani allegati ricevuti via email o SMS. A meno di non aver richiesto espressamente il reset della propria password, infatti, nessun sito o social network invia delle richieste di aggiornamento della password via email, e stesso discorso vale anche per le banche, che non chiedono mai l’inserimento di dati tramite link diretti inviati via email o SMS. Inoltre, se ricevi, per esempio, delle fatture mai richieste via mail, potrebbe trattarsi di un tentativo di farti scaricare un allegato malevolo.
Sniffing delle reti wireless
Sebbene molte app, prime fra tutte quelle di messaggistica istantanea, utilizzino ormai un sistema di cifratura avanzato come la crittografia end-to end (un sistema di comunicazione cifrata grazie al quale solo le persone che stanno comunicando tra loro possono leggere i messaggi)**, lo sniffing delle reti wireless, cioè la cattura delle informazioni che viaggiano all’interno di una rete Wi-Fi, resta un metodo utilizzato per carpire i dati degli utenti connessi a quest’ultima.
Esistono infatti purtroppo dei software che permettono di “bucare” le reti wireless, al fine di captare il traffico che viaggia su queste ultime. Fortunatamente, se le informazioni viaggiano sulla rete wireless in maniera cifrata e il sistema usato per cifrarle è sicuro, non vi sono in realtà grossi rischi. Ma se, al contrario, le informazioni viaggiano in chiaro o con un sistema di cifratura non adeguato, il rischio di subire il furto di dati è alto.
Ad ogni modo, è possibile correre ai ripari. Infatti, il modo più efficace per proteggersi da questo tipo di attacchi è evitare di connettersi alle reti Wi-Fi pubbliche, o comunque di farlo con cognizione di causa seguendo quanto indicato nel capitolo relativo alla protezione in termini di navigazione Web. Inoltre, se ci si trova in casa, a scuola o in ufficio, è necessario assicurarsi che le reti wireless siano protette in maniera adeguata, prima di connettersi alle stesse. Ciò significa prima di tutto che è necessario usare una chiave di cifratura lunga e complessa, ma anche un sistema di cifratura sicuro (WPA2-AES, per fare un esempio). In alternativa, se non si è sicuri dell’attendibilità di una rete wireless, è sempre meglio non connettersi alla stessa: sono in molti a pensare, infatti, che in materia di protezione dei propri dati personali la sicurezza non è mai troppa.
Vulnerabilità software
Altre potenziali armi nelle mani dei malintenzionati sono le falle di sicurezza e i difetti di progettazione, che possono essere presenti nei sistemi operativi e nelle app che utilizziamo quotidianamente sui nostri smartphone. Questo senza contare l’uso improprio di strumenti comuni, considerabile per certi versi anch’esso una sorta di “vulnerabilità software”.
Per farti un esempio pratico di quello di cui sto parlando, pensa a WhatsApp e alla sua funzione WhatsApp Web o al client di WhatsApp per Windows e macOS, grazie ai quali è possibile “ripetere” sul computer (o anche sul tablet) l’app presente sul proprio smartphone, avendo così accesso a tutte le conversazioni. Devi, infatti, sapere che WhatsApp Web, così come il client ufficiale di WhatsApp per Windows e macOS, funziona semplicemente scansionando un QR code con la fotocamera dello smartphone.
Una volta scansionato il codice in questione, però, se si lascia attiva la spunta sulla casella per memorizzare l’accesso, diventa possibile accedere a WhatsApp da computer semplicemente collegandosi alla pagina di WhatsApp Web o aprendo il client di WhatsApp per PC. Ciò significa che un malintenzionato potrebbe entrare momentaneamente in possesso del tuo smartphone (magari sfruttando propria una tecnica di social engineering), scansionare il codice QR di WhatsApp Web sul proprio PC o sul proprio tablet e ottenere un accesso continuativo al tuo account WhatsApp senza che tu te ne accorga (anche si, va detto, WhatsApp invia delle notifiche quando viene stabilita una nuova connessione su un computer).
Ciò è possibile in quanto WhatsApp Web e WhatsApp per PC funzionano anche se il telefono si trova lontano dal PC: basta che lo smartphone sia connesso a Internet in Wi-Fi, ma anche tramite rete dati. Sempre per quanto riguarda le applicazioni di messaggistica istantanea, va segnalato che in passato esistevano applicazioni che, senza alcun accesso allo smartphone della vittima, permettevano di monitorare gli accessi, semplicemente immettendo il numero di telefono della persona da controllare. I messaggi per fortuna non venivano captati e ora queste applicazioni non funzionano più, ma il rischio che soluzioni del genere tornino a fare capolino sul Web in futuro non è da escludere. Questo per farti comprendere fino a che punto possano spingersi i malintenzionati.
Quanto alle falle di sicurezza presenti in app e sistemi operativi, non esistono delle tecniche precise per sfruttarle, in quanto ogni falla di sicurezza ha delle caratteristiche ben precise. In alcuni casi, per essere attaccati ed esporre i propri dati ad accessi non autorizzati basta semplicemente aprire un file malevolo, mentre in altri basta visitare un link studiato appositamente. Dipende tutto dal tipo di falla che il malintenzionato intende sfruttare. A tal proposito, per cercare di scongiurare il più possibile questi rischi, bisogna innanzitutto usare le versioni più aggiornate di app e sistemi operativi oltre che, di tanto in tanto, verificare le impostazioni di privacy delle proprie app.
Altri metodi utilizzati dagli hacker per spiare un cellulare
Nell’era dell’intelligenza artificiale, purtroppo, sono tanti i metodi utilizzati dai malintenzionati per cercare di spiare i dispositivi mobili, andando anche oltre alle principali metodologie indicate in precedenza.
Per quanto spiare un cellulare senza installare applicazioni non sia semplicissimo, in quanto non si tratta di un’operazione a portata di tutti, per esempio, con l’ausilio di telecamere spia e/o di altri dispositivi di sorveglianza, tale operazione potrebbe essere più accessibile per i malintenzionati.
Devi, infatti, sapere che, attraverso l’ausilio di questi dispositivi si possono carpire password, numeri di carte di credito e altre informazioni importanti: basta che la vittima sia in favore di camera nel momento in cui digita questi dati sul proprio smartphone e il gioco è fatto. Purtroppo riconoscerle non è semplice, quindi l’unico consiglio che mi sento di darti in proposito è quello di evitare la digitazione di numeri di carte di credito o password in pubblico. Se però proprio non puoi farne a meno, assicurati di guardarti bene intorno, prima di farlo.
Detto questo, sappi che al giorno d’oggi il tentativo di carpire dati personali relativi agli account associati alla propria vita digitale passa spesso per delle fughe di dati, note anche come data breach, che in realtà non vanno a colpire direttamente il dispositivo della vittima ma i database delle grandi aziende. In un mondo iperconnesso, insomma, è bene tenere d’occhio quanto avviene in ottica sicurezza anche al di fuori della protezione del singolo dispositivo, motivo per il quale più avanti nel corso del tutorial ti fornirò indicazioni relative a come puoi proteggerti da questa tipologia di minaccia informatica sempre più diffusa.
Come proteggere il cellulare dagli hacker
Dopo averti spiegato quali sono le tecniche più diffuse tra gli hacker, direi che è arrivato il momento di comprendere come evitare al meglio gli attacchi da parte dei malintenzionati, così da mettere il più possibile al sicuro il tuo dispositivo mobile dalle minacce in termini di cybersecurity indicate in precedenza. Di seguito trovi una serie di indicazioni che ti consentono di “blindare” il tuo fidato smartphone.
Impostare un metodo di sblocco sicuro
Se non presti il tuo smartphone agli sconosciuti (regola d’oro!) e imposti un codice di sblocco sicuro per l’accesso al tuo dispositivo, potrai essere abbastanza tranquillo circa il fatto che nessuno installerà fisicamente delle app spia sul tuo device.
A tal proposito, per impostare un codice di sblocco per il tuo dispositivo Android, in genere ti basta recarti nel menu Impostazioni > Sicurezza e privacy > Blocco schermo > Imposta la password di blocco schermo e digitare il codice di sblocco che vuoi impostare sul tuo smartphone per due volte consecutive. Chiaramente è sempre bene scegliere una password che risulti difficile da indovinare.
Inoltre, se hai un cellulare dotato di sensore d’impronte o di sblocco facciale, ti consiglio di impostare anche lo sblocco tramite questi sistemi. Ad esempio, su Android, per lo sblocco tramite impronta, di solito puoi agire tramite il menu Impostazioni > Sicurezza e privacy > ID Impronta. Dato che le opzioni possono variare di modello in modello, però, ti consiglio di fare riferimento alle mie guide su come sbloccare un telefono e come mettere l’impronta digitale su Android per ulteriori dettagli.
Su iPhone, invece, procedi tramite il menu Impostazioni > Face ID e codice (o Touch ID e codice) , seleziona l’opzione relativa al codice di blocco e digita il codice con cui intendi proteggere il tuo smartphone, per due volte consecutive. Se hai un iPhone dotato di Touch ID, puoi impostare lo sblocco tramite impronta digitale premendo sull’opzione Aggiungi un’impronta. Inoltre, sui modelli più recenti di iPhone, puoi attivare il Face ID come metodo di sblocco, agendo tramite la sezione Impostazioni > Face ID e codice.
Mantenere aggiornati sistema operativo e app
Ho già accennato in un capitolo precedente del tutorial l’importanza di mantenere aggiornati sistema operativo e applicazioni. Questa operazione, infatti, non serve solo ad avere accesso alle più recenti funzioni introdotte dai vari software ma permette anche di mantenere maggiormente al sicuro il sistema.
Il motivo è da ricercarsi nel rilascio di fix di sicurezza che vanno a correggere la presenza di eventuali falle in termini di cybersecurity. D’altro canto, potresti aver già letto in qualche pagina di aggiornamento scritte come “è importante eseguire l’aggiornamento per questioni di sicurezza”, visto che sono gli stessi produttori a consigliare di aggiornare in questi casi. Tieni insomma monitorata la situazione, per quanto in genere si venga ormai notificati quando sono disponibili nuovi aggiornamenti.
Per fugare tutti i dubbi che potresti avere, puoi consultare le mie guide relative a come aggiornare Android, come aggiornare iOS e come aggiornare le applicazioni.
Verificare quali app sono installate
Se temi che sul tuo dispositivo sia installata qualche app spia, visto che ultimamente lo smartphone ha comportamenti “strani”, ti consiglio di procedere alla verifica della app installate. Solitamente le app spia tendono infatti a “nascondersi”, dato che non vengono visualizzate né in home screen né nei menu di sistema, ma ci sono dei “trucchetti” che in alcuni casi permettono di scovarle. Vuoi sapere come riuscirci? In tal caso continua a leggere: trovi maggiori informazioni nelle righe che seguono.
Per iniziare, accedi al menu delle Impostazioni del tuo smartphone (tramite l’icona dell’ingranaggio) e controlla se nella sezione dedicata alle app installate sul dispositivo (seguendo, per esempio, il percorso App e notifiche > App) c’è qualche nome sospetto: in tal caso, potrebbe trattarsi di un’app spia da disinstallare. Se non riconosci di cosa si tratta, infatti, ti consiglio di effettuare ricerche specifiche su Google, così da capire se è effettivamente un’app malevola. Su iPhone, invece, recati nel menu Impostazioni > Generali > Spazio su iPhone, in modo da visualizzare l’elenco di tutte le app presenti sul tuo dispositivo.
Inoltre, ti consiglio di verificare le applicazioni che hanno permessi avanzati, quindi le applicazioni che hanno il permesso di controllare le attività che vengono svolte sul device. Su Android, in genere, per quanto come al solito le opzioni di sistema possano variare leggermente a seconda del modello di smartphone specifico a propria disposizione, basta recarsi nel menu Impostazioni > Sicurezza e privacy > Amministratori del dispositivo. Inoltre, se hai sbloccato il tuo device tramite root, apri l’applicazione SuperSU/SuperUser e verifica la lista delle app che hanno i permessi di root.
Su iPhone, invece, recati nel percorso Impostazioni > Generali > VPN e gestione dispositivo e scopri se ci sono dei profili dedicati ad app che non hai installato tu. Per concludere, prova ad aprire il browser (per esempio, Safari su iOS o Chrome su Android) e a digitare gli indirizzi localhost:8888 e localhost:4444 e prova a digitare il codice *12345 nella schermata di composizione dei numeri di telefono. Questi sono i codici speciali che usano alcune app spia per consentire l’accesso al loro pannello di controllo. In ogni caso, dato che la situazione è in continua evoluzione, potrebbe interessarti approfondire anche quanto ho indicato nella mia guida specifica su come eliminare un hacker dall’iPhone.
Utilizzare antivirus e VPN
Un’altra questione da tenere in considerazione, per quanto su dispositivi mobili la situazione sia un po’ diversa rispetto a quanto avviene su PC, riguarda l’utilizzo innanzitutto di un antivirus.
Sappi, infatti, che su dispositivi Android c’è una soluzione di protezione integrata chiamata Play Protect, che si può sfruttare semplicemente avviando il Play Store, premendo sull’icona del profilo in alto a destra e premendo, per l’appunto, prima sull’opzione Play Protect e poi su quella Analizza (così da avviare una scansione). Esistono però anche soluzioni di terze parti, come puoi approfondire consultando i miei tutorial relativi ai migliori antivirus per Android e su come capire se lo smartphone ha un virus.
Per quel che riguarda, invece, gli iPhone, sappi che in genere il pericolo di malware, a meno che non si faccia riferimento a dispositivi con jailbreak, è molto meno diffuso. Tuttavia, è sempre bene ricordare che nessun dispositivo tecnologico è del tutto al sicuro dalle minacce di sicurezza informatica, dunque potrebbe farti piacere approfondire la mia guida specifica su come eliminare i virus dall’iPhone.
Per il resto, considerando che al giorno d’oggi i dispositivi mobili vengono particolarmente utilizzati per navigare sul Web, puoi valutare delle soluzioni in grado di proteggere il tuo smartphone, anche in ottica privacy. Qui entrano in gioco le soluzioni VPN (Virtual Private Network), che non consentono esclusivamente di ottenere maggiori privacy in termini di indirizzo IP ma integrano anche funzioni di protezione da alcune minacce informatiche. Per farti un esempio pratico, un servizio particolarmente popolare come NordVPN (trovi la mia recensione qui) dispone anche di una funzione chiamata Threat Protection, che si occupa, anche su dispositivi Android e iPhone, di bloccare, per esempio, gli URL infetti da malware.
Altre soluzioni tipiche per proteggere la propria privacy sul Web sono Surfshark (qui la mia recensione, anche se il servizio non ha ormai bisogno di troppe presentazioni), ExpressVPN (soluzione nota per offrire una protezione a 360 gradi a un prezzo non troppo elevato) e PrivadoVPN (maggiori dettagli nella mia guida generale su come funziona PrivadoVPN). In ogni caso, soluzioni di questo tipo possono tornarti utili anche per navigare in modo maggiormente protetto quando ci si connette, per esempio, a reti Wi-Fi pubbliche.
Altri metodi per proteggere il cellulare
Giunti al termine della guida, andando oltre alle questioni di protezione principali indicate finora, direi che vale la pena approfondire anche altri metodi che possono consentirti di “blindare” il tuo smartphone. Di seguito puoi trovare tutti i dettagli del caso.
- Evitare reti Wi-Fi pubbliche: come accennato nel capitolo relativo allo sniffing delle reti Wi-Fi, l’accesso alle reti pubbliche può rappresentare una minaccia di sicurezza informatica. Ecco allora che, se proprio intendi connetterti a queste ultime, puoilo fare proteggendoti mediante un servizio VPN come quelli indicati in precedenza.
- Monitorare le fughe di dati: come ti ho spiegato in un paragrafo precedente, al giorno d’oggi ormai è importante tenere d’occhio anche i data breach, per quanto non si tratti ad attacchi mirati al proprio specifico dispositivo. Questo tipo di situazione, infatti, può comportare la diffusione mezzo Web di dati personali non di poco conto. Ti consiglio, dunque, di seguire quanto indicato ai miei tutorial specifici su come scoprire i data leak gratis e su come proteggersi dalle fughe di dati per essere più consapevole anche in questo senso.
- Sfruttare funzioni privacy integrate: se disponi di un iPhone, sappi che, per quanto si faccia in questo caso riferimento più che altro a questioni di privacy più che di sicurezza, Apple ha integrato da tempo una funzione che consente di rifiutare le richieste di tracciamento dell’attività da parte delle app. Potresti dunque recarti nel percorso Impostazioni > Privacy e sicurezza > Tracciamento, spostando poi su OFF la relativa levetta, per sfruttare l’opzione.
- Tenere d’occhio gli accessi: nel caso dell’utilizzo improprio di WhatsApp, ad esempio, si possono controllare ed eventualmente bloccare gli accessi non autorizzati in genere ti basta premere, a partire dalla pagina delle chat, sull’icona dei tre puntini in alto a destra, selezionare l’opzione Dispositivi collegati e e dare un’occhiata agli accessi effettuati al proprio account.
Per il resto, dato che, vista l’ampiezza del tema, in questa sede non posso scendere nel dettaglio di tutte le specifiche minacce di sicurezza che possono entrare in gioco in campo smartphone, ti consiglio di dare un’occhiata anche ai miei tutorial su come proteggere la privacy del cellulare, come sapere se il cellulare è sotto controllo e come eliminare software spia dal cellulare per saperne di più.
Autore
Salvatore Aranzulla
Salvatore Aranzulla ĆØ il blogger e divulgatore informatico piĆ¹ letto in Italia. Noto per aver scoperto delle vulnerabilitĆ nei siti di Google e Microsoft. Collabora con riviste di informatica e cura la rubrica tecnologica del quotidiano Il Messaggero. Ć il fondatore di Aranzulla.it, uno dei trenta siti piĆ¹ visitati d'Italia, nel quale risponde con semplicitĆ a migliaia di dubbi di tipo informatico. Ha pubblicato per Mondadori e Mondadori Informatica.
