Questo sito contribuisce alla audience di Il Messaggero

Come spiare WhatsApp a distanza

di

Non sai quante email ricevo, ogni giorno, da parte di persone preoccupate per la privacy delle proprie conversazioni su WhatsApp. Le domande che mi pongono sono quasi sempre le stesse: è possibile spiare WhatsApp a distanza? C’è il rischio che qualcuno ficchi il naso nelle nostre conversazioni senza permesso? Esiste un modo per proteggersi ed evitare di incorrere in rischi di questo genere? Ebbene, con il post di oggi cercherò di fare un po’ di chiarezza sull’argomento e di dare una risposta a tutti questi quesiti (entro i limiti del possibile).

Cominciamo sùbito col dire che intercettare le conversazioni di WhatsApp da remoto, senza avere prima avuto un contatto diretto con lo smartphone della vittima, è molto difficile. Forse non tecnicamente impossibile, ma difficile. Questo però non deve farci sentire al sicuro e disobbligarci dal mettere in pratica tutte quelle sane regole di buonsenso che dovrebbero guidarci ogni giorno nell’utilizzo dei nostri telefoni.

A cosa mi riferisco? Ad esempio all’opportunità di utilizzare un PIN sicuro (difficile da indovinare per le altre persone), evitare le reti Wi-Fi pubbliche e impedire che chiunque possa leggere i nostri messaggi visualizzando quelli che riceviamo tramite la lock screen. Adesso però non perdiamoci in chiacchiere e analizziamo più in dettaglio la situazione relativa alla sicurezza di WhatsApp.

Indice

Informazioni preliminari

WhatsApp

Prima di entrare nel vivo del tutorial, andandoti a spiegare quali sono le metodiche che i malintenzionati posso provare ad attuare per spiare WhatsApp a distanza, ci sono alcune informazioni preliminari che è mio dovere fornirti per permetterti di avere le idee perfettamente chiare sulla questione.

In primo luogo, sappi che dal 2014, grazie a una collaborazione con gli sviluppatori di Open Whisper Systems, WhatsApp adotta un sistema di cifratura end-to-end chiamato TextSecure, il quale si basa sull’utilizzo di una coppia di chiavi, una pubblica e una privata. La chiave pubblica viene condivisa con il proprio interlocutore, mentre quella privata risiede unicamente sullo smartphone di ciascun utente.

L’intero sistema, che permette di far viaggiare le conversazioni WhatsApp dallo smartphone ai server dell’azienda in maniera cifrata garantendone la lettura solo a mittente e destinatario, funziona in modo totalmente automatico, senza che l’utente debba fare nulla e in tempo reale. Per maggiori dettagli al riguardo, puoi leggere la mia guida specifica su come crittografare WhatsApp.

L’unica incognita di cui bisogna tener conto è rappresentata dal fatto che WhatsApp è un’applicazione closed source, il suo codice sorgente non può essere analizzato a fondo e quindi non possiamo sapere se la cifratura end-to-end è stata implementata a dovere. Potrebbe essere stato commesso qualche errore in grado di minare il funzionamento del sistema o, ancora, la cifratura potrebbe essere disattivata in maniera intenzionale in alcune circostanze o paesi per motivi a noi sconosciuti, ma comunque si tratta di ipotesi abbastanza remote.

A tal proposito, in base ad alcuni test, come quello condotto da Heise, è emerso che nel 2015 la cifratura end-to-end veniva impiegata solo sulla versione Android di WhatsApp, mentre in tutti gli altri casi continuava a essere adottato un sistema basato sull’algoritmo RC4, funzionante esclusivamente in uscita e considerato poco affidabile da tempo. Attualmente, però, la situazione è molto diversa e la cifratura end-to-end viene adoperata su tutte le piattaforme supportate da WhatsApp.

Come fare per spiare WhatsApp a distanza

A questo punto, direi che possiamo finalmente entrare nel vivo della guida e andare a scoprire le principali tattiche adottate dai malintenzionati per spiare WhatsApp a distanza. Trovi tutte le informazioni del caso proprio qui di seguito.

Spiare WhatsApp a distanza senza installare programmi gratis

Hacker

Una tecnica che i malintenzionati cercano spesso di attuare per spiare WhatsApp a distanza è il furto di identità tramite WhatsApp Web o WhatsApp per PC, di cui ti ho parlato dettagliatamente nella mia guida su come avere WhatsApp su PC.

Sia la versione Web di WhatsApp che il client per computer sono in grado di memorizzare l’identità dell’utente, quindi dopo il primo login non è più necessario autenticarsi nuovamente e il tutto funziona pure se lo smartphone non è connesso alla stessa rete wireless del PC (basta che sia connesso a una qualsiasi rete Wi-Fi, o anche alla rete dati 3G/4G/5G) e anche quando non è collegato, se nelle impostazioni del servizio è stata abilitata la funzione multi-dispositivo (come spiegato più in dettaglio nella mia guida su come avere WhatsApp su due dispositivi).

Un malintenzionato, dunque, potrebbe sottrarti il telefono con una qualsiasi scusa, usarlo per accedere a WhatsApp sul suo computer (basta scansionare un QR code con la fotocamera del cellulare) e spiare i tuoi messaggi. Tuttavia, bisogna specificare che, a oggi, tale soluzione potrebbe risultare di difficile attuazione. Infatti, se il proprietario del device ha impostato delle protezioni di riconoscimento biometrico, come per esempio lo sblocco del dispositivo tramite il riconoscimento facciale o con l’impronta digitale, l’accesso a WhatsApp Web o su computer non avviene finché non è confermato con uno di questi sistemi.

Inoltre, la ricezione di notifiche che segnalano sullo smartphone la connessione a WhatsApp sul computer, potrebbero rendere vani gli sforzi dei malintenzionati e consentire all’utente di bloccare sul nascere i nuovi accessi non autorizzati.

Un’altra tecnica legata al furto d’identità, che è molto difficile da mettere in pratica, ma alla quale occorre prestare ugualmente attenzione, è la clonazione del MAC address. Esistono infatti alcune applicazioni che permettono di camuffare il MAC address (un codice di 12 cifre che identifica in maniera univoca tutti i dispositivi in grado di connettersi a Internet) e ingannare i sistemi di verifica di WhatsApp. Degli esempi abbastanza famosi sono BusyBox per dispositivi Android su cui è stato eseguito il root e SpoofMAC per iPhone, di cui ti ho parlato meglio nella mia guida su come clonare WhatsApp, ma ci sono anche altre app di questo genere.

Ora, se un malintenzionato riesce a entrare in possesso del tuo smartphone, imposta il suo telefono in modo che abbia lo stesso MAC address del tuo (almeno in apparenza) e installa una copia di WhatsApp attivandola con il tuo numero, può ottenere libero accesso alle tue conversazioni bypassando le restrizioni standard del servizio (che normalmente impediscono l’utilizzo dell’applicazione su più di uno smartphone contemporaneamente).

Detto ciò, è sempre una buona idea quella di usare una VPN. Qualora non ne avessi mai sentito parlare, si tratta di un sistema che permette di collegarsi a Internet tramite una rete privata virtuale e cifrare così i dati della navigazione, rendendoli invisibili a malintenzionati e provider. Consente anche di camuffare la propria posizione geografica e superare le censure online. Tra le VPN più economiche e funzionali che puoi provare, ci sono NordVPN (di cui ti ho parlato approfonditamente qui) e Surfshark di cui ti ho parlato qui) che funzionano su tutti i device e i sistemi operativi e hanno prezzi molto contenuti.

Spiare WhatsApp a distanza tramite Wi-Fi

WhatsApp

Quando si parla di spiare WhatsApp a distanza è d’obbligo menzionare pure lo sniffing delle reti wireless. È una tecnica che consiste nel catturare tutti i dati che passano su di una rete wireless mediante software di facile reperimento come il famosissimo Wireshark, di cui ti ho parlato anch’io nel mio post su come sniffare una rete wireless.

Si tratta di un rischio fra i più temuti dagli utenti di WhatsApp, ma in realtà la sua pericolosità è stata quasi del tutto annullata dall’adozione della cifratura end-to-end da parte della nota app di messaggistica, per cui anche “sniffando” la rete wireless a cui è collegato il telefono non è possibile scoprirne il contenuto.

Spiare WhatsApp a distanza conoscendo il numero

Come hackerare un account Facebook

Tra le potenziali minacce dalle quali bisogna stare in guardia per non farsi spiare WhatsApp a distanza ci sono infatti le app e i servizi per monitorare l’uso dell’applicazione.

Sono soluzioni che offrono la possibilità di sapere gli orari degli accessi a WhatsApp di una persona semplicemente mediante il suo numero di telefono. Non richiedono che debba essere fisicamente messa mano allo smartphone della vittima e non ci si può difendere contro la loro azione, in quanto gli orari di accesso a WhatsApp sono dati pubblici, ma per fortuna né i messaggi né i contatti vengono spiati.

Solitamente, questo tipo di soluzioni sono fruibili gratuitamente, ma poter accedere a funzionalità più avanzate e per poterle usare senza limitazioni bisogna sottoscrivere abbonamenti ad hoc.

Altre tattiche per spiare WhatsApp a distanza

Ragazzo con binocolo

Altro rischio a cui devi fare molta attenzione è quello legato alle applicazioni-spia. Come ti ho spiegato anche nei miei post sulle applicazioni per spiare i cellulari e su come spiare gli smartphone Android, esistono delle applicazioni che sono invisibili agli occhi dell’utente e permettono di spiare tutte le attività svolte sullo smartphone: dai testi digitati sulla tastiera ai siti visitati. Le applicazioni-spia possono essere divise in due grandi categorie.

  • App spia “vere e proprie” — si tratta di app che sono in grado di tracciare veramente tutto e che sono perfettamente invisibili agli occhi dell’utente. Per fortuna non sono alla portata di chiunque, in quanto non a costo zero (se si esclude qualche giorno di prova gratis) e non sono semplicissime da configurare. Tra le soluzioni più famose di questo tipo ti segnalo iKeyMonitor.
  • App per il parental control — si tratta di applicazioni pensate per controllare gli smartphone usati dai minori. Sono molto facili da installare e da utilizzare, spesso si possono impiegare gratis (almeno per un determinato periodo di tempo) e permettono sia di monitorare il device da remoto che di limitare/bloccare il funzionamento di determinate app. Per fortuna non si nascondono bene come le applicazioni spia professionali e spesso non sono in grado di catturare i testi digitati sulla tastiera dello smartphone. Tra le app più famose di questo tipo ci sono Qustodio e Screen Time.

Insomma, se qualcuno riesce ad avere accesso fisico al tuo smartphone e installa una di queste app, potrebbe poi spiare WhatsApp a distanza, monitorare le tue attività online ecc.

Come non fare spiare WhatsApp a distanza

WhatsApp

Adesso è mio dovere spiegarti pure come evitare che qualcuno possa spiare il tuo WhatsApp a distanza, fornendoti tutta una serie di utili suggerimento al riguardo, quelli che trovi qui sotto.

  • Aggiorna WhatsApp — scarica sempre gli ultimi aggiornamenti per WhatsApp, in modo da impedire ai malintenzionati di usare eventuali falle che potrebbero scovare nel codice dell’app. Per maggiori informazioni al riguardo, consulta la mia guida su come aggiornare WhatsApp su iPhone.
  • Disconnetti i dispositivi da WhatsApp — se ritieni che qualcuno stia usando il tuo account WhatsApp senza il tuo consenso, scollega tutti i dispositivi attualmente attivi con il servizio. Per riuscirci, devi intervenire dalle impostazioni dell’app, come ti ho spiegato nella mia guida su come disconnettere WhatsApp Web.
  • Attiva il blocco su WhatsApp — non tutti lo sanno, ma WhatsApp mette a disposizione degli utenti una funzione per bloccare l’uso all’applicazione tramite volto o impronta digitale, così da impedire l’accesso alle proprie conversazioni a chi non è autorizzato. Per capire come attivare questa funzione, consulta la mia guida su come mettere il blocco su WhatsApp.
  • Imposta un PIN sicuro — se usi un PIN sufficientemente sicuro sul tuo smartphone oppure hai impostato lo sblocco tramite impronta digitale o volto, puoi evitare che i malintenzionati possano accedere al dispositivo e, dunque, pure a WhatsApp. Per maggiori dettagli, consulta il mio articolo su come bloccare lo schermo.
  • Disabilita la visualizzazione degli SMS nella lock screen — un malintenzionato che effettua la clonazione del MAC address dello smartphone può attivare WhatsApp sul proprio telefono usando il suo numero. Per riuscirci, però, ha bisogno di leggere il codice di verifica inviato via SMS SMS sul tuo cellulare. Andando quindi a disattivare la visualizzazione degli SMS nella lock screen puoi impedire che ciò accada. Per capire come riuscirci, ti consiglio la lettura del mio post su come non far vedere i messaggi sul blocco schermo.
  • Non collegarti a reti Wi-Fi pubbliche — la cifratura end-to-end dovrebbe rendere impossibile lo sniffing delle reti wireless, ma a fronte di un maggior grado sicurezza ti consiglio comunque di evitare di collegare il tuo smartphone a reti Wi-Fi pubbliche e/o a reti che non dispongono di protezioni adeguate. Piuttosto usa la connessione dati della tua SIM.
  • Rimuovi la presenza di app spia — se pensi che possano esserci delle app spia sul tuo smartphone, verifica subito la cosa accedendo alla lista delle applicazioni installate sul dispositivo e se effettivamente presenti rimuovile prima di subito. Per approfondimenti, leggi il mio tutorial su come eliminare software spia dal cellulare.
  • Riattiva l’account disattivato — se qualcuno ha abilitato WhatsApp su un altro dispositivo con il tuo numero di cellulare, non potrai più usufruirne dal tuo smartphone. Se questa è la situazione in cui ti ritrovi, rivolgiti immediatamente all’assistenza di WhatsApp per segnalare l’accaduto. Per approfondimenti, ti rimando alla lettura del mio tutorial su come contattare WhatsApp.

Attenzione: spiare le conversazioni di un’altra persona è un reato punibile dalla legge. Questo post è stato scritto a puro scopo illustrativo, pertanto io non mi assumo alcuna responsabilità circa l’utilizzo fatto delle informazioni presenti in esso.

Salvatore Aranzulla

Autore

Salvatore Aranzulla

Salvatore Aranzulla è il blogger e divulgatore informatico più letto in Italia. Noto per aver scoperto delle vulnerabilità nei siti di Google e Microsoft. Collabora con riviste di informatica e cura la rubrica tecnologica del quotidiano Il Messaggero. È il fondatore di Aranzulla.it, uno dei trenta siti più visitati d'Italia, nel quale risponde con semplicità a migliaia di dubbi di tipo informatico. Ha pubblicato per Mondadori e Mondadori Informatica.