Questo sito contribuisce alla audience di Il Messaggero

Come spiare WhatsApp di un altro

di

Ormai non riesco più a tenere il conto: ogni giorno vengo letteralmente sommerso da messaggi di persone che mi chiedono come spiare WhatsApp di un altro o, al contrario, come evitare che qualcuno possa ficcare il naso nelle loro conversazioni su questo popolare servizio di messaggistica.

Date le circostanze, credo proprio sia giunto il momento di tornare sull’argomento e fare un po’ il punto sulla situazione. Proviamo allora a capire se è ancora possibile compiere l’operazione in questione, quali sono le tecniche più “quotate” fra i criminali informatici e – soprattutto – vediamo come difenderci da chi tenta di accedere senza permesso alle nostre chat.

Trovi spiegato tutto qui sotto. Ti anticipo solo che sì, si può ancora spiare WhatsApp (sebbene la cosa risulti più complessa rispetto a qualche tempo fa) e ci si può difendere efficacemente dai ficcanaso applicando delle semplici misure di protezione al proprio smartphone. Per il resto, ti basterà seguire le più comuni regole di buonsenso: non prestare il telefono a sconosciuti, non lasciare lo smartphone incustodito e ridurre allo stretto indispensabile l’utilizzo di reti Wi-Fi pubbliche (meglio restare connessi al network 3G/LTE del cellulare).

Indice

Informazioni preliminari

Icona app WhatsApp

Prima di entrare nel vivo del tutorial, andandoti a illustrare quali sono le principali tecniche sfruttate dai malintenzionati per spiare WhatsApp di un altro e come proteggersi, mi sembra doveroso fornirti alcune informazioni preliminari al riguardo.

Tanto per cominciare, tieni presente che, alla fine, del 2014, WhatsApp, grazie a una collaborazione tra il team del famoso servizio di messaggistica e gli sviluppatori di Open Whisper Systems, ha cominciato ad adottare un sistema di cifratura end-to-end denominato TextSecure, il quale dovrebbe complicare di molto la vita agli “spioni”.

Questo sistema è basato sull’utilizzo di una coppia di chiavi: una pubblica e una privata. La chiave pubblica viene condivisa con il proprio interlocutore e serve a cifrare i messaggi in uscita, quella privata invece risiede sullo smartphone di ciascun utente e serve a decifrare i messaggi in entrata.

Grazie a tale tecnologia (di cui l’utente non si accorge perché succede tutto in tempo reale e “dietro le quinte”), i messaggi viaggiano dallo smartphone ai server di WhatsApp in maniera cifrata, cioè illeggibile, e possono essere decifrati solo dai legittimi mittenti e destinatari. Per approfondimenti, puoi consultare il mio tutorial su come crittografare WhatsApp.

L’unico dubbio riguarda l’implementazione della cifratura end-to-end: WhatsApp è un’applicazione closed source, non possiamo controllare a fondo il suo codice sorgente e quindi non possiamo sapere se eventuali falle lasciano spazio di manovra ai malintenzionati.

Da notare però che da alcuni test, come quello realizzato da Heise nel 2015, è risultato che la cifratura end-to-end veniva originariamente usata solo sulla versione Android di WhatsApp. In tutti gli altri casi, invece, continuava a essere impiegato un sistema di cifratura basato sull’algoritmo RC4, funzionante solamente in uscita e ritenuto non più sicuro da tempo. Ad oggi, però, la situazione è completamente diversa e la cifratura end-to-end viene sfruttata su tutte le piattaforme per le quali il servizio di messaggistica è disponibile.

Sappi poi che prima dell’introduzione di TextSecure, uno dei sistemi più sofisticati per spiare WhatsApp di un’altro telefono a distanza era lo “sniffing” delle reti wireless, una tecnica consistente, per l’appunto, nel catturate tutti i dati che passano su una rete Wi-Fi tramite software appositi, come ti ho spiegato in dettaglio nella mia guida sull’argomento.

Come spiare WhatsApp di un’altra persona

Nonostante la celebre applicazione di messaggistica possa ritenersi una soluzione sufficientemente sicura, esistono comunque delle tecniche che i malintenzionati possono valutare di usare per spiare WhatsApp di u’altra persona. Scopriamo subito quali. Trovi indicato tutto qui di seguito.

Tecniche di social engineering

Come spiare WhatsApp di un altro

Analogamente a quanto avviene nella vita reale, nel mondo di Internet i pericoli spesso arrivano da dove meno ce lo aspettiamo. E così mentre ci immaginiamo un esercito di hacker super-cattivi pronti a violare la nostra privacy sferrando attacchi ai server di WhatsApp, in realtà a spiare le nostre conversazioni online potrebbero essere dei gentili coetanei incontrati per caso al bar, se non addirittura dei nostri conoscenti.

D’altronde non ci vuole un esperto di informatica per capirlo: è molto più facile che qualcuno, con una banalissima scusa, entri fisicamente in possesso del nostro smartphone piuttosto che i server di WhatsApp vengano violati o che degli hacker, nascosti chissà dove, si mettano a intercettare le nostre comunicazioni.

Per quanto concerne la privacy su WhatsApp, attualmente il pericolo più grande è rappresentato dal social engineering (ingegneria social). Di cosa si tratta? Te lo spiego subito. Il social engineering è quell’insieme di tecniche grazie alle quali i malintenzionati riescono a raggiungere i propri scopi manipolando la psicologia della vittima.

In altre parole, è quando un malintenzionato riesce a entrare in possesso del suo obiettivo (in questo caso lo smartphone) ingannando la vittima con delle scuse più o meno banali (es. “ho finito il credito e devo fare una chiamata urgente, mi presteresti un attimo il telefono?”).

Furto d’identità tramite WhatsApp Web/Desktop

WhatsApp Desktop

WhatsApp è disponibile anche sotto forma di Web app e di client per Windows e macOS, tramite cui è possibile di inviare e ricevere messaggi sul PC usando lo smartphone come “ponte”. Funzionano su tutti i principali sistemi operativi e non è richiesta alcuna configurazione particolare. Per servirtene, basta aprire WhatsApp sul cellulare e inquadrare con la fotocamera il QR code che viene visualizzato sullo schermo del computer, come ti ho spiegato più in dettaglio nel mio tutorial su come usare WhatsApp su PC.

Ma quello che vale davvero la pena sottolineare è che WhatsApp Web/Desktop memorizza l’identità dell’utente – ciò significa che si può accedere al servizio senza ripetere la scansione del QR code – e funziona anche quando lo smartphone non è connesso alla stessa rete Wi-Fi del PC, basta che sia connesso a una qualsiasi rete Wi-Fi o alla rete dati 3G/LTE del cellulare.

Ciò vuol dire che se un malintenzionato riesce a entrare in possesso dello smartphone della vittima, effettua l’accesso a WhatsApp Web/Desktop con quest’ultimo e lascia attivo il collegamento per non dover ripetere la scansione del QR code, diventa possibile spiare WhatsApp di un altro telefono a distanza e senza che il malcapitato di turno se ne accorga.

Da notare che WhatsApp Web è molto “comodo” per i malintenzionati in quanto funziona non solo da PC, ma anche da tablet e smartphone, basta installare delle app che simulano l’accesso al servizio da desktop o abilitare la visualizzazione desktop nel browser.

Va comunque tenuto presente che, a oggi, quando viene stabilito il collegamento con un dispositivo sconosciuto tramite la versione Web/Desktop di WhatsApp, sullo smartphone viene inviata un’apposita notifica indicate la cosa. Di conseguenza, è possibile capire subito se è in corso qualche attività anomala.

Applicazioni-spia, anti-furto e di parental control

Come spiare WhatsApp di un altro

Se si lascia lo smartphone incustodito per più di qualche minuto, il malintenzionato di turno potrebbe approfittarne per installare delle applicazioni-spia sul terminale e sfruttarle in segreto per spiare WhatsApp di un’altro senza avere il suo cellulare.

Da notare che soluzioni del genere vengono diffuse per permettere di monitorare lecitamente lo smartphone dell’utente, ma considerando il loro funzionamento sono particolarmente apprezzate anche dai malintenzionati. Ci sono diverse app che consentono di raggiungere tale scopo, solitamente installate tramite pacchetto APK su Android e mediante Cydia su iOS, come nel caso di iKeyMonitor, una delle applicazioni-spia maggiormente diffuse che si può anche provare gratis per alcuni giorni.

Inoltre, va detto che le applicazioni anti-furto (quelle che permettono di localizzare i cellulari smarriti) e i servizi di parental control hanno funzioni tali che potrebbero essere usate per catturare screenshot e monitorare gran parte delle attività sullo smartphone, come ad esempio Qustodio, disponibile sia per Android che per iOS, e Screen Time, anch’essa disponibile per Android e iOS, le quali non richiedono configurazioni avanzate e consentono di monitorare ed eventualmente anche di limitare l’attività dell’utente.

Considera altresì che quando un malintenzionato non può mettere fisicamente mano allo smartphone della vittima, può inviare a quest’ultima dei link per scaricare e installare lo strumento per spiare WhatsApp di un altro, spacciandoli però per altri contenuti.

Applicazioni per monitorare gli accessi

App per monitorare accessi WhatsApp

Sebbene al momento non più disponibili e non più funzionati, mi sembra doveroso metterti al corrente del fatto che fino a non molto tempo fa erano disponibili delle applicazioni che permettevano di monitorare gli accessi al servizio e che quindi potevano rivelarsi particolarmente per spiare WhatsApp di un’altro cellulare. Ho preferito informarti al riguardo perché, anche se alquanto improbabile, una possibile falla in WhatsApp potrebbe consentire una nuova vita a questo genere di soluzioni.

Il funzionamento di tali applicazioni risultava essere molto semplice: bisognava avviare l’app e digitare il numero dell’utente WhatsApp da tenere sotto controllo. Tutto qui! Facendo in tal modo, era possibile vedere gli orari di accesso a WhatsApp dell’utente di proprio interesse e si ricevevano notifiche relative alle sue attività.

Nella maggior parte dei casi, le app in questione potevano essere scaricare e provate gratis, ma poter usufruire della funzione per l’esportazione dei dati e per poterle usare senza limiti veniva richiesta la sottoscrizione di un abbonamento apposito.

Clonazione del MAC address

Come spiare WhatsApp di un altro

Un’altra tecnica che i malintenzionati possono adottare per spiare WhatsApp di un altro è clonare il MAC address del telefono della vittima. Per fortuna, però, si tratta di una procedura abbastanza lunga e non propriamente alla portata di tutti: ci vuole un minimo di preparazione tecnica per riuscirci.

Qualora non ne avessi mai sentito parlare, il MAC address è un codice di 12 cifre che identifica in maniera univoca le schede di rete dei PC e, più in generale, i dispositivi in grado di connettersi a Internet.

Utilizzando delle applicazioni adatte allo scopo, gli “spioni” possono camuffare il MAC address del proprio smartphone, in modo da farlo coincidere con quello del telefono della vittima, e installare una copia “clonata” di WhatsApp che a quel punto riporterà tutti i messaggi dell’account originale.

L’operazione è fattibile solo dopo aver sbloccato il proprio dispositivo tramite root o jailbreak e aver installato applicazioni come BusyBox e Mac Address Ghost su Android e SpoofMAC su iOS, come ti ho spiegato più in dettaglio nella mia guida su come clonare WhatsApp.

Ma questo è solo l’inizio. Difatti per portare a segno “il colpo” bisogna sottrarre il telefono alla vittima, scoprire il suo MAC address (tramite la schermata Info delle impostazioni), cambiare il MAC address del proprio telefono, installare WhatsApp e attivare l’app usando il numero della persona da spiare (sul quale, dunque, arriva il codice di conferma).

Come non farsi spiare su WhatsApp

Come spiare WhatsApp di un altro

Alla luce di quanto detto nelle righe precedenti, è importantissimo gestire il proprio smartphone in maniera coscienziosa. Ciò significa non prestare il dispositivo al primo che passa e non lasciarlo incustodito in luoghi pubblici. È però ancora più importante prevenire la violazione della propria privacy con alcuni accorgimenti, come quelli che trovi elencati di seguito.

  • Attivare il blocco schermo su WhatsApp – probabilmente non tutti ne sono a conoscenza, ma WhatsApp include una funzionalità che consente di bloccare l’accesso all’app tramite volto o impronta digitale e che si rivela molto utile per impedire ad altre persone di accedere alle proprie chat. Per abilitarla, recati nella sezione Impostazioni > Account > Privacy > Blocco schermo di WhatsApp, sposta su ON l’interruttore per attivare il blocco dello schermo ed è fatta.
  • Impostare un PIN sicuro – un PIN sicuro può mettere fuori gioco gran parte dei malintenzionati, infatti senza accesso al menu principale dello smartphone non è possibile né utilizzare WhatsApp per computer né installare applicazioni spia. Ecco le istruzioni per cambiare il PIN sul tuo smartphone.
    • Se hai un telefono Android, devi recarti nella sezione Impostazioni > Sicurezza > Blocco Schermo del dispositivo e selezionare la voce PIN (oppure Sequenza, se vuoi usare una gesture al posto del codice).
    • Se utilizzi un iPhone, devi recarti nella sezione Impostazioni > Face ID/Touch ID e codice del dispositivo e seleziona la voce Cambia codice.
  • Disattivare la visualizzazione degli SMS nella lock screen – clonando il MAC address del tuo smartphone, un malintenzionato potrebbe attivare WhatsApp sul suo telefono usando il suo numero. Tuttavia, per attivare l’applicazione dovrebbe scoprire il codice di verifica recapitato via SMS sul tuo cellulare. Disattivando la visualizzazione degli SMS nella lock screen, puoi impedire ai malintenzionati di visualizzare il codice di attivazione di WhatsApp senza prima sbloccare lo smartphone (operazione praticamente impossibile se hai impostato un PIN sicuro).
    • Per disattivare la visualizzazione degli SMS nella lock screen di Android, recati nella sezione Impostazioni > Sicurezza > Blocco Schermo > PIN del dispositivo, imposta un PIN e scegli di nascondere i contenuti sensibili.
    • Per disattivare la visualizzazione degli SMS nella lock screen di iPhone, recati nella sezione Impostazioni > Notifiche > Messaggi del dispositivo e togli la spunta dalla voce Mostra in “Blocco schermo”.
  • Controllare le sessioni di WhatsApp Web – recandoti nella sezione Impostazioni > WhatsApp Web/Desktop di WhatsApp puoi visualizzare tutte le sessioni di WhatsApp Web attive. Se fra queste ne rilevi qualcuna “sospetta”, premi sul pulsante Disconnettiti da tutti i dispositivi ed eventuali malintenzionati che ti stavano spiando tramite PC perderanno l’accesso automatico al servizio (gli verrà chiesto di inquadrare nuovamente il QR code).
  • Verificare la presenza di applicazioni spia – sospetti che qualcuno abbia installato delle applicazioni spia sul tuo smartphone? Accedi alla lista delle app presenti sul dispositivo e scopri se c’è qualcosa di sospetto. Tieni presente che nei casi più disperati, quando si ritiene che ci sia un’applicazione-spia sul proprio smartphone ma non si riesce a individuarla, l’unica soluzione percorribile è formattare il telefono. Lo so, è una misura drastica, ma è anche l’unica efficacia. Se vuoi saperne di più, leggi i miei tutorial su come formattare Android e come resettare iPhone.
    • Per visualizzare la lista delle applicazioni installate su Android, recati nella sezione Impostazioni > App > Tutte del dispositivo ed elimina tutte le app sospette. Dopodiché recati nel menu Impostazioni > Sicurezza > Amministratori dispositivo e da’ un’occhiata alla lista delle app che hanno il permesso di controllare il sistema. Se fra queste ce n’è qualcuna che non hai autorizzato in prima persona, togli la spunta dal suo nome e disinstallala.
    • Per visualizzare la lista delle applicazioni installate su iPhone, recati nella sezione Impostazioni > Generali > Spazio iPhone del dispositivo ed elimina le app che pensi possano spiarti, premendo sul loro nome e sulla voce Elimina app.
  • Riattivare l’account in caso di disattivazione – se qualcuno ha attivato WhatsApp su un altro cellulare usando il tuo numero di telefono, il servizio smetterà di funzionare sul tuo dispositivo. Qualora dovessi ritrovarti improvvisamente con WhatsApp disattivato senza che tu abbia fatto nulla, provvedi subito a segnalare l’accaduto al supporto della famosa app di messaggistica, scrivendo all’indirizzo email support@whatsapp.com, in modo da poter riavere nuovamente il controllo del tuo account ed evitare che i tuoi dati possano continuare a essere consultati da soggetti terzi non autorizzati.

Attenzione: questa guida è stata scritta a mero scopo illustrativo. Spiare le conversazioni WhatsApp di altre persone è un reato punibile dalla legge, pertanto non mi assumo alcuna responsabilità su come utilizzerai le informazioni contenute nell’articolo.

Salvatore Aranzulla

Autore

Salvatore Aranzulla

Salvatore Aranzulla è il blogger e divulgatore informatico più letto in Italia. Noto per aver scoperto delle vulnerabilità nei siti di Google e Microsoft. Collabora con riviste di informatica e cura la rubrica tecnologica del quotidiano Il Messaggero. È il fondatore di Aranzulla.it, uno dei trenta siti più visitati d'Italia, nel quale risponde con semplicità a migliaia di dubbi di tipo informatico. Ha pubblicato per Mondadori e Mondadori Informatica.