Questo sito contribuisce alla audience di Il Messaggero

Come spiare un cellulare senza installare programmi

di

Una tra le domande che mi vengono poste frequentemente, per quanto riguarda la sicurezza informatica, è quella relativa al monitoraggio dei dispositivi altrui da remoto. Molte persone, infatti, si interrogano su come spiare un cellulare senza installare programmi. A tal proposito, bisogna innanzitutto premettere che tale operazione può facilmente sconfinare nei limiti della legalità e che, pertanto, è mio assoluto dovere sconsigliarla; ma ciò non significa che non possa essere messa in atto da malintenzionati.

Detto ciò, se stai leggendo questo mio tutorial poiché ti sei posto questa domanda con finalità di prevenzione della tua privacy, sarai felice di sapere che l’obiettivo che mi prefiggo con questa mia guida è proprio quello di far luce sull’argomento. Nel corso dei prossimi capitoli, infatti, ti spiegherò nel dettaglio quali sono le tecniche di monitoraggio da remoto dei dispositivi nelle quali è possibile incappare e ti fornirò informazioni su come agire per proteggere la sicurezza dei tuoi dati personali.

Come dici? Non vedi l’ora di saperne di più al riguardo? Beh, allora si può sapere che cosa stai aspettando? Mettiti seduto bello comodo e prenditi giusto qualche minuto di tempo libero, in modo da leggere e mettere in pratica le indicazioni che sto per fornirti. Arrivati a questo punto, non mi resta altro che augurarti una buona lettura.

Indice

Informazioni preliminari

Foto di uno smartphone

Se ti domandi come spiare un cellulare senza installare programmi, lascia innanzitutto che ti ricordi che spiare il cellulare di altre persone può rappresentare un reato punibile dalla legge.

A tal proposito, nel caso in cui, invece, ti ponessi questa domanda a scopo precauzionale, devi sapere che di tecniche per spiare i cellulari purtroppo ve ne sono diverse, alcune molto avanzate sotto il punto di vista tecnico e altre che potremmo definire più “artigianali”, ma che non per questo vanno sottovalutate.

Anzi, a dire il vero, spesso sono proprio le tecniche meno elaborate – quelle che fanno leva sulle nostre distrazioni e sulle nostre debolezze – anziché sulle falle di sicurezza presenti nei sistemi informatici, che vanno più facilmente a segno. Da qui la risposta alla domanda: sì, è possibile monitorare un dispositivo tecnologico senza installare programmi o app, ma per fortuna è anche possibile proteggersi.

Nei prossimi capitoli di questo mio tutorial, dunque, analizzerò alcune delle principali tecniche usate dai malintenzionati per spiare i cellulari e spiegherò come difendersi da esse.

Prima di iniziare, però, ti ricordo che le indicazioni contenute in questo tutorial svolgono puramente uno scopo illustrativo: pertanto io non mi assumo alcuna responsabilità circa l’utilizzo che verrà fatto delle informazioni presenti.

Come spiare un cellulare a distanza senza installare programmi

Sei pronto a scoprire nel dettaglio quelle che sono le principali tecniche utilizzate dai malintenzionati, per spiegare un cellulare a distanza e, conseguentemente, quelle che sono le procedure da mettere in atto per la protezione dei propri dispositivi? Sì? In tal caso, continua a leggere: trovi spiegato tutto nelle righe che seguono.

Social engineering

Social engineering

Come accennato in precedenza, le tecniche di spionaggio più pericolose sono quelle che tendiamo a sottovalutare: quelle che sfruttano le nostre debolezze e le nostre disattenzioni, in modo da violare i dispositivi elettronici che usiamo (in questo caso lo smartphone) e che custodiscono molti dei nostri dati. Le tecniche in questione vengono definite social engineering (ingegneria sociale) e prevedono, per l’appunto, il raggiro della vittima, al fine di accedere ai suoi dati.

Un esempio pratico di social engineering è quando il malintenzionato, usando una scusa studiata ad arte, riesce a farsi prestare il telefono dalla vittima e sfrutta la situazione per carpire i dati di suo interesse (es. la password di un account, il numero di una carta di credito e così via) o, addirittura, per installare delle applicazioni spia tramite le quali poi monitorare il dispositivo da remoto.

Un esempio di tali app è iKeyMonitor, pensata con finalità di parental control che però potrebbe venire impiegata anche per scopi al confine con la legalità. Questa app, infatti, è compatibile sia con Android che con iOS e permette di monitorare tutte le attività svolte dall’utente sul telefono: app utilizzate, registro chiamate, messaggi, testi digitati sulla tastiera e molto altro ancora; il tutto restando invisibile agli occhi della vittima.

Purtroppo nei casi di social engineering non ci sono sistemi di sicurezza che tengano: se si presta il proprio smartphone a malintenzionati e gli si concede libero accesso al dispositivo (quindi con lo schermo sbloccato e la possibilità di avviare qualsiasi app), c’è la possibilità che questi possano sfruttare l’occasione per compiere delle attività spionistiche.

Link malevoli

Link malevoli

Un’altra tecnica di spionaggio simile al social engineering è quella che prevede l’attacco a uno smartphone o a degli account dell’utente tramite dei link malevoli.

Un caso purtroppo molto frequente è quello che accade tramite la ricezione di SMS o di messaggi di posta elettronica: in questi il malintenzionato invoglia la vittima a visitare dei link, i quali possono rimandare a delle applicazioni spia che, in maniera silenziosa, si installano sullo smartphone e ne consentono il monitoraggio da remoto.

Un altro rischio a cui stare attenti è quello relativo a link che rimandano a finte pagine di social network, servizi online o istituti bancari. In questi casi, l’utente-vittima viene invitato a inserire i dati di accesso dei propri account o i numeri della propria carta di credito al fine di mettere in atto dei veri e propri tentativi di phishing. I dati immessi, infatti, vengono carpiti dal malintenzionato, il quale ottiene così l’accesso agli account e/o ai dati della carta di credito della vittima.

In questo caso, per proteggersi in maniera adeguata bisogna bloccare l’installazione delle app provenienti da origini sconosciute (misura necessaria solo sugli smartphone Android, che sono più soggetti al rischio malware, rispetto a iOS).

Per disattivare l’installazione delle app provenienti da origini sconosciute (quindi da fonti diverse rispetto al Play Store di Google), recati nel menu Impostazioni > Sicurezza e privacy > Altro > Installa app sconosciute. Dopodiché, assicurati che sia impostata su OFF la levetta relativa alla possibilità di consentire l’installazione di app, per quanto riguarda il browser Chrome e/o l’app di Gestione File da te in uso (per esempio Files di Google). Se puoi, inoltre, installa un buon antivirus per Android.

App sconosciute

Inoltre, ti suggerisco di diffidare dei link ricevuti via email o SMS. A meno di non aver richiesto espressamente il reset della propria password, infatti, nessun sito o social network invia delle richieste di aggiornamento della password via email, e stesso discorso vale anche per le banche, che non chiedono mai l’inserimento di dati tramite link diretti inviati via email o SMS.

Vulnerabilità dei software

Vulnerabilità dei software

Altre potenziali armi nelle mani dei malintenzionati sono le falle di sicurezza e i difetti di progettazione, che possono essere presenti nei sistemi operativi e nelle app che utilizziamo sui nostri smartphone.

Per farti un esempio pratico di quello di cui sto parlando, pensa a WhatsApp e alla sua funzione WhatsApp Web o al client di WhatsApp per Windows e macOS, grazie ai quali è possibile “ripetere” sul computer (o anche sul tablet) l’app presente sul proprio smartphone, avendo così accesso a tutte le conversazioni.

Devi, infatti, sapere che WhatsApp Web, così come il client ufficiale di WhatsApp per Windows e macOS, funziona semplicemente scansionando un QR code con la fotocamera dello smartphone.

Una volta scansionato il codice in questione, però, se si lascia attiva la spunta sulla casella per memorizzare l’accesso, diventa possibile accedere a WhatsApp da computer semplicemente collegandosi alla pagina di WhatsApp Web o aprendo il client di WhatsApp per PC.

Ciò significa che un malintenzionato potrebbe entrare momentaneamente in possesso del tuo smartphone (magari sfruttando propria una tecnica di social engineering), scansionare il codice QR di WhatsApp Web sul proprio PC o sul proprio tablet e ottenere un accesso continuativo al tuo account WhatsApp senza che tu te ne accorga (anche si, va detto, WhatsApp invia delle notifiche quando viene stabilita una nuova connessione su un computer).

Ciò è possibile in quanto WhatsApp Web e WhatsApp per PC funzionano anche se il telefono si trova lontano dal PC: basta che lo smartphone sia connesso a Internet in Wi-Fi, ma anche tramite rete dati.

Sempre per quanto riguarda WhatsApp, va segnalato che in passato esistevano applicazioni che, senza alcun accesso allo smartphone della vittima, permettevano di monitorare gli accessi a WhatsApp, semplicemente immettendo il numero di telefono della persona da controllare. I messaggi per fortuna non venivano captati e or queste applicazioni non funzionano più, ma il rischio che soluzioni del genere tornino a fare capolino sul Web non è da escludere.

Quanto alle falle di sicurezza presenti in app e sistemi operativi, non esistono delle tecniche precise per sfruttarle, in quanto ogni falla di sicurezza ha delle caratteristiche ben precise. In alcuni casi, per essere attaccati ed esporre i propri dati ad accessi non autorizzati basta semplicemente aprire un file malevolo, mentre in altri basta visitare un link studiato appositamente. Dipende tutto dal tipo di falla che il malintenzionato intende sfruttare.

A tal proposito, per scongiurare questi rischi, bisogna usare le versioni più aggiornate di app e sistemi operativi oltre che, di tanto in tanto, verificare le impostazioni di privacy delle proprie app.

Nel caso di WhatsApp, ad esempio, si possono controllare ed eventualmente bloccare gli accessi a WhatsApp Web andando nel menu Impostazioni > WhatsApp Web/Desktop dell’applicazione.

Inoltre, nel caso in cui avessi bisogno di un aiuto per aggiornare Android o aggiornare iOS, fai riferimento ai tutorial che ho scritto relativi a questi specifici argomenti.

Sniffing delle reti wireless

Simbolo WiFI

Sebbene molte app, prima fra tutte WhatsApp, utilizzino ormai un sistema di cifratura avanzato come la crittografia end-to end (un sistema di comunicazione cifrata grazie al quale solo le persone che stanno comunicando tra loro possono leggere i messaggi), lo sniffing delle reti wireless, cioè la cattura delle informazioni che viaggiano all’interno di una rete Wi-Fi, resta uno dei principali metodi per carpire i dati degli utenti connessi a quest’ultima.

Infatti, come ti ho spiegato anche nel mio tutorial su come craccare le password del WiFi, esistono dei software, primi fra tutti quelli inclusi nella distro Kali Linux che, se opportunamente sfruttati, permettono di “bucare” le reti wireless, al fine di captare il traffico che viaggia su queste ultime.

Fortunatamente, se le informazioni viaggiano sulla rete wireless in maniera cifrata e il sistema usato per cifrarle è sicuro, non vi sono grossi rischi. Ma se, al contrario, le informazioni viaggiano in chiaro o con un sistema di cifratura non adeguato, il rischio di subire il furto di dati è alto.

Ad ogni modo, è possibile correre ai ripari. Infatti, il modo più efficace per proteggersi da questo tipo di attacchi è evitare di connettersi alle reti Wi-Fi pubbliche.

Inoltre, se ci si trova in casa, a scuola o in ufficio, è necessario assicurarsi che le reti wireless siano protette in maniera adeguata, prima di connettersi alle stesse. Ciò significa prima di tutto che è necessario usare una chiave di cifratura lunga e complessa, ma anche un sistema di cifratura sicuro (es. WPA2-AES). In alternativa, se non si è sicuri dell’attendibilità di una rete wireless, è sempre meglio non connettersi alla stessa: in materia di protezione dei propri dati personali la sicurezza non è mai troppa.

A tal proposito, nel caso in cui ti interesse approfondire l’argomento in questione, puoi trovare maggiori informazioni a riguardo nel mio tutorial su come cambiare password al modem.

Telecamere spia

Telecamere spia

Spiare un cellulare senza installare programmi non è semplicissimo, in quanto non si tratta di un’operazione a portata di tutti. Purtroppo, però, con l’ausilio di telecamere spia e/o di altri dispositivi di sorveglianza, tale operazione potrebbe essere più accessibile.

Devi, infatti, sapere che, attraverso l’ausilio di questi dispositivi si possono carpire password, numeri di carte di credito e altre informazioni importanti: basta che la vittima sia in favore di camera nel momento in cui digita questi dati sul proprio smartphone e il gioco è fatto!

Come ti ho spiegato nella mia guida all’acquisto sulle telecamere spia, ormai le telecamere spia sono piccolissime, economiche e alla portata di tutti. Purtroppo riconoscerle non è semplice, quindi l’unico consiglio che mi sento di darti in proposito è quello di evitare la digitazione di numeri di carte di credito o password in pubblico. Se però proprio non puoi farne a meno, assicurati di guardarti bene intorno, prima di farlo.

Come proteggersi dagli spioni

Come proteggersi dagli spioni

Dopo averti spiegato quali sono le tecniche più diffuse che vengono impiegate per spiare un cellulare senza installare programmi o app all’interno dello stesso, lascia che ti dia qualche altro consiglio su come evitare gli attacchi da parte degli “spioni”, oltre a scoprire se qualcuno ha installato delle app spia sul tuo smartphone.

Verificare le app installate

La prima soluzione utile per proteggersi dai tentativi di hacking è quella relativa alla verifica della app installate. Solitamente, le applicazioni spia tendono a nascondersi, non vengono visualizzate né in home screen né nei menu di sistema, ma ci sono dei “trucchetti” che in alcuni casi permettono di scovarle. Vuoi sapere come riuscirci? In tal caso continua a leggere: trovi maggiori informazioni nelle righe che seguono.

Per iniziare, accedi al menu delle Impostazioni del tuo smartphone (l’icona dell’ingranaggio) e controlla se nella sezione dedicata alle app installate sul device (App e notifiche > App) c’è qualche nome sospetto: in tal caso, potrebbe trattarsi di una app spia da disinstallare.

Elenco app

Inoltre, dopo aver visualizzate la lista di tutte le app installate sul tuo cellulare Android, tramite il menu Impostazioni > App e Notifiche > App, pigia sul pulsante (…) e seleziona la voce Mostra processi di sistema nel menu che ti viene mostrato. Su iPhone, invece, recati nel menu Impostazioni > Generali > Spazio iPhone, in modo da visualizzare l’elenco di tutte le app presenti sul tuo dispositivo.

Inoltre, ti consiglio di verificare le applicazioni che hanno permessi avanzati, quindi le applicazioni che hanno il permesso di controllare le attività che vengono svolte sul device. Su Android, recati nel menu Impostazioni > Sicurezza e privacy > Amministratori del dispositivo.

App amministratore

Inoltre, se hai sbloccato il tuo device tramite root, apri l’applicazione SuperSU/SuperUser e verifica la lista delle app che hanno i permessi di root. Su iPhone, invece, vai nei menu Impostazioni > Generali > Profili e Impostazioni > Generali > VPN scopri se ci sono dei profili dedicati ad app che non hai installato tu.

Android root

Per concludere, prova ad aprire il browser (es. Safari su iOS o Chrome su Android) e a digitare gli indirizzi localhost:8888 e localhost:4444 e prova a digitare il codice *12345 nella schermata di composizione dei numeri di telefono. Questi sono i codici speciali che usano alcune app spia per consentire l’accesso al loro pannello di controllo.

Utilizzare un codice di sblocco sicuro

Se non presti il tuo smartphone agli sconosciuti (regola d’oro!) e imposti un codice di sblocco sicuro per l’accesso al tuo dispositivo, potrai essere abbastanza tranquillo circa il fatto che nessuno installerà delle app spia sul tuo device.

A tal proposito, per impostare un codice di sblocco per il tuo dispositivo Android, recati menu Impostazioni > Sicurezza e privacy > Blocco schermo > Imposta la password di blocco schermo e digita il codice di sblocco che vuoi impostare sul tuo smartphone per due volte consecutive.

Inoltre, se hai un cellulare dotato di sensore d’impronte o di sblocco facciale, ti consiglio di impostare anche lo sblocco tramite questi sistemi. Ad esempio, su Android, per lo sblocco tramite impronta, puoi agire tramite il menu Impostazioni > Sicurezza e privacy > ID Impronta. Ti sconsiglio lo sblocco tramite gesti, in quanto è molto più facile da “indovinare” semplicemente guardando l’utente mentre lo utilizza.

sblocco Android

Su iPhone, invece, procedi tramite il menu Impostazioni > Face ID e codice (o Touch ID e codice) , seleziona l’opzione relativa al codice di blocco e digita il codice con cui intendi proteggere il tuo smartphone, per due volte consecutive.

Sblocco iphone

Se hai un iPhone dotato di Touch ID, puoi impostare lo sblocco tramite impronta digitale pigiando su Aggiungi un’impronta. Inoltre, sui modelli più recenti di iPhone, puoi attivare il Face ID come metodo di sblocco, agendo tramite la sezione Impostazioni > Face ID e codice.

Nascondere le app

Come deframmentare Android

Se ti dovesse capitare di dover prestare lo smartphone agli amici potresti incorrere il rischio che il telefono finisca in mani poco affidabili.

In tal caso, provvedi prima a nascondere le app che ritieni più preziose (es. quella della carta di credito) seguendo le indicazioni che trovi nei miei tutorial su come nascondere app su Android e come nascondere app su iPhone.

Se, invece, vuoi mantenere private solo le tue foto, scopri quali sono le migliori applicazioni per nascondere foto, leggendo il mio tutorial dedicato all’argomento.

Utilizzare password sicure

Come memorizzare password nei browser

Infine, non dimenticare che, indipendentemente da un discorso legato alle protezioni anti spionaggio dello smartphone, è buona regola imparare a gestire le tue password in maniera sicura, in modo che queste non possano essere scoperte facilmente da eventuali malintenzionati.

A tal proposito, se ti interessa approfondire l’argomento, fai riferimento al mio tutorial su come gestire password, nel quale ti parlo dei migliori password manager presenti su piazza, e il tutorial in cui ti fornisco anche alcuni consigli su come creare password sicure.

Salvatore Aranzulla

Autore

Salvatore Aranzulla

Salvatore Aranzulla è il blogger e divulgatore informatico più letto in Italia. Noto per aver scoperto delle vulnerabilità nei siti di Google e Microsoft. Collabora con riviste di informatica e cura la rubrica tecnologica del quotidiano Il Messaggero. È il fondatore di Aranzulla.it, uno dei trenta siti più visitati d'Italia, nel quale risponde con semplicità a migliaia di dubbi di tipo informatico. Ha pubblicato per Mondadori e Mondadori Informatica.