Come spiare WhatsApp di un altro
Ormai non riesco più a tenere il conto: ogni giorno vengo letteralmente sommerso da messaggi di persone che mi chiedono come spiare WhatsApp di un altro o, al contrario, come evitare che qualcuno possa ficcare il naso nelle loro conversazioni su questo popolare servizio di messaggistica.
Date le circostanze, credo proprio sia giunto il momento di tornare sull’argomento e fare un po’ il punto sulla situazione. Proviamo allora a capire se è ancora possibile compiere l’operazione in questione, quali sono le tecniche più “quotate” fra i criminali informatici e – soprattutto – vediamo come difenderci da chi tenta di accedere senza permesso alle nostre chat.
Trovi spiegato tutto qui sotto. Ti anticipo solo che sì, si può ancora spiare WhatsApp (sebbene la cosa risulti più complessa rispetto a qualche tempo fa) e ci si può difendere efficacemente dai ficcanaso applicando delle semplici misure di protezione al proprio smartphone. Per il resto, ti basterà seguire le più comuni regole di buonsenso: non prestare il telefono a sconosciuti, non lasciare lo smartphone incustodito e ridurre allo stretto indispensabile l’utilizzo di reti Wi-Fi pubbliche (meglio restare connessi alla rete dati del cellulare).
Indice
Informazioni preliminari
Prima di entrare nel vivo del tutorial, andandoti a illustrare quali sono le principali tecniche sfruttate dai malintenzionati per spiare WhatsApp di un altro e come proteggersi, mi sembra doveroso fornirti alcune informazioni preliminari al riguardo.
Tanto per cominciare, tieni presente che, alla fine, del 2014, WhatsApp, grazie a una collaborazione tra il team del famoso servizio di messaggistica e gli sviluppatori di Open Whisper Systems, ha cominciato ad adottare un sistema di cifratura end-to-end denominato TextSecure, il quale dovrebbe complicare di molto la vita agli “spioni”.
Questo sistema è basato sull’utilizzo di una coppia di chiavi: una pubblica e una privata. La chiave pubblica viene condivisa con il proprio interlocutore e serve a cifrare i messaggi in uscita, quella privata invece risiede sullo smartphone di ciascun utente e serve a decifrare i messaggi in entrata.
Grazie a tale tecnologia (di cui l’utente non si accorge perché succede tutto in tempo reale e “dietro le quinte), i messaggi viaggiano dallo smartphone ai server di WhatsApp in maniera cifrata, cioè illeggibile, e possono essere decifrati solo dai legittimi mittenti e destinatari. Per approfondimenti, puoi consultare il mio tutorial su come crittografare WhatsApp.
L’unico dubbio riguarda l’implementazione della cifratura end-to-end: WhatsApp è un’applicazione closed source, non possiamo controllare a fondo il suo codice sorgente e quindi non possiamo sapere se eventuali falle lasciano spazio di manovra ai malintenzionati.
Da notare però che da alcuni test, come quello realizzato da Heise nel 2015, è risultato che la cifratura end-to-end veniva originariamente usata solo sulla versione Android di WhatsApp. In tutti gli altri casi, invece, continuava a essere impiegato un sistema di cifratura basato sull’algoritmo RC4, funzionante solamente in uscita e ritenuto non più sicuro da tempo. A oggi, però, la situazione è completamente diversa e la cifratura end-to-end viene sfruttata su tutte le piattaforme per le quali il servizio di messaggistica è disponibile.
Sappi poi che prima dell’introduzione di TextSecure, uno dei sistemi più sofisticati per spiare WhatsApp di un altro telefono a distanza era lo “sniffing” delle reti wireless, una tecnica consistente, per l’appunto, nel catturate tutti i dati che passano su una rete Wi-Fi tramite software appositi, come ti ho spiegato in dettaglio nella mia guida sull’argomento.
Come spiare WhatsApp di un’altra persona
Nonostante la celebre applicazione di messaggistica possa ritenersi una soluzione sufficientemente sicura, esistono comunque delle tecniche che i malintenzionati possono valutare di usare per spiare WhatsApp di un’altra persona. Scopriamo subito quali. Trovi indicato tutto qui di seguito.
Applicazioni-spia, anti-furto e di parental control
Se si lascia lo smartphone incustodito per più di qualche minuto, il malintenzionato di turno potrebbe approfittarne per installare delle applicazioni-spia sul terminale e sfruttarle in segreto per spiare WhatsApp di un altro senza avere il suo cellulare.
Da notare che soluzioni del genere vengono diffuse per permettere di monitorare lecitamente lo smartphone dell’utente, ma considerando il loro funzionamento sono particolarmente apprezzate anche dai malintenzionati. Ci sono diverse app che consentono di raggiungere tale scopo, solitamente installate tramite pacchetto APK su Android e mediante Cydia su iOS, come nel caso di iKeyMonitor, una delle applicazioni-spia maggiormente diffuse che si può anche provare gratis per alcuni giorni.
Inoltre, va detto che le applicazioni anti-furto (quelle che permettono di localizzare i cellulari smarriti) e i servizi di parental control hanno funzioni tali che potrebbero essere usate per catturare screenshot e monitorare gran parte delle attività sullo smartphone, come ad esempio Qustodio, disponibile sia per Android che per iOS/iPadOS, e Screen Time, anch’essa disponibile per Android e iOS/iPadOS, le quali non richiedono configurazioni avanzate e consentono di monitorare ed eventualmente anche di limitare l’attività dell’utente.
Considera altresì che quando un malintenzionato non può mettere fisicamente mano allo smartphone della vittima, può inviare a quest’ultima dei link per scaricare e installare lo strumento per spiare WhatsApp di un altro, spacciandoli però per altri contenuti.
Una delle principali soluzioni che possono essere usate per monitorare WhatsApp è mSpy, un’applicazione all’avanguardia nel panorama del controllo parentale, riconosciuta per la sua completezza. Questa soluzione, compatibile con Android e iPhone, offre un efficace localizzatore GPS insieme a funzionalità avanzate per il monitoraggio di app di messaggistica e social network, tra cui proprio WhatsApp (ma anche Facebook Messenger, Instagram, Snapchat, Telegram, iMessage e altri) Tra le caratteristiche di rilievo figurano anche il monitoraggio degli SMS, un keylogger per registrare le digitazioni sul dispositivo e la registrazione dello schermo.
Una volta utilizzato, mSpy offre accesso a un intuitivo pannello di controllo, consentendo di sorvegliare chiamate, chat, posizione, app installate e cronologia del dispositivo monitorato. Tuttavia, per sfruttare appieno tutte le funzionalità sul device da monitorare, è essenziale eseguire il root su Android e effettuare il jailbreak su iPhone. Come alternativa, su iPhone è possibile procedere tramite i backup di iCloud, previa autorizzazione con le credenziali d’accesso dell’ID Apple associato al dispositivo.
Per coloro che vogliono testare mSpy, è disponibile una prova gratuita, comprensiva di una demo consultabile sul sito ufficiale. Successivamente, è possibile sottoscrivere piani mensili, trimestrali o annuali per accedere a tutte le sue funzionalità. Ulteriori dettagli e istruzioni possono essere trovati nei tutorial su come funziona mSpy e come installare mSpy senza telefono, oltre a visitare il sito ufficiale di mSpy.
Tecniche di social engineering
Analogamente a quanto avviene nella vita reale, nel mondo di Internet i pericoli spesso arrivano da dove meno ce lo aspettiamo. E così mentre ci immaginiamo un esercito di hacker super-cattivi pronti a violare la nostra privacy sferrando attacchi ai server di WhatsApp, in realtà a spiare le nostre conversazioni online potrebbero essere dei gentili coetanei incontrati per caso al bar, se non addirittura dei nostri conoscenti.
D’altronde non ci vuole un esperto di informatica per capirlo: è molto più facile che qualcuno, con una banalissima scusa, entri fisicamente in possesso del nostro smartphone piuttosto che i server di WhatsApp vengano violati o che degli hacker, nascosti chissà dove, si mettano a intercettare le nostre comunicazioni.
Per quanto concerne la privacy su WhatsApp, attualmente il pericolo più grande è rappresentato dal social engineering (ingegneria social). Di cosa si tratta? Te lo spiego subito. Il social engineering è quell’insieme di tecniche grazie alle quali i malintenzionati riescono a raggiungere i propri scopi manipolando la psicologia della vittima.
In altre parole, è quando un malintenzionato riesce a entrare in possesso del suo obiettivo (in questo caso lo smartphone) ingannando la vittima con delle scuse più o meno banali (es. “ho finito il credito e devo fare una chiamata urgente, mi presteresti un attimo il telefono?).
Furto d’identità tramite WhatsApp Web/Desktop
WhatsApp è disponibile anche sotto forma di Web app e di client per Windows e macOS, tramite cui è possibile di inviare e ricevere messaggi sul PC usando lo smartphone come “ponte”. Funzionano su tutti i principali sistemi operativi e non è richiesta alcuna configurazione particolare. Per servirtene, basta aprire WhatsApp sul cellulare e inquadrare con la fotocamera il QR code che viene visualizzato sullo schermo del computer, come ti ho spiegato più in dettaglio nel mio tutorial su come usare WhatsApp su PC.
WhatsApp Web/Desktop memorizza l’identità dell’utente, ciò significa che si può accedere al servizio senza ripetere la scansione del QR code, e funziona anche quando lo smartphone non è connesso alla stessa rete Wi-Fi del PC, basta che sia connesso a una qualsiasi rete Wi-Fi o alla rete dati del cellulare. Ciò vuol dire che se un malintenzionato riuscisse a entrare in possesso dello smartphone della vittima, effettuando l’accesso a WhatsApp Web/Desktop con quest’ultimo e lasciasse attivo il collegamento per non dover ripetere la scansione del QR code, sarebbe possibile spiare WhatsApp di un altro telefono a distanza e senza che il malcapitato di turno se ne accorga.
Tuttavia, ho buone notizie per te: fin qui ti ho solo spiegato come sarebbe potuta andare prima, perché oggi è improbabile spiare WhatsApp da PC. Dico questo perché WhatsApp ha introdotto delle misure di sicurezza molto valide e grazie alle quali è possibile accorgersi subito se qualcuno sta tentando di entrare nel tuo WhatsApp per PC, anche perché dovresti fornire l’autorizzazione.
Ora ti spiego meglio cosa devi fare. Innanzitutto per evitare furti d’identità è possibile ricorrere a misure di sicurezza messe a disposizione da WhatsApp stesso. Se hai dei sospetti, apri l’app sul tuo dispositivo e fai tap su ︙ > Dispositivi collegati su Android oppure Impostazioni > Dispositivi collegati su iOS, quindi dai un’occhiata alle connessioni stabilite su altri dispositivi con il tuo account WhatsApp.
Se noti delle sessioni sospette e che non ti appartengono, tocca la sessione sospetta e fai tap su Disconnetti > Disconnetti. Per prevenire intrusioni future, attiva lo sblocco tramite un metodo di autenticazione biometrico, così facendo infatti chi tenta di intrufolarsi nel tuo account WhatsApp dovrebbe rispondere anche a tale richiesta di conferma.
Quando si tenta di entrare su WhatsApp da PC arriva una notifica sul dispositivo mobile e di conseguenza ti accorgeresti che qualcuno sta tentando di spiarti a tua insaputa. Questo ti permetterebbe di correre ai ripari, modificare le tue chiavi di sicurezza e mettere al sicuro i dati sensibili, per esempio. Non ignorare le notifiche di WhatsApp in generale, poiché arrivano notifiche in maniera automatica quando c’è un tentativo di accesso via Web o desktop.
Per attivare il il blocco app su WhatsApp, apri l’app e recati nelle Impostazioni, le trovi in basso su iOS/iPadOS e nel menu ︙ su Android. Ora segui i passaggi Privacy > Blocco app e sposta su ON la levetta della voce Sblocca con impronta digitale/Richiedi Face ID (o Touch ID). Fatto ciò, scegli anche un intervallo di tempo tra quelli disponibili ovvero Immediatamente, Dopo 1 minuto e Dopo 30 minuti (Immediatamente, Dopo 1 minuto, Dopo 15 minuti, Dopo 1 ora su iPhone/iPad). Leggi il mio approfondimento su come mettere la password su WhatsApp per saperne di più.
Applicazioni per monitorare gli accessi
Sebbene al momento non più disponibili e non più funzionati, mi sembra doveroso metterti al corrente del fatto che fino a non molto tempo fa erano disponibili delle applicazioni che permettevano di monitorare gli accessi al servizio e che quindi potevano rivelarsi particolarmente per spiare WhatsApp di un altro cellulare. Ho preferito informarti al riguardo perché, anche se alquanto improbabile, una possibile falla in WhatsApp potrebbe consentire una nuova vita a questo genere di soluzioni.
Il funzionamento di tali applicazioni risultava essere molto semplice: bisognava avviare l’app e digitare il numero dell’utente WhatsApp da tenere sotto controllo. Tutto qui! Facendo in tal modo, era possibile vedere gli orari di accesso a WhatsApp dell’utente di proprio interesse e si ricevevano notifiche relative alle sue attività.
Nella maggior parte dei casi, le app in questione potevano essere scaricare e provate gratis, ma poter usufruire della funzione per l’esportazione dei dati e per poterle usare senza limiti veniva richiesta la sottoscrizione di un abbonamento apposito.
Clonazione del MAC address
Un’altra tecnica che i malintenzionati possono adottare per spiare WhatsApp di un altro è clonare il MAC address del telefono della vittima. Per fortuna, però, si tratta di una procedura abbastanza lunga e non propriamente alla portata di tutti: ci vuole un minimo di preparazione tecnica per riuscirci.
Qualora non ne avessi mai sentito parlare, il MAC address è un codice di 12 cifre che identifica in maniera univoca le schede di rete dei PC e, più in generale, i dispositivi in grado di connettersi a Internet.
Utilizzando delle applicazioni adatte allo scopo, gli “spioni” possono camuffare il MAC address del proprio smartphone, in modo da farlo coincidere con quello del telefono della vittima, e installare una copia “clonata” di WhatsApp che a quel punto riporterà tutti i messaggi dell’account originale.
L’operazione è fattibile solo dopo aver sbloccato il proprio dispositivo tramite root o jailbreak e aver installato applicazioni come BusyBox e Mac Address Ghost su Android e SpoofMAC su iOS, come ti ho spiegato più in dettaglio nella mia guida su come clonare WhatsApp.
Ma questo è solo l’inizio. Difatti per portare a segno “il colpo” bisogna sottrarre il telefono alla vittima, scoprire il suo MAC address (tramite la schermata Info delle impostazioni), cambiare il MAC address del proprio telefono, installare WhatsApp e attivare l’app usando il numero della persona da spiare (sul quale, dunque, arriva il codice di conferma).
Come non farsi spiare su WhatsApp
Alla luce di quanto detto nelle righe precedenti, è importantissimo gestire il proprio smartphone in maniera coscienziosa. Ciò significa non prestare il dispositivo al primo che passa e non lasciarlo incustodito in luoghi pubblici. È però ancora più importante prevenire la violazione della propria privacy con alcuni accorgimenti, come quelli che trovi elencati di seguito.
- Attivare il blocco schermo su WhatsApp — non tutti ne sono al corrente, ma WhatsApp include una funzionalità che consente di bloccare l’accesso all’app tramite volto o impronta digitale e che risulta essere estremamente per impedire ad altre persone di accedere alle proprie chat. Per attivare questa funzione, apri WhatsApp e recati nella sezione Impostazioni > Privacy > Blocco app e sposta su ON l’interruttore per Sblocca con impronta digitale/Richiedi il Face ID (o Touch ID). Scegli dunque un intervallo di tempo trascorso cui WhatsApp chiederà nuovamente l’autenticazione dopo lo sblocco tra le opzioni disponibili ovvero Immediatamente, Dopo 1 minuto, Dopo 30 minuti. Infine è possibile scegliere se mostrare o meno il contenuto delle notifiche: sposta su ON/OFF a seconda della tua preferenza l’interruttore relativo a Mostra contenuto delle notifiche.
- Impostare un PIN sicuro — un PIN sicuro può mettere fuori gioco gran parte dei malintenzionati. Ad esempio, senza accesso al menu principale dello smartphone non è possibile installare app spia, per il parental control ecc. Se vuoi cambiare il PIN sul tuo smartphone, procedi nel seguente modo: se usi Android puoi riuscirci recandoti nella sezione Impostazioni > Sicurezza e Privacy > Sblocco dispositivo > Blocco Schermo del dispositivo e selezionando la voce PIN (oppure Sequenza, se vuoi usare una gesture al posto del codice); se usi un iPhone devi recarti nella sezione Impostazioni> Face ID/Touch ID e codice del dispositivo e seleziona la voce Aggiungi codice/Cambia codice.
- Disattivare la visualizzazione degli SMS nella lock screen — clonando il MAC address dello smartphone, un malintenzionato potrebbe attivare WhatsApp sul proprio telefono usando il suo numero. Per riuscirci, però, dovrebbe scoprire il codice di verifica recapitato via SMS sul tuo cellulare. Disattivando la visualizzazione degli SMS nella lock screen, è possibile impedire la cosa senza prima sbloccare preventivamente lo smartphone. Per fare ciò, prosegui nel seguente modo: se stai usando Android recati nella sezione Impostazioni > Notifiche e scegli di nascondere i contenuti sensibili impostando su OFF la levetta relativa a Notifiche sensibili. Se stai usando un iPhone recati nella sezione Impostazioni > Notifiche > Messaggi del dispositivo e togli la spunta dalla voce Schermata di blocco.
- Controllare le sessioni di WhatsApp Web/desktop — come ti ho già spiegato, è importante tenere sotto controllo le sessioni aperte da PC e che potrebbero rivelarsi un problema. Segui le istruzioni che ti ho dato nei paragrafi precedenti per difenderti da questi tentativi di furto d’identità o di spiarti.
- Verificare la presenza di applicazioni spia — sospetti che qualcuno abbia installato delle applicazioni spia sul tuo smartphone? Accedi alla lista delle app presenti sul dispositivo e scopri se c’è qualcosa di sospetto. Per riuscirci, fai così: se stai usando Android recati nella sezione Impostazioni > App > Tutte le app del dispositivo ed elimina tutte le app sospette, dopodiché recati nel menu Impostazioni > Sicurezza > Amministratori dispositivo e dai un’occhiata alla lista delle app che hanno il permesso di controllare il sistema e se fra queste ce n’è qualcuna che non hai autorizzato in prima persona, togli la spunta dal suo nome e disinstallala; se stai usando un iPhone recati nella sezione Impostazioni > Generali > Spazio iPhone del dispositivo ed elimina le app che pensi possano spiarti, premendo sul loro nome e sull’opzione Elimina app. Tieni presente che nei casi più disperati, quando si ritiene che ci sia un’applicazione-spia sul proprio smartphone ma non si riesce a individuarla, l’unica soluzione percorribile è formattare il telefono. Lo so, è una misura drastica, ma è anche l’unica efficacia. Se vuoi saperne di più, leggi i miei tutorial su come formattare Android e come resettare iPhone.
- Riattivare l’account in caso di disattivazione – se qualcuno ha attivato WhatsApp su un altro cellulare usando il tuo numero di telefono, il servizio smetterà di funzionare sul tuo dispositivo. Qualora dovessi ritrovarti improvvisamente con WhatsApp disattivato senza che tu abbia fatto nulla, provvedi subito a segnalare l’accaduto al supporto della famosa app di messaggistica, scrivendo all’indirizzo email support@whatsapp.com, in modo da poter riavere nuovamente il controllo del tuo account ed evitare che i tuoi dati possano continuare a essere consultati da soggetti terzi non autorizzati. Leggi il mio approfondimento su come contattare WhatsApp.
Attenzione: questa guida è stata scritta a mero scopo illustrativo. Spiare le conversazioni WhatsApp di altre persone è un reato punibile dalla legge, pertanto non mi assumo alcuna responsabilità su come utilizzerai le informazioni contenute nell’articolo.
Autore
Salvatore Aranzulla
Salvatore Aranzulla ĆØ il blogger e divulgatore informatico piĆ¹ letto in Italia. Noto per aver scoperto delle vulnerabilitĆ nei siti di Google e Microsoft. Collabora con riviste di informatica e cura la rubrica tecnologica del quotidiano Il Messaggero. Ć il fondatore di Aranzulla.it, uno dei trenta siti piĆ¹ visitati d'Italia, nel quale risponde con semplicitĆ a migliaia di dubbi di tipo informatico. Ha pubblicato per Mondadori e Mondadori Informatica.
