Questo sito contribuisce alla audience di Il Messaggero
Salvatore Aranzulla Day
Evento di formazione SEO con Salvatore Aranzulla. Scopri il programma

Come spiare WhatsApp Android

di

Viste le numerose richieste che ho ricevuto in merito, oggi torno ad occuparmi di un argomento che ho già trattato diverse volte in passato: come spiare WhatsApp Android. No, tranquillo, non voglio incentivare attività illegali come il monitoraggio delle comunicazioni elettroniche. Tutt’altro. Con il tutorial di oggi voglio analizzare alcune tecniche adottate dai criminali informatici per captare le nostre conversazioni su WhatsApp e voglio farti scoprire tutte le “armi” che abbiamo a nostra disposizione per difenderci.

Per fortuna la situazione non è drammatica come qualcuno vuole farla apparire. Su Android, WhatsApp utilizza una tecnica di cifratura denominata end-to-end che rende i messaggi visibili solo ai rispettivi mittenti e destinatari. Le chat arrivano in forma criptata perfino sui server del servizio ed è difficile che un malintenzionato possa “catturarle” con attività come lo sniffing delle reti wireless (a meno che non ci sia una falla nell’implementazione del sistema di cifratura, questo non possiamo saperlo). Ad ogni modo è vietato abbassare la guardia!

Esistono tecniche – se vogliamo meno raffinate ma ugualmente molto pericolose – che permettono di rubare l’identità di una persona su WhatsApp accedendo fisicamente al suo smartphone. Vediamo subito quali sono e attrezziamoci per evitare che qualcuno possa metterle in pratica sui nostri cellulari.

Spiare WhatsApp Android con WhatsApp Web

Come spiare WhatsApp Android

WhatsApp Web, come sicuramente ben saprai, è una funzione di WhatsApp che permette di accedere al servizio via Web. Funziona su qualsiasi computer ed è compatibile con tantissimi browser diversi: Chrome, Firefox, Opera e Safari (con funzioni limitate, come ti ho spiegato anche nel mio post su WhatsApp per PC).

Utilizzarlo è davvero semplicissimo: basta collegarsi al sito web.whatsapp.com, scansionare con la fotocamera dello smartphone il QR code che compare sullo schermo del PC e il gioco è fatto. E quindi, cosa c’è di pericoloso in tutto questo?

I rischi per la nostra privacy arrivano dal fatto che WhatsApp Web è in grado di memorizzare l’identità dell’utente (basta mettere il segno di spunta sull’opzione Resta connesso per accedere al servizio senza dover scansionare il QR code) e dal fatto che non è richiesta la presenza dello smartphone sulla stessa rete Wi-Fi del PC. WhatsApp Web funziona solo se lo smartphone su cui è installato WhatsApp è acceso e connesso a Internet, ma la connessione può avvenire tramite qualsiasi rete wireless o addirittura tramite la rete dati 3G/LTE, i due dispositivi non devono trovarsi necessariamente nella stessa stanza.

Questo significa che un malintenzionato potrebbe sottrarti lo smartphone con una scusa (es. la necessità di fare una chiamata urgente), utilizzarlo per accedere a WhatsApp Web e mantenere l’accesso alle tue conversazioni per diversi giorni.

Come difendersi: per difenderti da questo tipo di minacce devi mettere in pratica un po’ di buonsenso, quindi non devi prestare lo smartphone a sconosciuti e non devi lasciarlo incustodito in luoghi pubblici. Inoltre puoi recarti nel menu Chat > […] > WhatsApp Web di WhatsApp e controllare tutte le sessioni di WhatsApp Web attive sul tuo account. Se ne rilevi qualche attività sospetta, pigia sul pulsante Disconnettiti da tutti i computer e tutti i PC connessi al tuo account perderanno l’accesso (sarà necessario scansionare nuovamente il QR code con il telefonino per accedere a WhatsApp Web).

Clonare WhatsApp

Come spiare WhatsApp Android

Un’altra delle tecniche utilizzate dai criminali informatici per spiare WhatsApp Android è clonare il MAC address del telefono della vittima, installare WhatsApp e rubare l’identità della persona da spiare. Si tratta di una procedura molto elaborata, alquanto lunga da mettere in pratica, ma ancora molto pericolosa.

Il MAC address, qualora non ne avessi mai sentito parlare, è un codice di 12 cifre che permette di identificare in maniera univoca tutti i dispositivi in grado di connettersi a Internet. Anche WhatsApp lo utilizza, insieme al numero di telefono, per verificare l’identità dei propri utenti… ed è qui che i criminali informatici possono mettere il loro zampino.

Esistono delle applicazioni, come per esempio BusyBox e Mac Address Ghost, che consentono di camuffare il MAC address degli smartphone Android (solo quelli precedentemente sottoposti alla procedura di root) facendolo apparire come quello di un altro telefono.

Questo “trucchetto” può consentire a un malintenzionato di clonare il MAC address di un telefono (lo smartphone della persona da spiare), installare una nuova copia di WhatsApp, attivarla con il numero della vittima e ottenere così l’accesso completo a tutte le sue conversazioni.

Come difendersi: questo tipo di attacco, così come quello che abbiamo visto in precedenza, richiede un accesso fisico allo smartphone della vittima. Ciò significa che puoi evitarlo non lasciando il tuo cellulare in balìa degli sconosciuti e applicando alcune elementari misure di protezione.

Una di queste è sicuramente l’utilizzo di un PIN sicuro per evitare accessi non autorizzati allo smartphone (d’altronde per visualizzare il MAC address del cellulare basta andare nel menu delle impostazioni, non bisogna essere hacker!). Se non hai già provveduto a farlo, imposta un PIN sicuro sul tuo Android recandoti nel menu Impostazioni > Sicurezza > Blocco Schermo e selezionando la voce PIN da quest’ultimo. In alternativa puoi anche selezionare la voce Sequenza e utilizzare una gesture (cioè un “disegno” da fare con il dito sullo schermo del telefono) al posto del codice numerico.

Altro consiglio che mi sento di darti è quello di vietare la visualizzazione degli SMS nella lock-screen di Android (in questo modo anche l’SMS con il codice di verifica di WhatsApp non può essere visualizzato dai malintenzionati). Per riuscirci, recati nel menu Impostazioni > Sicurezza > Blocco Schermo di Android, imposta un PIN o una Sequenza e scegli di nascondere i contenuti sensibili.

Applicazioni spia

Come spiare WhatsApp Android

Come ti ho spiegato anche nel mio tutorial su come spiare cellulari Android, il Google Play Store pullula di applicazioni per il parental control e la localizzazione remota degli smartphone che, se opportunamente configurate, possono consentire a un malintenzionato di spiare un telefono a distanza catturando tutto quello che viene digitato sulla sua tastiera e quello che accade sul suo schermo.

Come difendersi: anche le applicazioni spia necessitano di un accesso fisico al telefono per poter essere installate, quindi valgono tutti i consigli che ti ho dato prima. Inoltre potresti provare ad accedere al menu Impostazioni > App > Tutte di Android e vedere se c’è qualche nome “sospetto” fra le applicazioni installate sul cellulare.

Purtroppo l’assenza di nomi “sospetti” dai menu di Android non fuga completamente il dubbio relativo alla presenza di applicazioni spia sul cellulare. Questo genere di app, infatti, ha l’abilità di nascondersi da tutti i menu di sistema e per liberarsene bisogna prima sbloccarle inserendo delle apposite password.

La persona spiata, ovviamente, non conosce queste password e quindi può liberarsi dell’applicazione spia solo formattando il proprio device. Se tu hai questo tipo di sospetto ma non hai trovato nomi “strani” nel menu di Android, prova a resettare Android seguendo il mio tutorial sull’argomento e dovresti risolvere il problema.

Sniffing wireless

Come spiare WhatsApp Android

WhatsApp per Android, come precisato all’inizio di questo post, utilizza un sistema di cifratura end-to-end denominato TextSecure. Questo sistema è basato sull’utilizzo di due chiavi: una chiave pubblica che viene condivisa con il nostro interlocutore e serve a cifrare i messaggi in uscita e una chiave pubblica che invece risiede unicamente sul nostro smartphone e ci permette di decifrare i messaggi in entrata.

Con la cifratura end-to-end, il rischio legato al monitoraggio delle reti wireless (il cosiddetto sniffing wireless) è ridotto al minimo, in quanto tutte le informazioni circolano in forma criptata ma… c’è un ma.

WhatsApp è un’applicazione closed source, non possiamo analizzare a fondo il suo codice sorgente, e quindi non possiamo sapere se la cifratura viene applicata sempre, se in alcuni paesi viene disattivata su richiesta dei governi locali o se la sua implementazione è stata fatta a regola d’arte. Va da sé che un semplice errore nell’utilizzo di questa tecnologia renderebbe nuovamente vulnerabile l’applicazione e abbasserebbe di molto la sicurezza delle nostre conversazioni.

Un primo campanello d’allarme circa la sicurezza della cifratura end-to-end in WhatsApp è arrivato nell’aprile del 2015, quando un team di ricercatori tedeschi ha scoperto che solo le comunicazioni Android > Android venivano protette con la cifratura TextSecure. In altre circostanze la app utilizzava una tecnologia basata sull’algoritmo RC4 che non è più ritenuto impenetrabile ed è molto più facile da decodificare per i criminali informatici.

Ora la situazione dovrebbe essere migliorata. Gli sviluppatori del sistema di cifratura di WhatsApp hanno assicurato che la cifratura end-to-end arriverà gradualmente su tutte le piattaforme, ma rimane l’incognita relativa all’impossibilità di controllare il codice di WhatsApp. Non possiamo sapere se e quali tipi di comunicazioni vengono effettivamente criptati. Dobbiamo “fidarci”.

Come difendersi: se la cifratura end-to-end non funziona, purtroppo noi utenti non possiamo fare nulla. L’unico consiglio che mi sento di darti è evitare le connessioni Wi-Fi pubbliche, che come noto sono il terreno di caccia preferito dai criminali informatici. Per il resto, se non ti fidi di WhatsApp smetti di usarlo e rivolgiti ad un’altra applicazione di messaggistica con cifratura end-to-end, possibilmente open source (in modo da avere maggiori garanzie sul funzionamento della cifratura).