Questo sito contribuisce alla audience di Il Messaggero

Come spiare WhatsApp da PC

di

Quanto è affidabile WhatsApp? I messaggi scambiamo ogni giorno su questa piattaforma sono al sicuro oppure qualcuno potrebbe riuscire a leggerli senza il nostro permesso? Fai benissimo a porti queste domande, dato che la tua privacy passa anche da qui. Se vuoi una risposta rapida: sì, purtroppo delle tecniche per spiare WhatsApp ci sono. La segretezza dei nostri dati è tutt’altro che assicurata e alcuni studi1 hanno evidenziato come numeri di telefono, indirizzi IP e altri dati relativi alle chiamate VoIP vengano conservati sui server del servizio.

Comunque sia, non bisogna essere paranoici: rispetto a qualche tempo fa, WhatsApp è molto più sicuro, i messaggi vengono cifrati con una tecnologia molto efficiente (denominata TextSecure) ed è improbabile che una persona con conoscenze informatiche di non altissimo livello riesca a “bucare” i suoi sistemi da sola. Resta qualche dubbio relativo alla natura closed source dell’applicazione (non potendo esaminare a fondo il suo codice sorgente non possiamo sapere se la cifratura dei messaggi avviene in maniera corretta) e poi ci sono i rischi derivati alla scarsa prudenza degli utenti, ma quello non è un problema che riguarda solo WhatsApp.

Solo una piccola raccomandazione prima di iniziare. Nei prossimi paragrafi farò riferimento ad alcune tecniche di hacking utilizzate per spiare WhatsApp da PC. Le informazioni contenute in questo tutorial, comunque, sono state scritte a puro scopo illustrativo: non mi assumo alcuna responsabilità circa l’uso che ne farai. Mi raccomando: non servirtene per provare a spiare altre persone (nemmeno i tuoi familiari o amici), perché ciò rappresenterebbe una grave violazione della privacy e, quindi, un reato punibile dalla legge. Ciò detto, ti auguro buona lettura!

Indice

Spiare WhasApp da PC “sniffando” le reti wireless

Come ti accennavo nell’introduzione, WhatsApp utilizza una tecnologia di cifratura end-to-end (cioè da punto a punto) chiamata TextSecure2 in cui delle chiavi generate automaticamente dall’app assicurano la segretezza delle conversazioni. Per dirla in parole povere, i messaggi arrivano sugli smartphone degli utenti e sui server del servizio in forma criptata e solo i legittimi mittenti/destinatari possono vederne il contenuto. Questo però non mette completamente fuori gioco i criminali informatici.

Come detto in precedenza, WhatsApp è un’applicazione closed source e quindi non possiamo esaminare a fondo il suo codice sorgente. Non potendo compiere un’operazione del genere, non possiamo sapere se la cifratura end-to-end viene applicata in maniera corretta o se, per esempio, viene disattivata in alcune nazioni su specifica richiesta dei governi locali.

Nell’aprile del 2015 i ricercatori di Heise hanno utilizzato il software Wireshark per “sniffare” le comunicazioni di WhatsApp e hanno scoperto che solo la versione Android dell’applicazione utilizzava la cifratura end-to-end. Le altre versioni della app utilizzavano una cifratura basata sul protocollo RC4, la quale funziona solo in uscita ed è notoriamente vulnerabile agli attacchi dei criminali informatici.

In seguito alla pubblicazione dello studio, gli sviluppatori di TextSecure hanno fatto sapere che l’adozione della cifratura end-to-end da parte di WhatsApp sarebbe avvenuta in maniera graduale3, quindi non su tutte le piattaforme contemporaneamente ma un po’ alla volta. Questo significa che mentre le comunicazioni Android > Android venivano protette al 100% (o almeno così pareva), quelle da e verso iOS, Windows 10 Mobile, etc. potevano essere ancora soggetto di facili intercettazioni.

Allo stato attuale, la cifratura end-to-end è stata implementata su tutte le piattaforme per le quali l’applicazione di messaggistica è disponibile ma, dato che non è possibile accedere al codice sorgente di WhatsApp, non possiamo sapere se l’utilizzo di questo tipo di cifratura è stata applicata alla perfezione e, quindi, non possiamo avere la certezza assoluta che sia impossibile intercettare i messaggi degli utenti con Wireshark o altri software per sniffare le reti wireless.

L’unico accorgimento che possiamo mettere in pratica noi utenti per tutelarci è non collegarci alle reti wireless pubbliche che, come noto, sono il terreno di caccia prediletto dagli “sniffer”.

Spiare WhatsApp da PC tramite WhatsApp Web

Come installare WhatsApp su PC

Lo sniffing delle reti wireless è stato messo potenzialmente fuori gioco dalla cifratura end-to-end ma, purtroppo, esistono anche altri modi per spiare WhatsApp da PC. Uno di questi ha a che fare con il furto d’identità tramite WhatsApp Web, il servizio ufficiale di WhatsApp che permette di inviare e ricevere messaggi dal PC. Te ne ho parlato anche nel mio tutorial su WhatsApp per PC, ricordi?

WhatsApp Web funziona sfruttando lo smartphone come “ponte”, quindi può essere usato solo se il cellulare su cui è installata l’applicazione è acceso e connesso a Internet, tuttavia ha due caratteristiche che lo rendono particolarmente appetibile da parte dei malintenzionati: è in grado di memorizzare l’identità dell’utente (basta spuntare la casella Resta connesso dopo aver effettuato il primo login) e funziona indipendentemente dalla connessione usata sul cellulare (il telefono può trovarsi anche lontano dal computer e il servizio risulta ugualmente accessibile). Bisogna riconoscere, comunque, che perpetrare azioni di spionaggio tramite WhatsApp Web è diventato (per fortuna) molto più complesso, in quanto il servizio invia delle notifiche a ogni accesso.

Ciò non toglie che un malintenzionato potrebbe potenzialmente sottrarti lo smartphone, usarlo per accedere a WhatsApp Web sul suo computer (o tablet) e ottenere libero accesso alle tue conversazioni. Per prevenire questo rischio, non prestare il telefono a sconosciuti, non lasciare il dispositivo incustodito  e controlla di tanto in tanto le sessioni di WhatsApp Web attive sul tuo account.

Se non sai come controllare le sessioni di WhatsApp Web attive, apri WhatsApp e recati nel menu Impostazioni > WhatsApp Web/Desktop. Ti verrà mostrata una lista di tutti i browser dai quali è possibile accedere ai tuoi messaggi, con tanto di ultimi accessi. Nel caso in cui notassi qualche attività sospetta, pigia sul pulsante Disconnetti da tutti i computer/Disconnetti da tutti i dispositivi e tutti i computer associati al tuo account WhatsApp perderanno l’accesso.

Spiare WhatsApp da PC con le applicazioni-spia

Altro pericolo da cui devi stare in guardia sono le cosiddette applicazioni-spia, ossia delle applicazioni che sono in grado di monitorare tutte le attività svolte sullo smartphone, localizzare geograficamente il dispositivo e catturare istantanee del suo schermo, come la famosissima iKeyMonitor di cui ti ho parlato in un altro post. Tali informazioni vengono poi inviate in remoto ai malintenzionati e/o possono essere visualizzate tramite un pannello Web i cui dati d’accesso sono noti solo a chi ha installato l’applicazione sul telefono. A tale scopo possono essere utilizzate (impropriamente) anche le app per il parental control (come Qustodio o Mobile Fence, di cui ti ho parlato in questa guida)

Come puoi evitare che qualcuno installi delle applicazioni-spia sul tuo smartphone e controlli mediante esse le tue conversazioni su WhatsApp? Tanto per cominciare, non prestare lo smartphone a persone di cui non ti fidi. In secondo luogo, non sbloccare il tuo dispositivo tramite procedure quali il root o il jailbreak, perché lo renderebbero particolarmente vulnerabile. Altra cosa importante, proteggi il tuo dispositivo con un codice di sblocco sicuro e difficile da indovinare. Se non sai come impostare un codice di blocco, procedi in questo modo.

  • Android — recati nel menu Impostazioni > Sicurezza > Blocco Schermo e selezionare la voce PIN dalla schermata che si apre.
  • iPhone — recati nel menu Impostazioni > Touch ID e Codice (o Face ID e Codice) e seleziona la voce Cambia codice. Se il tuo “melafonino” supporta lo sblocco tramite sensore d’impronte o riconoscimento facciale, preferisci quest’ultimo.

Ti consiglio anche di controllare le app installate sul dispositivo, per verificare che non ce ne sia qualcuna “sospetta”. Per riuscirci, recati in Impostazioni > App > Tutte (su Android) oppure in Impostazioni > Generali > Spazio libero iPhone (su iPhone) e verifica quali app sono installate.

Bisogna riconoscere, comunque, che molte applicazioni-spia sono in grado di nascondersi e non vengono visualizzate nei menu dei dispositivi e per scovarle bisogna usare appositi codici (come ti ho ben spiegato nella mia guida su come trovare app-spia). Come puoi utilizzare questi codici? Te lo spiego subito.

  • Avvia il browser del tuo smartphone e prova a collegarti agli indirizzi localhost:4444 oppure localhost:8888, utilizzati da molte app-spia per nascondere il proprio pannello di configurazione.
  • Avviare il dialer, la schermata dalla quale digiti numeri telefonici, e digitare il codice *12345, così da accedere al pannello di configurazione di un’app-spia eventualmente installata sul telefono.
  • Se possiedi un dispositivo Android sottoposto al root, ti consiglio di avviare SuperUser/SuperSU e verificare la presenza di eventuali app-spia tra quelle che hanno ottenuto i permessi di root. Se ne trovi qualcuna, revoca subito i permessi in questione.

Se dalle tue “indagini” riscontri che qualcuno stia effettivamente monitorando le tue attività, ti consiglio di formattare il dispositivo e cancellare tutti i dati presenti in esso, come ti ho spiegato nelle guide su come resettare Android e su come resettare iPhone.


  1. WhatsApp network forensics: Decrypting and understanding the WhatsApp call signaling messages (in lingua inglese).
  2. Clicca qui per scoprire tutti i dettagli tecnici sul funzionamento della cifratura TextSecure (in lingua inglese).
  3. Ecco la risposta degli sviluppatori di TextSecure al test condotto da Heise (in lingua inglese).