Questo sito contribuisce alla audience di Il Messaggero

Come spiare WhatsApp

di

Genitori apprensivi, fidanzati gelosi, amici impiccioni… tutti — e sottolineo tutti — mi chiedono come spiare WhatsApp. Tutti vogliono sapere se compiere la suddetta operazione è davvero così semplice come si dice, se le tante app-spia di cui si vocifera su Internet funzionano realmente e se per monitorare le conversazioni di una persona bisogna essere per forza degli hacker. Come intuibile, non è facile liquidare la questione in poche righe. Per affrontare l'argomento in maniera seria occorre prendersi un po' di tempo libero e analizzare i potenziali rischi in cui possono incappare oggigiorno gli utenti di WhatsApp, cosa che intendo fare con questo tutorial.

Cominciamo partendo da un presupposto fondamentale: non bisogna farsi prendere dal panico. L'incredibile successo di WhatsApp ha solleticato l'interesse di molti criminali informatici, i quali, sempre più spesso, provano a “bucare” i server del servizio e a rubare i dati degli utenti, questo è assolutamente vero, ma per fortuna gli sviluppatori non se ne sono stati con le mani in mano e hanno deciso di adottare un sistema di crittografia end-to-end (da punto a punto) che ha irrobustito di molto la sicurezza della celeberrima piattaforma.

Restano, però, altri tipi di minacce alle quali bisogna stare attenti. Fra quelle a cui bisogna prestare maggiormente attenzione ci sono le tecniche di spionaggio “artigianali”, ovvero quei sistemi che sfruttano le debolezze e le disattenzioni dell'utente per carpire le sue credenziali d'accesso e visualizzare le sue comunicazioni online. D'altronde si sa, la prima misura di sicurezza di uno smartphone, un computer o qualsiasi altro dispositivo elettronico sono gli stessi utilizzatori. Se vuoi approfondire l'argomento, continua a leggere. Di seguito trovi tutte le informazioni di cui hai bisogno circa la sicurezza di WhatsApp.

Indice

Informazioni preliminari

Cambiare numero senza informare i contatti

Prima di entrare nel vivo della guida, andandoti a indicare come spiare WhatsApp, ci sono alcune informazioni preliminari che è mio dovere fornirti per consentirti di avere le idee perfettamente chiare sulla questione.

Innanzitutto, sappi che nel novembre del 2014, gli sviluppatori di Open Whisper Systems hanno annunciato una collaborazione con WhatsApp tesa a portare il loro sistema di cifratura end-to-end (denominato TextSecure) nella celebre app di messaggistica. La cifratura end-to-end funziona con una coppia di chiavi: una privata e una pubblica. La chiave privata risiede esclusivamente sullo smartphone dell'utente e serve a decifrare i messaggi ricevuti dall'esterno. La chiave pubblica, invece, viene condivisa con l'interlocutore e viene utilizzata da quest'ultimo per criptare i messaggi che vengono recapitati (e viceversa). Nel mezzo ci sono i server di WhatsApp, che fanno da “postini”, cioè ricevono i messaggi crittografati (quindi illeggibili sia per i gestori del servizio sia per eventuali malintenzionati) e li recapitano sul telefono del destinatario.

Il bello della crittografia end-to-end è che avviene tutto alla velocità della luce e senza che l'utente debba muovere un dito. L'unica potenziale incognita risiede nella reale applicazione di questo sistema. WhatsApp, infatti, è un software closed source e non è possibile sapere con certezza assoluta come gestisce i messaggi.

Da alcuni test, come quello realizzato da Heise nell'aprile del 2015, è emerso che la cifratura end-to-end veniva utilizzata solo sulla versione Android di WhatsApp, mentre le altre continuavano ad adoperare un sistema di cifratura basato sull'algoritmo RC4, funzionante solo in uscita (per cui rendeva potenzialmente leggibili i messaggi sui server di WhatsApp) e non più ritenuto sicuro da diverso tempo. Adesso però la situazione è totalmente diversa, la cifratura end-to-end è disponibile per tutte le piattaforme e copre tutti i contenuti veicolati dalla app: messaggi, chat di gruppo, video, foto ecc.

Possiamo allora dire che WhatsApp è ragionevolmente sicuro. Captare i messaggi che viaggiano sui suoi server dovrebbe essere un'impresa assai ardua, ma è giusto mantenere un pizzico di dubbio relativo all'impossibilità di analizzare a fondo il codice sorgente dell'applicazione. Per maggiori dettagli sulla cifratura end-to-end e la sua implementazione all'interno di WhatsApp, fa anche riferimento al mio tutorial su come crittografare WhatsApp.

Come spiare WhatsApp a distanza senza installare programmi

Smartphone Android

Una tra le tecniche più utilizzate per spiare WhatsApp a distanza senza installare programmi è la clonazione del MAC Address.

Nel caso in cui non ne avessi mai sentito parlare, il MAC address (acronimo di Media Access Control) è un indirizzo composto da 12 cifre che permette di identificare in maniera univoca le schede di rete presenti nei PC e, più in generale, tutti i dispositivi in grado di connettersi a Internet, come gli smartphone.

Camuffando il MAC address del proprio smartphone, un malintenzionato potrebbe “ingannare” WhatsApp e installare una copia dell'applicazione sul telefono in modo da ricevere tutti i messaggi della vittima. Per fortuna si tratta di un'operazione abbastanza articolata, la quale richiede parecchio tempo per essere portata a termine e per la messa a segno della quale è indispensabile che il malintenzionato possa usare fisicamente lo smartphone della vittima, ma è bene conoscerla per evitare che qualche “furbacchione” possa metterla in pratica.

Per cui, se un malintenzionato installa alcune apposite app sul proprio smartphone (come BusyBox e Mac Address Ghost per Android e SpoofMAC per spiare WhatsApp su iPhone, per il corretto funzionamento delle quali è indispensabile effettuare il root su Android e il jailbreak su iPhone) e riesce a scoprire il MAC address del cellulare del malcapitato può installare una versione “clonata” di WhatsApp e accedere alle conversazioni di chi è stato preso di mira.

Per trovare il MAC Address su smartphone Android occorre recarsi nella sezione Impostazioni, fare tap sulla dicitura Info (o Informazioni telefono a seconda dei modelli) e su quella Stato, scorrendo la lista dei dettagli fino a trovare la voce in questione. Su iPhone, invece, bisogna accedere alla sezione Impostazioni, sfiorare le voci Generali e Info e infine la dicitura Indirizzo Wi-Fi.

Come spiare WhatsApp solo con il numero

Come hackerare un account Facebook

Vediamo, adesso, come spiare WhatsApp solo con il numero. Per fare ciò, esistono app e servizi per monitorare l'uso dell'applicazione.

Si tratta di soluzioni che consentono di scoprire gli orari degli accessi a WhatsApp di una persona semplicemente tramite il numero di telefono, appunto. Per il loro funzionamento non è indispensabile mettere fisicamente le mani sullo smartphone della vittima e non è possibile difendersi in alcun modo dalla loro azione, visto e considerato che gli orari di accesso a WhatsApp sono dati pubblici. Fortunatamente, però, né i messaggi né i contatti vengono spiati.

In genere soluzioni per spiare WhatsApp conoscendo solo il numero sono fruibili a costo zero, ma poter accedere a funzionalità più avanzate e per un uso senza limitazioni bisogna sottoscrivere abbonamenti appositi. Al netto di questo e indipendentemente dal prezzo, ti sconsiglio di cercare app di questo genere, in quanto spesso, oltre a non funzionare sono “cavalli di troia” pensati per veicolare malware.

Come spiare WhatsApp con WhatsApp Web

whatsapp web

WhatsApp Web è un servizio offerto gratuitamente da WhatsApp che consente di leggere e inviare messaggi da computer utilizzando lo smartphone come “ponte”. Ti ho illustrato dettagliatamente il suo funzionamento nel mio tutorial su come usare WhatsApp su PC, dove ti ho parlato anche del client ufficiale di WhatsApp per Windows e macOS che funziona allo stesso modo.

Sia WhatsApp Web che WhatsApp per computer sono in grado di memorizzare l'identità dell'utente, per cui dopo il primo accesso non viene richiesta una nuova autenticazione e tutto funziona anche quando lo smartphone non è collegato alla stessa rete wireless del PC e più in generale quando non è connesso a Internet, usando la funzione multi-dispositivo.

Questo cosa vuol dire? Vuol dire che un malintenzionato potrebbe farsi prestare il telefono dalla vittima con qualsiasi pretesto, dopodiché potrebbe spiare WhatsApp con WhatsApp Web o tramite il client per computer (o anche dal proprio smartphone/tablet, abilitando la visualizzazione desktop del sito o usando delle app che si basano su WhatsApp Web) e ottenere così l'accesso alle conversazioni dell'utente da spiare.

Tuttavia bisogna specificare che questa soluzione potrebbe non essere attuabile nel caso in cui l'utente abbia impostato sul suo dispositivo delle protezioni di riconoscimento biometrico, come lo sblocco tramite il riconoscimento facciale o quello utilizzando l'impronta digitale. In questi casi, infatti, non è possibile accedere a WhatsApp Web senza lo sblocco biometrico e, dunque, senza l'autorizzazione del reale proprietario del dispositivo.

Altre tattiche per spiare WhatsApp

Ragazzo con binocolo

Tra le altre tattiche per spiare WhatsApp che possono essere adoperate dai malintenzionati c'è senza dubbio alcuno l'impiego delle app per il parental control, quasi sempre a pagamento ma con delle versioni di prova gratuita, le quali permettono di monitorare le attività svolte su uno smartphone, comandare il telefono a distanza e catturare screenshot da remoto. Ebbene, alcune di esse potrebbero essere sfruttate anche per scopi poco leciti e utilizzate per spiare i messaggi scambiati su WhatsApp o altri sistemi di messaggistica. Tre la app più famose della categoria ci sono Qustodio e Screen Time.

Ancora più pericolose in ottica WhatsApp sono le applicazioni spia, cioè le applicazioni progettate esclusivamente per spiare lo smartphone della vittima, le quali sono completamente invisibili e permettono anche di captare i messaggi digitati sulla tastiera del telefono. Tra le app spia più diffuse al momento c'è iKeyMonitor, ma per fortuna è abbastanza difficile da configurare e, soprattutto, è abbastanza costosa.

C'è poi lo sniffing delle reti wireless. Si tratta di una tecnica consistente nel catturare tutti i dati che passano su di una rete wireless mediante software come Wireshark, di cui ti ho parlato anch'io nel mio tutorial su come sniffare una rete wireless. Fortunatamente, però, è un rischio piuttosto remoto da quando è stata adottata la cifratura end-to-end da parte della nota app di messaggistica, per cui anche “sniffando” la rete wireless a cui è collegato lo smartphone non è possibile scoprirne il contenuto.

Se captare i messaggi di WhatsApp provando a “sniffare” i dati che transitano sulla rete wireless usata dallo smartphone è ormai pressoché impossibile, bisogna comunque tenersi alla larga da tattiche meno raffinate ma tutt'ora valide che prevedono l'accesso fisico allo smartphone della vittima e, quindi, coinvolgono il cosiddetto social engineering (ingegneria sociale).

Nel gergo tecnico, si indicano con “ingegneria sociale” tutte quelle attività che sfruttano la psicologia umana per truffare la vittima di un attacco informatico. Questo significa che un malintenzionato potrebbe fingersi una persona amica (o comunque affidabile) e chiedere il telefono in prestito alla vittima per il più banale dei motivi (es. fare una telefonata) e ficcare il naso nei suoi dati personali.

Come non farsi spiare WhatsApp

Come spiare WhatsApp

Dopo aver fatto questa “spaventosa” carrellata sulle tecniche di spionaggio più diffuse per spiare WhatsApp, vediamo qualche consiglio pratico su come difendersi dagli impiccioni. Si tratta di semplici regole di buonsenso da seguire per evitare furti d'identità e altre spiacevoli sorprese (non necessariamente collegate alla celebre app di messaggistica).

Qui sotto, dunque, trovi tutta una serie di “dritte” utili per non farsi spiare WhatsApp.

  • Aggiornare WhatsApp — scarica sempre gli ultimi aggiornamenti disponibili per WhatsApp, così da evitare ai malintenzionati di usare le falle che potrebbero trovare nel codice dell'app. Per maggiori informazioni sulla questione, leggi la mia guida su come aggiornare WhatsApp.
  • Disconnettere i dispositivi da WhatsApp — se pensi che qualcuno stia usando il tuo account WhatsApp senza il tuo consenso, scollega tutti i dispositivi attualmente attivi con il servizio. Per riuscirci, devi andare ad agire sulle impostazioni dell'app, come spiegato nel mio tutorial su come disconnettere WhatsApp Web.
  • Attivare il blocco su WhatsApp — il celebre servizio di messaggistica integra una funzione per bloccare l'uso all'applicazione tramite volto o impronta digitale, in maniera tale da impedire l'accesso alle conversazioni a chi non è autorizzato. Per scoprire come abilitare la suddetta funzionalità, consulta la mia guida su come mettere il blocco su WhatsApp.
  • Impostare un PIN sicuro — adoperando un PIN sufficientemente sicuro sullo smartphone oppure impostando lo sblocco tramite impronta digitale o volto, è possibile evitare che i malintenzionati accedano al dispositivo e, di conseguenza, anche a WhatsApp. Per approfondimenti, leggi il mio articolo su come bloccare lo schermo.
  • Disattivare la visualizzazione degli SMS nella lock screen — un malintenzionato che clona il MAC address dello smartphone può attivare WhatsApp sul proprio smartphone usando il suo numero. Per riuscirci, però, deve conoscere il codice di verifica inviato a mezzo SMS sul cellulare della vittima. Per cui, andando a disabilitare la visualizzazione degli SMS nella lock screen è possibile impedire che ciò accada. Per capire come riuscirci, consulta il mio post su come non far vedere i messaggi sul blocco schermo.
  • Non usare le reti Wi-Fi pubbliche — la cifratura end-to-end dovrebbe rendere impossibile lo sniffing delle reti wireless, ma a scanso di equivoci è comunque consigliabile evitare di collegare lo smartphone a reti Wi-Fi pubbliche e/o a reti che non dispongono di protezioni adeguate, andando a preferire i dati mobili della propria SIM.
  • Rimuovere la presenza di app spia — se hai il sospetto che possano esserci delle app spia sul tuo smartphone, fa' subito le dovute verifiche, accedendo alla lista delle applicazioni installate sul dispositivo e se sono effettivamente presenti sbarazzatene immediatamente. Per maggiori dettagli, consulta la mia guida su come eliminare software spia dal cellulare.
  • Riabilitare l'account disattivato — se qualcuno ha attivato WhatsApp su un altro dispositivo con il tuo numero di cellulare, non potrai più usufruirne dal tuo smartphone. Se ti ritrovi in questa situazione, rivolgiti subito all'assistenza di WhatsApp per segnalare la cosa. Per altri dettagli, leggi il mio articolo specifico su come contattare WhatsApp.

Attenzione: questa guida è stata scritta a puro scopo illustrativo. Spiare le conversazioni di altre persone è un reato punibile dalla legge, pertanto non mi assumo alcuna responsabilità su come utilizzerai le informazioni contenute nell'articolo.

Salvatore Aranzulla

Autore

Salvatore Aranzulla

Salvatore Aranzulla è il blogger e divulgatore informatico più letto in Italia. Noto per aver scoperto delle vulnerabilità nei siti di Google e Microsoft. Collabora con riviste di informatica e cura la rubrica tecnologica del quotidiano Il Messaggero. È il fondatore di Aranzulla.it, uno dei trenta siti più visitati d'Italia, nel quale risponde con semplicità a migliaia di dubbi di tipo informatico. Ha pubblicato per Mondadori e Mondadori Informatica.