Questo sito contribuisce alla audience di Il Messaggero

Come spiare WhatsApp da PC

di

WhatsApp è davvero così affidabile? I messaggi che ci scambiamo ogni giorno su questa piattaforma sono al sicuro oppure qualcuno potrebbe riuscire a leggerli senza il nostro permesso? Belle domande, fai benissimo a portele.

Se vuoi una risposta rapida: sì, purtroppo delle tecniche per spiare WhatsApp esistono ancora. La segretezza dei nostri dati è tutt’altro che assicurata (alcuni recenti studi1 hanno evidenziato come numeri di telefono, indirizzi IP e altri dati relativi alle chiamate VoIP vengano conservati sui server del servizio), ma non bisogna essere paranoici.

Rispetto a qualche tempo fa WhatsApp è più sicuro, i messaggi vengono cifrati con una tecnologia molto efficiente (denominata TextSecure) ed è improbabile che una persona con conoscenze informatiche di non altissimo livello riesca a “bucare” i suoi sistemi da sola. Resta qualche dubbio relativo alla natura closed source dell’applicazione – non potendo esaminare a fondo il suo codice sorgente non possiamo sapere se la cifratura dei messaggi avviene in maniera corretta – e poi ci sono i rischi derivati alla scarsa prudenza degli utenti, ma quello non è un problema che riguarda solo WhatsApp. Proviamo a capirci qualcosa in più.

Spiare WhatsApp da PC “sniffando” le reti wireless

Come spiare WhatsApp da PC

WhatsApp utilizza una tecnologia di cifratura end-to-end (cioè da punto a punto) chiamata TextSecure2 in cui delle chiavi generate automaticamente dalla app assicurano la segretezza delle conversazioni.

Per dirla in parole povere, i messaggi arrivano sugli smartphone degli utenti e sui server del servizio in forma criptata e solo i legittimi mittenti/destinatari possono vederne il contenuto. Questo però non mette completamente fuori gioco i criminali informatici.

Come detto in precedenza, WhatsApp è un’applicazione closed source e quindi non possiamo esaminare a fondo il suo codice sorgente. Non potendo compiere un’operazione del genere non possiamo sapere se la cifratura end-to-end viene applicata in maniera corretta, se è supportata da tutte le versioni della app o se, per esempio, viene disattivata in alcune nazioni su richiesta dei governi locali.

Nell’aprile del 2015 i ricercatori di Heise hanno utilizzato il software Wireshark per “sniffare” le comunicazioni di WhatsApp e hanno scoperto che solo la versione Android dell’applicazione utilizzava la cifratura end-to-end. Le altre versioni della app utilizzavano una cifratura basata sul protocollo RC4, la quale funziona solo in uscita ed è notoriamente vulnerabile agli attacchi dei criminali informatici.

In seguito alla pubblicazione dello studio, gli sviluppatori di TextSecure hanno fatto sapere che l’adozione della cifratura end-to-end da parte di WhatsApp sarebbe avvenuta in maniera graduale3, quindi non su tutte le piattaforme contemporaneamente ma un po’ alla volta. Questo significa che mentre le comunicazioni Android > Android sono protette al 100% (o almeno così pare), quelle da e verso iOS, Windows Phone, Blackberry, Symbian o Nokia S40 potrebbero essere ancora soggetto di facili intercettazioni.

In sintesi: se la tecnologia di cifratura end-to-end venisse integrata in WhatsApp in maniera perfetta – su tutte le piattaforme contemporaneamente – diventerebbe quasi impossibile intercettare i messaggi degli utenti con Wireshark o altri software per sniffare le reti wireless. Purtroppo però abbiamo a che fare con un’applicazione closed source e quindi non possiamo essere certi al 100% dei suoi sistemi di protezione. Possiamo solo “fidarci” e sperare che funzioni tutto a dovere.

L’unico accorgimento che possiamo mettere in pratica noi utenti è non collegarci alle reti wireless pubbliche, che come noto sono il terreno di caccia prediletto dagli “sniffer”.

Spiare WhatsApp da PC tramite WhatsApp Web

Come spiare WhatsApp da PC

Lo sniffing delle reti wireless è stato messo potenzialmente fuori gioco dalla cifratura end-to-end, ma purtroppo esistono anche altri modi per spiare WhatsApp da PC.

Uno di questi è il furto d’identità tramite WhatsApp Web, il servizio ufficiale di WhatsApp che permette di inviare e ricevere messaggi dal PC. Te ne ho parlato anche nel mio tutorial su WhatsApp per PC, ricordi?.

WhatsApp Web funziona sfruttando lo smartphone come “ponte”, quindi può essere usato solo se il cellulare su cui è installata l’applicazione è acceso e connesso a Internet, tuttavia ha due caratteristiche che lo rendono particolarmente appetibile da parte dei malintenzionati: è in grado di memorizzare l’identità dell’utente (basta spuntare la casella Resta connesso dopo aver effettuato il primo login) e funziona indipendentemente dalla connessione usata sul cellulare (il telefono può trovarsi anche lontano dal computer e il servizio risulta ugualmente accessibile).

Questo significa che un malintenzionato potrebbe sottrarti lo smartphone, usarlo per accedere a WhatsApp Web sul suo computer (o tablet) e ottenere libero accesso alle tue conversazioni.

Per prevenire questo rischio, non prestare il telefono a sconosciuti, non lasciare il dispositivo incustodito nei luoghi pubblici e controlla di tanto in tanto le sessioni di WhatsApp Web attive sul tuo account.

Se non sai come controllare le sessioni di WhatsApp Web attive, apri WhatsApp e recati nel menu Impostazioni > WhatsApp Web. Ti verrà mostrata una lista di tutti i browser dai quali è possibile accedere ai tuoi messaggi. Nel caso in cui notassi qualche attività sospetta, pigia sul pulsante Disconnetti da tutti i computer e tutti i computer associati al tuo WhatsApp perderanno l’accesso.

Spiare WhatsApp da PC con le applicazioni-spia

Come spiare WhatsApp da PC

Altro pericolo da cui devi stare in guardia sono le cosiddette applicazioni-spia, ossia delle applicazioni che sono in grado di monitorare tutte le attività svolte sullo smartphone, localizzare geograficamente il dispositivo e catturare istantanee del suo schermo.

Tali informazioni vengono poi inviate in remoto ai malintenzionati e/o possono essere visualizzate tramite un pannello Web i cui dati d’accesso sono noti solo a chi ha installato l’applicazione sul telefono.

Per maggiori informazioni sull’argomento, dai un’occhiata al mio post su come spiare i cellulari Android in cui ti ho spiegato come alcune applicazioni per il parental control o la localizzazione remota dello smartphone possono essere sfruttate a fini spionistici.

Come difendersi dagli “spioni”

Come spiare WhatsApp da PC

A questo punto appare abbastanza chiaro che spiare WhatsApp da PC è ancora possibile, ma le tecniche più efficaci per riuscirci richiedono tutte un accesso fisico allo smartphone della vittima.

Per proteggerti da queste minacce, dunque, non devi far altro che applicare delle semplici regole di buonsenso e configurare in maniera adeguata il tuo telefono. Facciamo qualche esempio pratico.

  • Utilizzare un PIN sicuro – se non vuoi che un malintenzionato acceda senza permesso al tuo smartphone imposta un PIN sicuro nella lock-screen, è davvero facilissimo.
    • Se utilizzi uno smartphone Android non devi far altro che andare nel menu Impostazioni > Sicurezza > Blocco Schermo e selezionare la voce PIN dalla schermata che si apre, oppure se vuoi usare una gesture (ossia un “disegno” da comporre sullo schermo) seleziona la voce Sequenza.
    • Se utilizzi un iPhone, invece, recati nel menu Impostazioni > Touch ID e Codice > Cambia codice e imposta da lì il tuo codice.
  • Controlla le app installate sullo smartphone – temi che qualcuno abbia potuto installare un’applicazione-spia sul tuo telefono? Allora recati nelle impostazioni del dispositivo e controlla che sia tutto in ordine.
    • Se utilizzi uno smartphone Android recati nel menu Impostazioni > App e seleziona la scheda Tutte.
    • Se utilizzi un iPhone recati nel menu Impostazioni > Generali > Utilizzo spazio e iCloud > Gestisci spazio.

    Nota: molte applicazioni-spia hanno l’abilità di nascondersi dai menu degli smartphone, quindi potresti anche non vederle. In casi come questi, se hai il forte sospetto di essere spiato, l’unica soluzione che puoi adottare è formattare il telefono. Trovi spiegato come fare nei miei tutorial su come resettare iPhone e come formattare Android.


  1. WhatsApp network forensics: Decrypting and understanding the WhatsApp call signaling messages (in lingua inglese).

  2. Clicca qui per scoprire tutti i dettagli tecnici sul funzionamento della cifratura TextSecure (in lingua inglese).

  3. Ecco la risposta degli sviluppatori di TextSecure al test condotto da Heise (in lingua inglese).