Questo sito contribuisce alla audience di Il Messaggero

Come spiare WhatsApp altrui

di

Molte persone mi scrivono per chiedermi come spiare WhatsApp altrui. Ovviamente non ho alcuna intenzione di aiutarli, violare la privacy altrui è un reato punibile dalla legge (oltre che un comportamento deprecabile), ma voglio approfittare dell’interesse che c’è intorno a quest’argomento per fare il punto della situazione.

Per essere precisi vorrei scoprire, insieme a te, quali sono le maggiori tecniche utilizzate dai criminali informatici per intercettare le conversazioni di WhatsApp e, soprattutto, quali contromisure possiamo mettere in atto per difenderci dai loro attacchi. Premesso che la sicurezza assoluta non esiste, ti assicuro che per dormire sonni ragionevolmente tranquilli non bisogna essere esperti di sicurezza informatica: basta mettere in pratica alcune semplici regole di buonsenso che mi auguro tu segua già. Adesso però basta chiacchiere! Passiamo subito al cuore di questo tutorial – se così vogliamo chiamarlo – e vediamo come tenere le nostre chat lontane da sguardi indiscreti.

Attenzione: spiare le conversazioni altrui è un reato punibile dalla legge. Questa guida è stata scritta a puro scopo illustrativo, pertanto io non mi assumo alcuna responsabilità circa l’utilizzo che farai delle informazioni presenti in essa.

Sniffing delle reti wireless

Come spiare WhatsApp altrui

Come ti ho spiegato nel mio tutorial su come sniffare una rete wireless, esistono dei software, anche gratuiti, che permettono di “catturare” tutti i dati che transitano su una rete Wi-Fi. Tale tecnica potrebbe essere utilizzata dai criminali informatici per catturare le conversazioni di WhatsApp, ma per fortuna le ultime versioni della app hanno ridotto – se non scongiurato del tutto – questo rischio.

A partire dal novembre del 2014, infatti, WhatsApp utilizza un sistema di sicurezza denominato TextSecure il quale applica una cifratura di tipo end-to-end (da punto a punto) ai messaggi. Nella cifratura end-to-end i messaggi vengono cifrati e decifrati usando una coppia di chiavi: una pubblica che viene condivisa con il proprio interlocutore e serve a cifrare i messaggi in uscita e una privata che risiede unicamente sul proprio smartphone e decifra i messaggi in entrata. In altre parole questo significa che le comunicazioni viaggiano sui server di WhatsApp in maniera criptata e solo i legittimi mittenti e destinatari possono leggerne il contenuto.

Alla luce di quanto appena detto, ogni tentativo di sniffing dovrebbe essere vano – in quanto i messaggi captati risulterebbero completamente illeggibili -, ma ci sono un paio di pericolose variabili da tenere in considerazione.

Innanzitutto WhatsApp è un software closed source, quindi non possiamo esaminare a fondo il suo codice sorgente e non possiamo sapere se la cifratura end-to-end viene applicata in maniera corretta (potrebbe essere disattivata in alcuni frangenti o in alcuni paesi, magari su richiesta dei governi locali). Poi bisogna considerare il fatto che WhatsApp è disponibile per molte piattaforme software e non su tutte è stata ancora attivata la cifratura end-to-end.

Un test condotto nell’aprile del 2015 da un team di sicurezza informatica tedesco ha dimostrato che la cifratura end-to-end funzionava solo nelle conversazioni da e verso i terminali Android, sulle altre piattaforme software veniva applicato un sistema di cifratura basato sull’algoritmo RC4 che è notoriamente vulnerabile e quindi può essere decifrato con maggiore facilità dai criminali informatici. Ora la situazione dovrebbe essere più “tranquilla”, la società sviluppatrice del sistema TextSecure ha fatto sapere che la cifratura end-to-end arriverà gradualmente su tutte le piattaforme, ma per correttezza non possiamo dire che WhatsApp è al 100% invulnerabile agli attacchi di sniffing wireless.

Come difendersi: se la cifratura end-to-end non viene applicata o viene applicata male, noi utenti non possiamo fare molto. L’unico consiglio sensato che posso darti è quello di evitare le reti wireless pubbliche, che come noto sono uno dei bersagli prediletti dei criminali informatici. Oppure smetti di usare WhatsApp. Punto.

Furto d’identità su WhatsApp

Come spiare WhatsApp altrui

Se lo sniffing delle reti wireless sta man mano perdendo la sua efficacia (o almeno così si spera), esiste un’altra tecnica che permette di spiare WhatsApp altrui con successo. Mi riferisco al furto d’identità, che può essere perpetrato in vari modi.

WhatsApp Web

WhatsApp Web è un servizio online che permette di usare WhatsApp su PC con la semplice scansione di un QR code che compare sullo schermo del computer. Funziona solo se lo smartphone su cui è installato il client principale di WhatsApp è connesso ad Internet, ma non richiede che i due dispositivi siano collegati alla stessa rete wireless ed è in grado di memorizzare l’identità dell’utente.

Questo significa che un malintenzionato potrebbe sottrarti lo smartphone – basta una scusa qualsiasi, come per esempio l’esigenza di effettuare una chiamata urgente – , accedere a WhatsApp Web e restare connesso al tuo account spuntando la casella Resta connesso che permette al browser di memorizzare l’identità dell’utente (e quindi di accedere al servizio senza scansionare una seconda volta il QR code).

Clonazione del MAC address

Un’altra tecnica che potrebbe consentire ai malintenzionati di rubarti l’identità su WhatsApp è la clonazione del MAC address. Il MAC address è un codice di 12 cifre che identifica in maniera univoca tutti i dispositivi in grado di connettersi a Internet e WhatsApp lo utilizza, insieme al numero di telefono, per verifica l’identità dell’utente.

Se qualcuno riesce a camuffare il MAC address del proprio telefono (ci sono applicazioni come BusyBox e Mac Address Ghost per Android che permettono di farlo in maniera abbastanza semplice) e a farlo combaciare con quello del tuo smartphone, può installare WhatsApp, attivarlo con il tuo numero e ottenere libero accesso alle tue conversazioni.

Per fortuna si tratta di una tecnica abbastanza complessa: richiede molto tempo e una preparazione informatica di un certo livello, ma è sempre bene essere al corrente della sua esistenza (in modo da evitarla).

Come difendersi: tutte le principali tecniche utilizzate dai criminali informatici per rubare l’identità di altri utenti su WhatsApp richiedono un accesso fisico al telefono della vittima. Questo significa che puoi scongiurare il rischio che qualcuno colpisca il tuo account semplicemente facendo attenzione a chi utilizza il telefono e applicando delle semplici regole di buonsenso. Facciamo subito qualche esempio.

Impostare un PIN sicuro – se qualcuno entra in possesso del tuo smartphone ma non riesce ad accedere al suo menu principale non può né scansionare il QR code di WhatsApp Web né visualizzare il MAC address del dispositivo (che si può trovare facilmente nel menu Info di Android e iOS). La prima misura che puoi adottare per mettere fuori gioco gli “spioni” è dunque applicare un PIN sicuro alla lock-screen.

  • Su Android per impostare un PIN basta recarsi nel menu Impostazioni > Sicurezza > Blocco Schermo e selezionare la voce PIN (oppure la voce Sequenza, se si desidera utilizzare una gesture al posto del PIN numerico).
  • Su iPhone bisogna recarsi nel menu Impostazioni > Touch ID e Codice, selezionare la voce Cambia codice e impostare il proprio PIN.

Disattivare la visualizzazione degli SMS nella lock-screen – durante la fase di attivazione di una copia clonata di WhatsApp, il malintenzionato dovrà usare il tuo telefono per ricevere il codice di conferma da parte dell’applicazione. Se imposti un PIN sicuro e impedisci la visualizzazione degli SMS nella lock screen rendi impossibile tale operazione.

  • Per disattivare la visualizzazione degli SMS nella lock-screen di Android bisogna andare nel menu Impostazioni > Sicurezza > Blocco Schermo, impostare un PIN o una gesture e scegliere di nascondere solo i contenuti sensibili.
  • Per ottenere lo stesso risultato su iPhone bisogna recarsi nel menu Impostazioni > Notifiche > Messaggi e togliere la spunta dall’opzione Mostra in “Blocco schermo”.

Controllare le sessioni di WhatsApp Web – se vai nel menu Impostazioni > WhatsApp Web del tuo WhatsApp puoi visualizzare tutte le sessioni di WhatsApp Web attive sull’account. Se fra queste ne rilevi qualcuna “sospetta”, quindi ritieni che qualcuno possa sfruttare il servizio per accedere alle tue conversazioni senza permesso, pigia sul pulsante Disconnettiti da tutti i computer e tutti i computer collegati al tuo account WhatsApp perderanno l’accesso (sarà richiesta nuovamente la scansione del QR code).

Applicazioni-spia

Come spiare WhatsApp altrui

Un’altra minaccia da cui mi sembra doveroso metterti in guardia è quella relativa alle applicazioni-spia; applicazioni che una volta installate sullo smartphone permettono di tracciare tutte le attività dell’utente, comandare il telefono da remoto e ottenere screenshot dello schermo del dispositivo.

Se leggi il mio post sulle applicazioni per spiare i cellulari Android ti renderai conto che anche applicazioni di facilissima reperibilità, come quelle per il parental control o il ritrovamento dei telefoni smarriti, possono essere configurate in modo da spiare l’utente senza che quest’ultimo se ne accorga. E questo può rappresentare un enorme pericolo per la privacy.

Come difendersi: l’installazione di applicazioni spia richiede l’accesso fisico allo smartphone della vittima, quindi valgono tutti i consigli che ti ho dato prima. In più, se sospetti che qualcuno stia tracciando le tue attività, prova ad accedere al menu con la lista di tutte le applicazioni installate sullo smartphone (Impostazioni > App > Tutte su Android e Impostazioni > Generali > Utilizzo spazio e iCloud > Gestisci spazio su iPhone) e vedi se c’è qualche icona “sospetta”. In caso di esito positivo, seleziona le applicazioni “sospette” e provvedi a rimuoverle una ad una pigiando sull’apposito pulsante.

Facile, vero? Un po’ troppo direi… e infatti devo darti una brutta notizia! Molte delle applicazioni in grado di spiare WhatsApp altrui nascondono automaticamente le loro icone dai menu di Android, iOS e Windows Phone. Questo vuol dire che potrebbero essere ugualmente presenti sul tuo cellulare anche se non le vedi nei menu che ti ho indicato in precedenza.

In casi come questi, se temi che qualcuno abbia messo sotto controllo il tuo telefono, l’unica cosa che puoi fare è formattare il dispositivo e cancellare tutti i dati presenti su di esso. Trovi spiegato come fare nei miei tutorial su come resettare iPhone e come formattare Android.