Questo sito contribuisce alla audience di Il Messaggero

Come spiare WhatsApp

di

Genitori apprensivi, fidanzati gelosi, amici impiccioni… tutti, e sottolineo tutti, mi chiedono come spiare WhatsApp. Tutti vogliono sapere se spiare WhatsApp è davvero così semplice come si dice, se le tante app-spia che si trovano su Internet funzionano davvero e se, per monitorare le conversazioni di una persona, magari il proprio partner o il proprio figlio, bisogna essere per forza degli hacker. Come facilmente intuibile, non è facile liquidare la questione in poche righe. Per affrontare la questione in maniera seria dobbiamo prenderci un po' di tempo libero e analizzare tutti i potenziali rischi in cui possono incappare oggigiorno gli utenti di WhatsApp.

Cominciamo subito col dire una cosa importante, e che cioè non bisogna farsi prendere dal panico. L'incredibile successo di WhatsApp ha solleticato l'interesse di molti criminali informatici, i quali, sempre più spesso, provano a "bucare" i server del servizio e a rubare i dati degli utenti, ma per fortuna gli sviluppatori non se ne sono stati con le mani in mano e hanno deciso di adottare un sistema di crittografia end-to-end (da punto a punto) che ha irrobustito di molto la sicurezza di WhatsApp. Con la crittografia end-to-end, i messaggi che arrivano sui server di WhatsApp sono tutti cifrati. Ciò significa che vengono decifrati direttamente sui nostri smartphone e che sono visibili "in chiaro" solo da parte dei legittimi mittenti e destinatati. Insomma, a meno di clamorose falle di sicurezza o di altrettanti clamorosi errori nell'implementazione della cifratura end-to-end, lo "sniffing" delle comunicazioni tramite il monitoraggio delle reti wireless (come ti ho spiegato nel mio tutorial su come craccare password WiFi) o la violazione dei server di WhatsApp dovrebbe essere scongiurato. Restano, però, altri tipi di minacce alle quali bisogna stare attenti.

Fra le minacce a cui bisogna prestare maggiormente attenzione ci sono le tecniche di spionaggio "artigianali", ovvero quei sistemi che sfruttano le debolezze e le disattenzioni dell'utente per carpire le sue credenziali d'accesso e visualizzare le sue comunicazioni online. D'altronde si sa, la prima misura di sicurezza di uno smartphone, un computer o qualsiasi altro dispositivo elettronico siamo noi, gli utilizzatori. Se vuoi approfondire l'argomento, prenditi cinque minuti di tempo libero e continua a leggere. Qui sotto trovi tutte le informazioni di cui hai bisogno circa la sicurezza di WhatsApp.

Indice

Come funziona la cifratura di WhatsApp

Come spiare WhatsApp

Nel novembre del 2014, gli sviluppatori di Open Whisper Systems hanno annunciato una collaborazione con WhatsApp tesa a portare il loro sistema di cifratura end-to-end (TextSecure) nella celebre app di messaggistica per i cellulari. La cifratura end-to-end funziona con una coppia di chiavi: una privata e una pubblica. La chiave privata risiede esclusivamente sul nostro smartphone e serve a decifrare i messaggi ricevuti dall'esterno. La chiave pubblica, invece, viene condivisa con il nostro interlocutore e viene utilizzata da quest'ultimo per criptare i messaggi che vengono recapitati a noi (e vice versa). Nel mezzo ci sono i server di WhatsApp, che fanno da "postini", cioè ricevono i messaggi crittografati (quindi illeggibili sia per i gestori del servizio sia per eventuali malintenzionati) e li recapitano sul telefono del destinatario.

Il bello della crittografia end-to-end è che avviene tutto alla velocità della luce e senza che l'utente debba muovere un dito. L'unica potenziale incognita risiede nella reale applicazione di questo sistema. WhatsApp, infatti, è un software closed source e non è possibile sapere con certezza assoluta come gestisce i messaggi. L'unica cosa che si può fare – e che hanno provato a fare diversi studiosi – è esaminare il traffico dati dell'applicazione con software come Wireshark (te ne ho parlato nel mio post su come sniffare una rete wireless, ricordi?) e Yowsup.

Da alcuni di questi test, come quello realizzato da Heise nell'aprile del 2015, è emerso che la cifratura end-to-end era utilizzata solo sulla versione Android di WhatsApp. Le altre continuavano ad usare un sistema di cifratura basato sull'algoritmo RC4, che funzionava solo in uscita (quindi rendeva potenzialmente leggibili i messaggi sui server di WhatsApp) e non è più ritenuto sicuro da diversi mesi. Adesso però la situazione è cambiata, la cifratura end-to-end è arrivata anche su altre piattaforme (iOS, Windows Phone ecc.) e copre tutti i contenuti veicolati dalla app: messaggi, chat di gruppo, video, foto ecc.

Possiamo dunque dire che WhatsApp è ragionevolmente sicuro; captare i messaggi che viaggiano sui suoi server dovrebbe essere un'impresa assai ardua, ma è giusto mantenere un pizzico di dubbio relativo all'impossibilità di analizzare a fondo il codice sorgente dell'applicazione. Per maggiori dettagli sulla cifratura end-to-end e la sua implementazione all'interno di WhatsApp, fa pure riferimento al mio tutorial su come crittografare WhatsApp.

Come spiare WhatsApp: le tecniche di social engineering

Come spiare WhatsApp

Come abbiamo appena detto, captare i messaggi di WhatsApp provando a "sniffare" i dati che transitano sulla rete wireless usata dallo smartphone, grazie alla crittografia end-to-end, non è facile come un tempo. Ma esistono delle tecniche per spiare WhatsApp, meno raffinate, che possono andare ancora a segno. Tali tecniche prevedono l'accesso fisico allo smartphone della vittima e quindi coinvolgono il cosiddetto social engineering.

Nel gergo tecnico, con l'espressione social engineering (ingegneria sociale) si indicano tutte quelle attività che sfruttano la psicologia umana per truffare la vittima di un attacco informatico. Questo significa che un malintenzionato potrebbe fingersi una persona amica (o comunque affidabile) e chiederti il telefono in prestito per il più banale dei motivi (es. fare una telefonata) e poi ficcare il naso nei tuoi dati personali, o nelle tue conversazioni di WhatsApp.

Di seguito ti faccio qualche esempio di attacco diretto a WhatsApp che richiede l'accesso fisico al telefono, e dunque un approccio tramite social engineering.

Spiare WhatsApp tramite WhatsApp Web/Desktop

WhatsApp Web è un servizio offerto gratuitamente da WhatsApp che consente di leggere e inviare messaggi da computer utilizzando lo smartphone come "ponte". Ti ho illustrato dettagliatamente il suo funzionamento nel mio tutorial su come usare WhatsApp su PC, dove ti ho parlato anche del client ufficiale di WhatsApp per Windows e macOS che funziona allo stesso modo.

Come spiare WhatsApp

Per utilizzare WhatsApp Web e il client ufficiale di WhatsApp per computer basta collegarsi a una pagina Web o aprire il client di WhatsApp e scansionare un QR code che compare sullo schermo del computer usando l'apposita funzione di WhatsApp sullo smartphone. Dopodiché, se si lascia attiva la spunta sull'opzione Resta connesso, l'accesso al servizio avviene in automaticamente ogni volta che lo smartphone è connesso a Internet.

Ciò che è ancora più importate sottolineare è che il tutto funziona anche se smartphone e computer non sono connessi alla stessa rete wireless, ciò vuol dire che i due dispositivi possono trovarsi anche a parecchia distanza tra di loro, l'importante è aver effettuato il primo accesso con il QR code e mantenendo la spunta sull'opzione "Resta connesso". Questo cosa vuol dire? Vuol dire che un malintenzionato potrebbe farsi prestare il telefono dalla vittima con qualsiasi pretesto, dopodiché potrebbe accedere a WhatsApp Web o al client di WhatsApp dal proprio notebook (o anche dal proprio smartphone/tablet, abilitando la visualizzazione desktop del sito o usando delle app che si basano su WhatsApp Web) e ottenere così l'accesso alle conversazioni dell'utente da spiare.

Spiare WhatsApp camuffando il MAC address

Il MAC address (acronimo di Media Access Control) è un indirizzo composto da 12 cifre che permette di identificare in maniera univoca le schede di rete presenti nei PC e, più in generale, tutti i dispositivi in grado di connettersi a Internet, come gli smartphone.

Come spiare WhatsApp

Camuffando il MAC address del proprio smartphone, un malintenzionato potrebbe "ingannare" WhatsApp e installare una copia dell'applicazione sul proprio telefono in modo da ricevere tutti i messaggi della vittima. Per fortuna si tratta di un'operazione abbastanza articolata che richiede parecchio tempo per essere portata a termine, ma è bene conoscerla per evitare che qualche "furbacchione" possa metterla in pratica. Di seguito ti illustro i vari passaggi che si dovrebbero compiere per camuffare il MAC Address del proprio telefono e installare una copia "clonata" di WhatsApp.

  • Come primo passo, per camuffare il MAC address del proprio smartphone, bisognerebbe sbloccare il sistema operativo con operazioni come il root su Android o il jailbreak su iPhone e installare delle app adatte allo scopo (es. SpoofMAC per iPhone e l'accoppiata BusyBoxMac Address Ghost per Android).
  • Successivamente, andrebbero rimosse eventuali copie di WhatsApp presenti sul dispositivo e ci si dovrebbe preparare per passare all'azione.
  • L'azione, in questo caso, consiste nel farsi prestare lo smartphone dalla persona da spiare e compiere queste due operazioni.
    • Scoprire il MAC Address del dispositivo (su Android basta andare nel menu Impostazioni > Info sul telefono > Stato, su iPhone nel menu Impostazioni > Generali > Info > Indirizzo Wi-Fi).
    • Impostare il MAC Address del telefono da spiare sul proprio smartphone.
    • Installare WhatsApp sul proprio smartphone e attivarlo usando il numero del telefono della vittima (sul quale verrà quindi recapitato il codice di attivazione della app).

Spiare WhatsApp usando il numero di telefono della vittima

Come spiare WhatsApp

Alcuni siti suggeriscono di spiare WhatsApp installando una copia della app sul proprio telefono e facendo recapitare il suo codice di attivazione sullo smartphone della vittima (che quindi deve essere momentaneamente a portata di mano).

Questa tecnica non funziona, o meglio, non funziona a lungo in quanto WhatsApp permette di associare i numeri di telefono a un solo dispositivo alla volta. Ciò significa che attivando due smartphone con lo stesso numero di cellulare, il primo smette di funzionare e la vittima – fortunatamente – si accorgere subito dell'utilizzo non autorizzato del proprio account.

Spiare WhatsApp con app di parental control e app spia

Sul mercato ci sono tantissime app per il parental control, quasi sempre a pagamento ma con delle versioni di prova gratuita, che permettono di monitorare le attività svolte su uno smartphone, comandare il telefono a distanza e catturare screenshot da remoto. Ebbene, alcune di esse potrebbero essere sfruttate anche per scopi poco leciti e utilizzate per spiare i messaggi scambiati su WhatsApp o altri sistemi di messaggistica.

Tra le applicazioni di parental control più efficaci e facili da usare disponibili attualmente sul mercato ti segnalo Qustodio per Android e iOS e Screen Time che è disponibile anch'essa per Android e iOS.  Entrambe queste app, una volta installate sullo smartphone della vittima, permettono di sapere se e quando questa accede a WhatsApp e consentono di bloccare o limitare l'uso della app da remoto. Non consentono di catturare direttamente le conversazioni scambiate all'interno del servizio, ma includono altre funzioni parecchio invasive per la privacy.

Come spiare WhatsApp

Ancora più pericolose in ottica WhatsApp sono le applicazioni spia, cioè le applicazioni progettate esclusivamente per spiare lo smartphone della vittima, le quali sono completamente invisibili e permettono anche di captare i messaggi digitati sulla tastiera del telefono.

Tra le app spia più diffuse al momento c'è iKeyMonitor che è compatibile sia con Android che con iPhone, ma per fortuna è abbastanza difficile da configurare e, soprattutto, è abbastanza costosa visto che costa 22,49$/mese (dopo 3 giorni di prova gratuita).

Come spiare WhatsApp

Per saperne di più su Qustodio, Screen Time e sulle altre applicazioni che possono essere usate con finalità spionistiche, da' un'occhiata ai miei post su come spiare un cellulare e come spiare i cellulari Android.

App per monitorare gli accessi a WhatsApp

Non possono essere definite propriamente app per spiare WhatsApp, ma sappi che esistono anche delle applicazioni che consentono di monitorare gli accessi a WhatsApp da parte di un utente segnandone gli orari delle ultime connessioni al servizio e il tempo di permanenza al suo interno. Si tratta di soluzioni particolarmente "antipatiche" in quanto funzionano da remoto e non richiedono l'accesso allo smartphone della vittima (di fatto usano dei dati pubblici forniti da WhatsApp e quindi non sono definibili propriamente come app spia).

Tra le applicazioni che permettono di monitorare gli accessi a WhatsApp ti segnalo WhatsMonitor per Android che si può usare gratis per 3 giorni, dopodiché costa 2,99 euro/mese per ogni numero monitorato. Il suo funzionamento, come già detto, è di una semplicità disarmante: dopo averla scaricata dal Play Store, basta avviarla, creare un account gratuito e indicare il numero di cellulare da monitorare.

Come spiare WhatsApp

Quasi come per magia, entro 30 minuti comincia il monitoraggio del numero e viene visualizzata una schermata con tutti gli accessi a WhatsApp effettuati dalla "vittima". Se vuoi saperne di più, consulta il mio post sulle applicazioni per spiare WhatsApp in cui ti ho parlato di WhatsMonitor e altre app che consentono di spiare le attività su WhatsApp.

Come proteggersi dagli spioni

Dopo aver fatto questa "spaventosa" carrellata sulle tecniche di spionaggio più diffuse per le conversazioni di WhatsApp, vediamo qualche consiglio pratico su come difendersi dagli impiccioni. Si tratta di semplici regole di buonsenso da seguire per evitare furti d'identità e altre spiacevoli sorprese (non necessariamente collegate a WhatsApp).

Come spiare WhatsApp

  • Utilizzare un PIN sicuro – il primo consiglio che mi sento di darti è quello di utilizzare un PIN sicuro per sbloccare la lock screen dello smartphone (no, 1111 e 1234 non sono PIN sicuri!). Puoi cambiare il PIN in maniera molto semplice usando il menu delle impostazioni del tuo smartphone.
    • Android – Impostazioni > Sicurezza > Blocco Schermo > PIN (oppure Sequenza se preferisci usare una gesture al posto del PIN numerico).
    • iPhone – Impostazioni > Touch ID e Codice > Cambia codice.
  • Disattivare SMS nella lock screen – se vuoi scongiurare il rischio che qualche malintenzionato attivi una copia "clonata" di WhatsApp recapitando un SMS di conferma sul tuo smartphone, disattiva la visualizzazione degli SMS nella lock screen (in questo modo, l'eventuale malintenzionato dovrà avere accesso completo allo smartphone per portare a termine il suo piano e non potrà farlo con il telefono bloccato).
    • Android – Impostazioni > Sicurezza > Blocco Schermo > PIN. Dopo aver impostato il PIN puoi scegliere se non visualizzare del tutto le notifiche (per nessuna app) o se nascondere solo i contenuti sensibili. Se scegli questa seconda opzione, puoi disattivare solo la visualizzazione degli SMS nella lock screen.
    • iPhone – Impostazioni > Notifiche > Messaggi > togli la spunta dall'opzione Mostra in "Blocco schermo".
  • Controllare le sessioni di WhatsApp Web – come abbiamo visto in precedenza, è possibile violare la privacy degli utenti WhatsApp attivando "abusivamente" il servizio WhatsApp Web. Se temi che qualcuno possa aver compiuto un'operazione del genere ai tuoi danni, controlla le sessioni di WhatsApp Web attive per il tuo account e, se ne individui qualcuna sospetta, disattivale. Per controllare le sessioni di WhatsApp Web aperte per il tuo account, recati nel menu Impostazioni > WhatsApp Web/Desktop. Per disattivarle tutte, invece, pigia prima sul pulsante Disconnettiti da tutti i computer e poi su Disconnetti.

Come spiare WhatsApp

  • Riattiva subito il tuo account in caso di disattivazione – se qualcuno ha attivato una seconda copia di WhatsApp usando il tuo numero, il servizio smetterà di funzionare sul tuo smartphone. Se all'improvviso il tuo account risulta disattivato, procedi ad attivarlo nuovamente e contatta il supporto di WhatsApp all'indirizzo support@whatsapp.com per segnalare che probabilmente vuole rubare la tua identità.
  • Non usare software spia – su Internet vengono pubblicizzati molte app-spia che promettono di captare tutti i messaggi di WhatsApp. Sono pochissime quelle che funzionano veramente. Nella maggior parte dei casi si tratta di truffe belle e buone, se non addirittura di malware tesi a rubare i dati degli utenti per scopi poco leciti. Cerca di starne alla larga!
  • Non prestare lo smartphone al primo che capita – questo consiglio potrebbero darcelo anche le nostre nonne, ma sempre meglio ribadire certi concetti!

ATTENZIONE: questa guida è stata scritta a puro scopo illustrativo. Spiare le conversazioni di altre persone è un reato punibile dalla legge, pertanto non mi assumo alcuna responsabilità su come utilizzerai le informazioni contenute nell'articolo.