Questo sito contribuisce alla audience di Il Messaggero

Come spiare WhatsApp di un altro

di

Ormai non riesco più a tenere il conto: ogni giorno vengo letteralmente sommerso da messaggi di persone che mi chiedono come spiare WhatsApp di un altro o, al contrario, come evitare che qualcuno possa ficcare il naso nelle loro conversazioni su questo popolare servizio di messaggistica.

Credo proprio sia giunto il momento di tornare sull’argomento e fare un po’ il punto sulla situazione. Proviamo allora a capire se è ancora possibile spiare WhatsApp, quali sono le tecniche più “quotate” fra i criminali informatici e – soprattutto – vediamo come difenderci da chi tenta di accedere senza permesso alle nostre chat.

Trovi spiegato tutto qui sotto. Ti anticipo solo che sì, purtroppo è ancora possibile spiare WhatsApp (sebbene l’operazione risulti più complessa rispetto a qualche tempo fa) e ci si può difendere efficacemente dai ficcanaso applicando delle semplici misure di protezione al proprio smartphone. Per il resto, ti basterà seguire le più comuni regole di buonsenso: non prestare il telefono a sconosciuti, non lasciare lo smartphone incustodito in luoghi pubblici ed evita quanto più possibile l’utilizzo di reti Wi-Fi pubbliche (meglio restare connessi al network 3G/LTE del cellulare).

Spiare WhatsApp con il social engineering

Come spiare WhatsApp di un altro

Nel mondo di Internet, così come nella vita reale, i pericoli spesso arrivano da dove meno ce lo aspettiamo.

E così mentre ci immaginiamo un esercito di hacker super-cattivi1 pronti a violare la nostra privacy sferrando attacchi ai server di WhatsApp, in realtà a spiare le nostre conversazioni online potrebbero essere dei gentili coetanei incontrati per caso al bar, se non addirittura dei nostri conoscenti.

D’altronde non ci vuole un esperto di informatica per capirlo: è molto più facile che qualcuno, con una banalissima scusa, entri fisicamente in possesso del nostro smartphone piuttosto che i server di WhatsApp vengano violati o degli hacker, nascosti chissà dove, si mettano a intercettare le nostre comunicazioni.

Per quanto concerne la privacy su WhatsApp, attualmente il pericolo più grande è rappresentato dal social engineering (ingegneria social). Di cosa si tratta? Te lo spiego subito. Il social engineering è quell’insieme di tecniche grazie alle quali i malintenzionati riescono a raggiungere i propri scopi manipolando la psicologia della vittima.

In altre parole è quando un malintenzionato riesce ad entrare in possesso del suo obiettivo (in questo caso lo smartphone) ingannando la vittima con delle scuse più o meno banali (es. “ho finito il credito e devo fare una chiamata urgente, mi presteresti un attimo il telefono?”).

Ma, fattivamente, come si riesce a spiare WhatsApp di un altro con il social engineering? Facciamo qualche esempio pratico.

Furto d’identità tramite WhatsApp Web

Come spiare WhatsApp di un altro

Come ti ho spiegato in una delle mie guide precedenti, WhatsApp Web è un servizio gratuito che permette di inviare e ricevere messaggi di WhatsApp sul PC usando lo smartphone come “ponte”. Funziona su tutti i principali browser Web e non richiede alcuna configurazione particolare. Per utilizzarlo, basta aprire WhatsApp sul cellulare e inquadrare con la fotocamera il QR code che viene visualizzato sullo schermo del computer. Tutto qui.

Ma quello che vale davvero la pena sottolineare è che WhatsApp Web memorizza l’identità dell’utente – ciò significa che si può accedere al servizio senza ripetere la scansione del QR code – e funziona anche quando lo smartphone non è connesso alla stessa rete Wi-Fi del PC, basta che sia connesso a una qualsiasi rete Wi-Fi o alla rete dati 3G/LTE del cellulare.

Questo vuol dire che se un malintenzionato riesce a entrare in possesso del tuo smartphone, effettua l’accesso a WhatsApp Web con quest’ultimo e lascia attiva la funzione Resta connesso per non dover ripetere la scansione del QR code, può spiare tutti i tuoi messaggi senza che tu te ne accorga.

WhatsApp Web è molto “comodo” per i malintenzionati in quanto funziona non solo da PC, ma anche da tablet e smartphone, basta installare delle app che simulano l’accesso al servizio da desktop o abilitare la visualizzazione desktop nel browser.

Nota: lo stesso discorso varrebbe anche per il client ufficiale di WhatsApp per Windows e macOS, ma in quel caso la procedura da seguire sarebbe inutilmente più complessa per il malintenzionato di turno.

Applicazioni-spia

Come spiare WhatsApp di un altro

Se lasci il tuo smartphone incustodito per più di qualche minuto, il malintenzionato di turno potrebbe approfittarne per installare delle applicazioni-spia sul terminale e spiarti in segreto.

Ci sono diverse app che permettono di raggiungere tale scopo. Inoltre va detto che le applicazioni anti-furto (quelle che permettono di localizzare i cellulari smarriti) e i servizi di parental control hanno funzioni tali che potrebbero essere usate per catturare screenshot e monitorare gran parte delle tue attività sullo smartphone. Per maggiori informazioni a riguardo, leggi il mio post su come spiare i cellulari Android.

Clonazione del MAC address

Come spiare WhatsApp di un altro

Un’altra tecnica che i malintenzionati possono adottare per spiare WhatsApp è clonare il MAC address del telefono della vittima. Per fortuna però si tratta di un’operazione abbastanza lunga e non propriamente alla portata di tutti: ci vuole un minimo di preparazione tecnica per riuscirci.

Qualora non ne avessi mai sentito parlare, il MAC address è un codice di 12 cifre che identifica in maniera univoca le schede di rete dei PC e, più in generale, i dispositivi in grado di connettersi a Internet.

Utilizzando delle applicazioni adatte allo scopo, gli “spioni” possono camuffare il MAC address del proprio smartphone, in modo da farlo coincidere con quello del telefono della vittima, e installare una copia “clonata” di WhatsApp che a quel punto riporterà tutti i messaggi dell’account originale.

L’operazione è fattibile solo dopo aver sbloccato il proprio dispositivo tramite root o jailbreak e aver installato applicazioni come BusyBoxMac Address Ghost su Android e SpoofMAC su iPhone. Ma questo è solo l’inizio. Difatti per portare a segno “il colpo” bisogna sottrarre il telefono alla vittima, scoprire il suo MAC address (tramite la schermata Info delle impostazioni), cambiare il MAC address del proprio telefono, installare WhatsApp e attivare la app usando il numero della persona da spiare (sul quale, dunque, arriva il codice di conferma).

Come proteggersi?

Come spiare WhatsApp di un altro

Alla luce di quanto appena detto, è importantissimo gestire il proprio smartphone in maniera coscienziosa (non prestandolo al primo che passa e non lasciandolo incustodito in luoghi pubblici) ed è ancora più importante prevenire la violazione della propria privacy con alcuni accorgimenti come quelli che trovi elencati di seguito.

  • Impostare un PIN sicuro – un PIN sicuro può mettere fuori gioco gran parte dei malintenzionati, infatti senza accesso al menu principale dello smartphone non è possibile né utilizzare WhatsApp Web né installare applicazioni spia. Ecco le istruzioni per cambiare il PIN sul tuo smartphone.
    • Se hai un telefono Android devi recarti nel menu Impostazioni > Sicurezza > Blocco Schermo e selezionare la voce PIN (oppure Sequenza, se vuoi usare una gesture al posto del codice).
    • Se utilizzi un iPhone devi recarti nel menu Impostazioni > Touch ID e Codice e seleziona la voce Cambia codice.

 

  • Disattivare la visualizzazione degli SMS nella lock-screen – clonando il MAC address del tuo smartphone, un malintenzionato potrebbe attivare WhatsApp sul suo telefono usando il suo numero. Tuttavia, per attivare l’applicazione dovrebbe scoprire il codice di verifica recapitato via SMS sul tuo cellulare. Disattivando la visualizzazione degli SMS nella lock-screen, puoi impedire ai malintenzionati di visualizzare il codice di attivazione di WhatsApp senza prima sbloccare lo smartphone (operazione praticamente impossibile se hai impostato un PIN sicuro).
    • Per disattivare la visualizzazione degli SMS nella lock-screen di Android recati nel menu Impostazioni > Sicurezza > Blocco Schermo > PIN, impostare un PIN e scegliere di nascondere i contenuti sensibili.
    • Per disattivare la visualizzazione degli SMS nella lock-screen di iPhone recati nel menu Impostazioni > Notifiche > Messaggi e togli la spunta dalla voce Mostra in “Blocco schermo”.

 

  • Controllare le sessioni di WhatsApp Web – recandoti nel menu Impostazioni > WhatsApp Web di WhatsApp puoi visualizzare tutte le sessioni di WhatsApp Web attive. Se fra queste ne rilevi qualcuna “sospetta”, pigia sul pulsante Disconnettiti da tutti i computer ed eventuali malintenzionati che ti stavano spiando tramite PC perderanno l’accesso automatico al servizio (gli verrà chiesto di inquadrare nuovamente il QR code).

 

  • Verificare la presenza di applicazioni spia – sospetti che qualcuno abbia installato delle applicazioni spia sul tuo smartphone? Accedi alla lista delle app presenti sul dispositivo e scopri se c’è qualcosa di sospetto.
    • Per visualizzare la lista delle applicazioni installate su Android vai nel menu Impostazioni > App > Tutte ed elimina tutte le app sospette. Dopodiché recati nel menu  Impostazioni > Sicurezza > Amministratori dispositivo e da’ un’occhiata alla lista delle app che hanno il permesso di controllare il sistema. Se fra queste ce n’è qualcuna che non hai autorizzato in prima persona, togli la spunta dal suo nome e disinstallala.
    • Per visualizzare la lista delle applicazioni installate su iPhone vai nel menu Impostazioni > Generali > Utilizzo spazio e iCloud > Gestisci spazio. Se hai un iPhone sottoposto al jailbreak puoi anche aprire <codeCydia e controllare la lista dei pacchetti installati per vedere se fra di essi ci sono quelli relativi a delle app-spia. Inoltre ti consiglio di comporre il codice *12345 nel dialer del tuo iPhone e di collegarti alle pagine localhost:8888 e localhost:4444 dal browser: se sul tuo “melafonino” ci sono installate delle applicazioni-spia, facendo in questo modo potresti riuscire ad accedere al loro pannello di controllo e quindi a disinstallarle.Nei casi più disperati, quando si sospetta che ci sia un’applicazione-spia sul proprio smartphone ma non si riesce a individuarla, l’unica soluzione percorribile è formattare il telefono. Lo so, è una misura drastica, ma è anche l’unica efficacia. Se vuoi saperne di più, leggi i miei tutorial su come resettare iPhone e come formattare Android.

Spiare WhatsApp “sniffando” una rete wireless

Come spiare WhatsApp di un altro

Una delle tecniche più sofisticate per spiare WhatsApp di un altro era lo “sniffing” delle reti wireless, ossia il monitoraggio dei dati di una rete Wi-Fi con software come Wireshark (di cui ti ho parlato anch’io nel mio tutorial su come sniffare una rete wireless). Ho detto “era” perché questa tecnica non dovrebbe essere più funzionante, o quantomeno non dovrebbe risultare più efficace come qualche tempo fa.

Alla fine del 2014, infatti, WhatsApp ha cominciato ad adottare un sistema di cifratura end-to-end denominato TextSecure, il quale dovrebbe complicare di molto la vita agli spioni. Questo sistema è basato sull’utilizzo di una coppia di chiavi: una pubblica e una privata. La chiave pubblica viene condivisa con il proprio interlocutore e serve a cifrare i messaggi in uscita, quella privata invece risiede sullo smartphone di ciascun utente e serve a decifrare i messaggi in entrata.

Grazie a questa tecnologia (di cui l’utente non si accorge perché succede tutto “dietro le quinte”), i messaggi viaggiano dai nostri smartphone ai server di WhatsApp in maniera cifrata, cioè illeggibile, e possono essere decifrati solo dai legittimi mittenti e destinatari.

L’unico dubbio che possiamo avere riguarda l’implementazione della cifratura end-to-end: WhatsApp è un’applicazione closed source, non possiamo controllare a fondo il suo codice sorgente e quindi non possiamo sapere se eventuali falle possono lasciare spazio di manovra ai malintenzionati.

Il mio consiglio, dunque, è quello di essere prudente. WhatsApp è ragionevolmente sicuro ma non possiamo ritenerlo totalmente inattaccabile. Va benissimo per le comunicazioni tra amici e colleghi ma non va usato per condividere informazioni altamente riservate (per quello meglio usare soluzioni dedicate che garantiscono il massimo grado di privacy, ad esempio Signal).

Alla luce di quanto appena detto, cerca di non collegarti a reti Wi-Fi pubbliche, utilizza una password sicura per la rete Wi-Fi di casa e… beh, non condividere segreti di Stato su WhatsApp!

ATTENZIONE: spiare le conversazioni altrui è un reato punibile dalla legge. Questo tutorial è stato scritto a puro scopo illustrativo e io non mi assumo alcuna responsabilità circa l’utilizzo che farai delle informazioni contenute in esso.


  1. Quelli che in gergo tecnico si chiamano “cracker”. E no, non sono biscotti!