Questo sito contribuisce alla audience di Il Messaggero

Come spiare WhatsApp a distanza

di

Non sai quante email ricevo, ogni giorno, da parte di persone preoccupate per la privacy delle proprie conversazioni su WhatsApp. Le domande che mi pongono sono quasi sempre le stesse: è possibile spiare WhatsApp a distanza? C'è il rischio che qualcuno ficchi il naso nelle nostre conversazioni senza permesso? Esiste un modo per proteggersi ed evitare di incorrere in rischi di questo genere? Ebbene, con il post di oggi cercherò di fare un po' di chiarezza sull'argomento e di dare una risposta a tutti questi quesiti (entro i limiti del possibile).

Cominciamo subito col dire che intercettare le conversazioni di WhatsApp da remoto, senza aver prima avuto un contatto diretto con lo smartphone della vittima, è molto difficile. Forse non tecnicamente impossibile, ma difficile. Questo però non deve farci sentire al sicuro e disobbligarci dal mettere in pratica tutte quelle sane regole di buonsenso che dovrebbero guidarci ogni giorno nell'utilizzo dei nostri cellulari.

A cosa mi riferisco? Ad esempio all'opportunità di utilizzare un PIN sicuro (difficile da indovinare per le altre persone), evitare le reti Wi-Fi pubbliche e impedire che chiunque possa ficcare il naso nei nostri messaggi visualizzando gli SMS che riceviamo tramite la lock-screen. Adesso però non perdiamoci in chiacchiere e analizziamo più in dettaglio la situazione relativa alla sicurezza di WhatsApp.

Indice

Spiare WhatsApp a distanza con lo sniffing delle reti wireless

Come spiare WhatsApp a distanza

Lo sniffing delle reti wireless è una tecnica molto conosciuta. Consiste nel catturare tutti i dati che passano su di una rete wireless mediante software di facile reperimento come il famosissimo Wireshark (di cui ti ho parlato anch'io nel mio post su come sniffare una rete wireless). Si tratta di un pericolo fra i più temuti dagli utenti di WhatsApp, ma in realtà la sua pericolosità è stata quasi del tutto annullata dall'adozione della cifratura end-to-end da parte della nota app ora di proprietà di Facebook.

Qualora non ne avessi mai sentito parlare, la cifratura end-to-end (da punto a punto) è un sistema che cripta le comunicazioni informatiche utilizzando un sistema composto da due chiavi: una pubblica e una privata. La chiave pubblica viene condivisa con il proprio interlocutore, mentre quella privata risiede unicamente sullo smartphone di ciascun utente. Ciò significa che i messaggi viaggiano in forma cifrata fino ai server di WhatsApp e nessuno, all'infuori dei legittimi mittenti e destinatari (cioè coloro che sono in possesso delle chiavi per decifrarli), può leggerne il contenuto. Anche captandoli tramite sniffing delle reti wireless, risulterebbero illeggibili.

Uno studio realizzato nell'aprile del 2015 da alcuni ricercatori tedeschi aveva dimostrato che non tutte le versioni di WhatsApp utilizzavano la cifratura end-to-end (solo quella Android la adoperava), ma da allora per fortuna le cose sono cambiate. Adesso la cifratura end-to-end è attiva su tutte le piattaforme software (Android, iOS, Windows Phone ecc.) e protegge tutte le comunicazioni, comprese le chiamate. Se vuoi saperne di più, da' pure un'occhiata al mio tutorial su come crittografare WhatsApp.

Come spiare WhatsApp a distanza

L'unica incognita di cui bisogna tener conto è rappresentata dal fatto che WhatsApp è un'applicazione closed source, il suo codice sorgente non può essere analizzato a fondo, e quindi non possiamo sapere se la cifratura end-to-end è stata implementata a dovere. Potrebbe essere stato commesso qualche errore in grado di minare il funzionamento del sistema o, ancora, la cifratura potrebbe essere disattivata in maniera intenzionale in alcune circostanze o paesi per motivi a noi sconosciuti.

Insomma, dobbiamo fidarci degli sviluppatori di WhatsApp e di TextSecure (quelli che hanno creato il sistema di cifratura usato da WhatsApp ma non dobbiamo abbassare mai la guardia. Per questo ti suggerisco di non utilizzare mai le reti Wi-Fi pubbliche (che come noto sono il terreno di caccia preferito dai criminali informatici) e di non utilizzare WhatsApp per comunicare informazioni altamente riservate.

Come proteggersi

Se sei "paranoico" e vuoi ridurre al minimo il rischio che qualcuno possa "sniffare" le tue comunicazioni a distanza, mi spiace, ma devi abbandonare WhatsApp e rivolgerti a un'altra applicazione di messaggistica; un'applicazione open source che utilizzi un sistema di cifratura end-to-end di provata affidabilità. Qualche esempio? Signal per Android e iOS che è sviluppata dagli stessi creatori della tecnologia TextSecure utilizzata da WhatsApp e ha uno "sponsor" di sicura affidabilità: Edward Snowden, il principale artefice del datagate in seguito al quale sono stati pubblicati molti documenti riservati del governo USA1.

Spiare WhatsApp a distanza tramite il furto d'identità

Come spiare WhatsApp a distanza

Adesso passiamo ad alcune tecniche che, potenzialmente, permettono di spiare WhatsApp a distanza ma richiedono un accesso fisico allo smartphone della vittima (magari per poco tempo, ma lo richiedono).

La prima tecnica di questo tipo – quella più facile da attuare – è il furto di identità tramite WhatsApp Web o WhatsApp per PC. Come ti ho spiegato anche nel mio tutorial su Come usare WhatsApp su PC, per utilizzare WhatsApp sul computer basta collegarsi al sito ufficiale del servizio o scaricare il client ufficiale di WhatsApp per Windows/macOS e inquadrare un QR code con la fotocamera dello smartphone.

Una volta effettuata quest'operazione, se si lascia attivo il segno di spunta accanto alla voce Resta connesso, si ottiene il permesso di accedere ai messaggi presenti sullo smartphone in qualsiasi momento. Basta che il telefono sia acceso e connesso a Internet, non necessariamente alla stessa rete wireless del computer (va bene anche la rete dati 3G/LTE).

Come spiare WhatsApp a distanza

Questi due fattori potrebbero spingere un malintenzionato a chiederti lo smartphone in prestito per qualche minuto (magari con la scusa di dover effettuare una chiamata urgente), utilizzarlo per accedere a WhatsApp Web o al client di WhatsApp per PC e ottenere così un accesso continuativo alle tue conversazioni. Abbastanza preoccupante, vero?

Un'altra tecnica legata al furto d'identità, che è molto più difficile da mettere in pratica ma alla quale devi prestare ugualmente attenzione, è la clonazione del MAC address. Come ti ho spiegato anche nel mio post su come clonare WhatsApp, esistono alcune applicazioni che permettono di camuffare il MAC address (un codice di 12 cifre che identifica in maniera univoca tutti i dispositivi in grado di connettersi a Internet) e ingannare i sistemi di verifica di WhatsApp. Degli esempi abbastanza famosi sono SpoofMAC per iPhone e BusyBox e Mac Address Ghost per Android, ma ci sono anche altre app di questo genere.

Ora, se un malintenzionato riesce ad entrare in possesso del tuo smartphone, imposta il suo telefono in modo che abbia lo stesso MAC address del tuo (almeno in apparenza) e installa una copia di WhatsApp attivandola con il tuo numero, può ottenere libero accesso alle tue conversazioni bypassando le restrizioni standard del servizio (che normalmente impediscono l'utilizzo dell'applicazione su più di uno smartphone contemporaneamente).

Come proteggersi

Per difenderti da queste minacce, considerando il fatto che richiedono tutte un accesso fisico al tuo cellulare, devi mettere in pratica dei sempreverdi consigli di buonsenso.

  • Non prestare lo smartphone a sconosciuti e non lasciarlo incustodito per troppo tempo.
  • Imposta un PIN sicuro per evitare che qualcuno possa sbloccare il telefono e usarlo per accedere a WhatsApp Web o per controllare il suo MAC address. Se non sai come impostare un PIN ecco le istruzioni per Android e iPhone.
    • Android – vai nel menu Impostazioni > Sicurezza > Blocco Schermo e seleziona la voce PIN dalla schermata che si apre. Se il tuo smartphone dispone di un sensore d'impronte, puoi impostare anche lo sblocco tramite impronta andando su Impronta digitale. Evita la sequenza in quanto è abbastanza facile da indovinare per chi osserva lo sblocco dello smartphone dall'esterno.
    • iPhone – vai nel menu Impostazioni > Touch ID e Codice e selezionare la voce Cambia codice. Se hai un modello di iPhone dotato di Touch ID, puoi impostare lo sblocco tramite sensore d'impronte pigiando sulla voce Aggiungi un'impronta.

Come spiare WhatsApp a distanza

  • Impedisci la visualizzazione degli SMS nella lock-screen, in modo che i malintenzionati non possano vedere l'SMS con il codice di attivazione di WhatsApp. Se non sai come si fa, ecco le istruzioni per Android e iPhone.
    • Android – vai nel menu Impostazioni > Sicurezza > Blocco Schermo, seleziona la voce PIN e dopo aver impostato il codice scegli di nascondere solo i contenuti sensibili.
    • iPhone – vai nel menu Impostazioni > Notifiche > Messaggi e rimuovi la spunta dall'opzione Mostra in Blocco schermo.

Come spiare WhatsApp a distanza

Per quanto riguarda WhatsApp Web, puoi proteggerti dagli spioni recandoti nelle impostazioni dell'applicazione e revocando l'accesso a tutte le sessioni di WhatsApp Web attive attualmente.

Per essere più precisi, devi andare nel menu (…) > WhatsApp Web (Android) o Impostazioni > WhatsApp Web/Desktop (iPhone) di WhatsApp e pigiare sul pulsante Disconnettiti da tutti i computer. In questo modo gli eventuali "spioni" connessi al tuo account non potranno più accedere al servizio, in quanto sarà chiesta loro una nuova scansione del QR code con la fotocamera dello smartphone.

Spiare WhatsApp a distanza con un'applicazione

Come spiare WhatsApp a distanza

Altro rischio a cui devi fare molta attenzione è quello legato alle applicazioni-spia. Come ti ho spiegato anche nei miei post sulle applicazioni per spiare i cellulari e su come spiare gli smartphone Android, esistono delle applicazioni che sono invisibili agli occhi dell'utente e permettono di spiare tutte le attività svolte sullo smartphone: dai testi digitati sulla tastiera ai siti visitati. Le applicazioni-spia possono essere divise in tre grandi categorie.

  • Le app per il parental control – si tratta di applicazioni pensate per controllare gli smartphone usati dai minori. Sono molto facili da installare e da utilizzare, spesso si possono usare gratis (almeno per un determinato periodo di tempo) e permettono sia di monitorare il device da remoto che di limitare/bloccare il funzionamento di determinate app. Per fortuna non si nascondono bene come le applicazioni spia professionali e spesso non sono in grado di catturare i testi digitati sulla tastiera dello smartphone. Tra le app più famose di questo tipo ci sono Qustodio  (Android/iOS) e Screen Time (Android/iOS).
  • Le applicazioni spia – le vere e proprie applicazioni spia, quelle che sono in grado di tracciare veramente tutto e che sono perfettamente invisibili agli occhi dell'utente. Per fortuna non sono alla portata di tutti in quanto non sono gratis (se si esclude qualche giorno di prova gratis) e non sono semplicissime da configurare. Tra le app più famose di questo tipo ti segnalo iKeyMonitor che è disponibile sia per Android che per iOS e costa 22,49$/mese (dopo 3 giorni di trial gratuita).
  • Le app per monitorare gli accessi a WhatsApp – anche se non possono essere definite propriamente delle app spia, esistono delle applicazioni che permettono di monitorare gli accessi a WhatsApp da parte di altri utenti semplicemente digitandone il numero di cellulare (quindi senza installare nulla sullo smartphone della "vittima"). Un esempio su tutti è WhatsMonitor per Android per Android che costa 2,99 euro/mese per ogni numero monitorato ma si può provare gratis per 3 giorni. Ripeto, permette solo di sapere gli orari in cui un utente si collega a WhatsApp, non spia i messaggi, ma rappresenta comunque una discreta noia sotto il punto di vista della privacy (anche perché non si può fare praticamente nulla per proteggersi).

Come spiare WhatsApp a distanza

Per approfondimenti relativi alle applicazioni per spiare WhatsApp e al loro funzionamento, leggi il post che ho dedicato a questo genere di software. Troverai diverse informazioni interessanti al suo interno.

Come proteggersi

Se sospetti che qualcuno abbia installato una app-spia sul tuo telefono (altra operazione che richiede l'accesso fisico al device), recati nel menu di gestione delle app e controlla se ci sono dei nomi sospetti in quest'ultimo.

Se hai uno smartphone Android, recati nel menu Impostazioni > App e verifica se nella lista delle applicazioni installate sul tuo dispositivo ce n'è qualcuna che ritieni possa essere una app-spia. Successivamente, vai nel menu Impostazioni > Sicurezza > Amministratori dispositivo e controlla se tra le app che hanno permessi da amministratore (quindi le app che possono controllare il telefono a 360 gradi) ci sono app di dubbia provenienza. Ancora, se hai sbloccato il tuo telefono tramite root, apri l'applicazione SuperSU/SuperUser e controlla se tra le app che hanno i permessi di root ce ne sono alcune che non hai autorizzato tu. Nel caso in cui trovassi delle app sospette, disattivale e disinstallale.

Come spiare WhatsApp a distanza

Se utilizzi un iPhone, recati nel menu Impostazioni > Generali > Spazio sul dispositivo e su iCloud e pigia sulla voce Gestisci spazio contenuta nel riquadro Spazio dispositivo per ottenere una lista di tutte le app installate sul device. Dopodiché vai nel menu Impostazioni > Gestione profili e dispositivo e scopri se tra le applicazioni che hanno installato dei profili personalizzati ce ne sono alcune sospette (le app che installano profili personalizzati sono quelle che hanno un maggior controllo su iOS). Se hai effettuato il jailbreak di iPhone, prova anche ad aprire Cydia e a controllare la lista dei pacchetti installati sul telefono (molte app spia funzionano solo con il jailbreak e quindi vanno installate tramite Cydia).

Per concludere, indipendentemente dal sistema operativo installato sul tuo smartphone, prova ad aprire il browser e a collegarti agli indirizzi localhost:8888 e localhost:4444 e prova a digitare il codice *12345 nella schermata di composizione dei numeri di telefono. I codici in questione sono i codici usati da alcune note app-spia per palesarsi e mostrare il loro pannello di amministrazione (se digitandoli, vedi comparire un menu, vuol dire che qualcuno ha installato una app-spia sul tuo telefono).

Come spiare WhatsApp a distanza

Se non noti nulla di strano ma sospetti ugualmente che qualcuno ti stia spiando (come già detto, queste app hanno l'abilità di nascondersi e difficilmente compaiono in chiaro nei menu di sistema), mi spiace ma l'unica soluzione che hai a tua disposizione per liberartene è formattare la memoria del telefono. Per maggiori informazioni su questa procedura consulta le mie guide su come resettare Android e come resettare iPhone, lì trovi spiegato tutto.

Attenzione: spiare le conversazioni di un'altra persona è un reato punibile dalla legge. Questo post è stato scritto a puro scopo illustrativo, pertanto io non mi assumo alcuna responsabilità circa l'utilizzo fatto delle informazioni presenti in esso.


  1. Ecco il tweet in cui Snowden conferma di utilizzare Signal per le sue comunicazioni online. ↩︎