Questo sito contribuisce alla audience di Il Messaggero

Come spiare WhatsApp di un altro numero

di

Ogni giorno ricevo numerosi messaggi da parte di persone che mi chiedono come spiare WhatsApp di un altro numero o, al contrario, come evitare che soggetti terzi non autorizzati possano “infiltrarsi” nelle loro conversazioni su quella che orami è l'app numero uno al mondo per la messaggistica istantanea. Se tu adesso sei qui e stai leggendo queste righe evidentemente non sei da meno. Vista la situazione ho dunque deciso di redigere questa guida così da cercare di chiarire il più possibile le idee al riguardo.

Per rispondere subito al quesito: sì, purtroppo è possibile spiare WhatsApp di un altro numero ma, per fortuna, si tratta di un'operazione decisamente complessa da mettere in pratica e dalla quale ci si può difendere applicando delle semplici misure di protezione al proprio smartphone. Per il resto, è sufficiente seguire le più comuni regole di buonsenso, ad esempio evitare l'uso delle reti Wi-Fi pubbliche, non prestare il proprio cellulare a sconosciuti e non lasciare lo smartphone incustodito. Possono sembrare delle banalità ma in realtà si tratta di piccole accortezze capaci di salvaguardare la propria privacy molto più di qualunque decalogo sull'argomento.

Ora però basta chiacchiere e andiamo al sodo. Prenditi dunque qualche minuto di tempo libero tutto per te, mettiti bello comodo e inizia immediatamente a concentrarti sulla lettura di questo tutorial (se così vogliamo chiamarlo). Alla fine vedrai, avrai le idee decisamente più chiare sul tema e, ancor più importante, su come tutelare le tue conversazioni dalla visione da parte di “intrusi”. Buona lettura!

Indice

Sniffing delle reti wireless

Foto che mostra un modem WiFi

Una delle tecniche per spiare WhatsApp tramite WiFi, oltre che di spionaggio in generale, è quella che prevede lo “sniffing” delle reti wireless con software come Wireshark (se ben ricordi, te ne ho parlato nel mio tutorial su come sniffare una rete wireless). Con il termine sniffing si indica un'attività di monitoraggio delle reti wireless che consente di catturare tutte le informazioni che viaggiano in chiaro su queste ultime.

Nel caso specifico di WhatsApp, lo sniffing potrebbe dunque essere utilizzato da un malintenzionato al fine di monitorare la rete a cui è connesso lo smartphone della vittima. Fortunatamente, però, oggigiorno questa tecnica non dovrebbe funzionare.

Infatti, dalla fine del 2014 WhatsApp adotta un sistema di cifratura end-to-end che rende i messaggi illeggibili per tutti, eccetto che per i legittimi mittenti e destinatari. Perfino sui server di WhatsApp i messaggi arrivano in maniera cifrata. Il sistema, denominato TextSecure, prevede l'utilizzo di una coppia di chiavi: una pubblica, che viene condivisa con l'interlocutore e permette di cifrare i messaggi in uscita, e una privata, che invece risiede sullo smartphone e permette di decifrare i messaggi in entrata.

E quindi WhatsApp è inattaccabile? Beh, non stanno esattamente così le cose. La cifratura end-to-end mette infatti potenzialmente fuori gioco le tecniche di sniffing ma sfortunatamente ci sono altre “armi” che i malintenzionati possono sfruttare per spiare WhatsApp di un altro numero.

Inoltre, c'è da considerare il fatto che WhatsApp è un software closed source, ragion per cui non è possibile analizzarne a fondo il codice sorgente e quindi non possiamo sapere se l'implementazione della cifratura end-to-end è stata effettuata in maniera impeccabile oppure se è presente qualche “crepa”.

Come difendersi dallo sniffing

difendersi dallo sniffing

Sebbene la situazione appaia tranquilla sotto il fronte dello sniffing, è comunque consigliabile non abbassare mai la guardia. Infatti, se la cifratura end-to-end non viene applicata o viene applicata male, noi utenti non possiamo fare granché.

Al di là della cifratura, il modo migliore per difendersi dallo sniffing è quello di evitare di connettersi a reti wireless di cui non si conosce l'entità. Anche se appare una rete aperta e pubblica a cui è possibile collegarsi, bisogna diffidare, dal momento che proprio quelle pubbliche rappresentano una notevole minaccia. Gli hacker le prediligono perché lavorando tramite queste ultime diventa più difficile tracciarli ma, soprattutto, perché hanno difese trascurabili. Ciò non vuol dire, però, che la rete del vicino di casa o del collega di lavoro siano sicure al 100%: uno sniffer potrebbe nascondersi anche tra questi ultimi.

Detto ciò, attenti e vigili sì, ma non bisogna lasciar spazio alla paranoia. Si può infatti agire di conseguenza e aggiungere un livello di protezione aggiuntivo, magari sfruttando un server proxy (maggiori dettagli nella mia guida) o una VPN. L'acronimo sta per Virtual Private Network e si tratta di un sistema in grado di mascherare il proprio indirizzo IP, camuffando di conseguenza anche la propria posizione.

Se la cosa ti incuriosisce e vuoi saperne di più sul funzionamento, ti invito a leggere il mio approfondimento. NordVPN (di cui ti ho parlato approfonditamente qui) e Surfshark (di cui ti ho parlato qui) sono tra i servizi di VPN più utilizzati: da’ loro un'occhiata se sei interessato a questo tipo di soluzioni. Se cerchi delle alternative, invece, puoi leggere la mia guida sui migliori servizi VPN attualmente disponibili.

Furto d'identità

Il furto d'identità è un altro dei rischi a cui bisogna stare attenti quando si utilizza WhatsApp (ma non solo). Si tratta di una tecnica tramite cui un malintenzionato può “ingannare” WhatsApp fingendosi un'altra persona e accedere alle conversazioni di quest'ultima senza il suo consenso. I metodi sono svariati, dalla complessa clonazione del MAC Address al ben più semplice accesso a WhatsApp Web: continua a leggere per saperne di più e prendere le debite contromisure.

Clonazione del MAC address

clonazione mac address

Una tra le tecniche più utilizzate per spiare WhatsApp di un altro numero tramite furto di identità è la clonazione del MAC Address. Di che si tratta? Adesso te lo spiego. Il MAC Address (acronimo che sta per Media Access Control) è un codice di 12 cifre che identifica in maniera univoca tutti i dispositivi in grado di connettersi a Internet. Viene utilizzato anche da WhatsApp per verificare l'identità degli utenti (insieme al numero di telefono) ma ricorrendo all'uso di alcune app apposite è possibile camuffarlo e ingannare l'applicazione.

Per cui, se un malintenzionato installa alcune di queste app sul proprio telefonino (es. BusyBox e Mac Address Ghost per Android e SpoofMAC su iPhone) e riesce a scoprire il MAC address dello smartphone del malcapitato può installare una versione “clonata” di WhatsApp e accedere alle chat del soggetto preso di mira.

Per trovare il MAC Address su smartphone Android devi recarti in Impostazioni, fare poi tap sulla dicitura Info (o Informazioni telefono a seconda dei modelli) e poi su Stato, scorrendo la lista dei dettagli fino a trovare la dicitura in questione. Su iPhone, invece, devi entrare nel menu Impostazioni e poi toccare Generali > Info e infine Indirizzo Wi-Fi.

Fortunatamente la pratica in oggetto non è molto comune e richiede una notevole preparazione tecnica (per usare le app specifiche che ho citato poc'anzi c'è infatti bisogno di effettuare il root su Android e il jailbreak su iPhone). Inoltre, è necessario che il malintenzionato possa mettere le mani sul telefono della vittima per diverso tempo: in una prima fase per scoprire il MAC Address del dispositivo e poi per leggere l'SMS di conferma necessario ad attivare la copia “clonata” di WhatsApp sull'altro smartphone. Ad ogni modo, essere al corrente dell'esistenza di questa tecnica ti aiuterà senz'altro a evitare possibili intrusioni nel tuo account.

WhatsApp Web/Multi dispositivo

whatsapp web

La questione furto d'identità riguardava in passato anche i servizi ufficiali che permettono di usare WhatsApp su PC, come WhatsApp Web e WhatsApp multi dispositivo. La colpa era imputabile alla funzione; attiva di default, che permette tutt’ora al o al client di WhatsApp su PC di memorizzare l'identità dell'utente e accedere alle conversazioni senza richiedere una nuova scansione del QR code. Proprio per questa sua funzione, era uno dei metodi più subdoli per spiare WhatsApp senza installare programmi.

Ora però le cose sono diverse e WhatsApp invia delle notifiche quando vengono stabiliti dei nuovi collegamenti a WhatsApp Web o al client di WhatsApp per PC.

Ciò detto, se vuoi evitare che terzi abbiano accesso, anche per poco tempo, alle tue conversazioni usando il “trucchetto” di cui sopra, dopo ogni sessione su PC ti invito a disconnettere il dispositivo tramite smartphone. L'operazione è davvero semplice e richiede pochi istanti, se però non sai come effettuarla ti consiglio di leggere la mia guida in merito.

Come difendersi dal furto d'identità

difendersi dal furto d'identità

Considerando che entrambe le pratiche di cui sopra per spiare WhatsApp di un altro numero richiedono l'accesso fisico del malintenzionato al telefono della vittima, per proteggersi basta seguire alcune semplicissime — ma al tempo stesso fondamentali — accortezze. Eccole.

  • Attiva un sistema di protezione tramite riconoscimento biometrico: attiva lo sblocco del dispositivo tramite il riconoscimento facciale o tramite impronta digitale, per impedire ad altre persone di accedere a WhatsApp Web/Desktop tramite il tuo dispositivo. Con questo sistema, infatti, l'accesso al servizio avviene solo a seguito dell'autorizzazione da parte del proprietario del device.
  • Usa un PIN sicuro: una delle prime regole da seguire per evitare che qualcuno possa spiare le proprie conversazioni su WhatsApp è impostare un PIN sicuro nella lock-screen.
    • Su Android: recati nel menu Impostazioni > Sicurezza > Blocco schermo > PIN. In alternativa, puoi impostare una gesture al posto del PIN numerico andando in Impostazioni > Sicurezza > Blocco schermo > Sequenza.
    • Su iPhone: recati nel menu Impostazioni > Touch ID e codice > Cambia codice.
  • Disattiva la visualizzazione degli SMS nella schermata di blocco dello smartphone — un'altra accortezza che ti invito a mettere in pratica è quella relativo alla disattivazione degli SMS nella lock screen. In tal modo, nel caso in cui un malintenzionato tentasse di clonare il tuo account WhatsApp utilizzando il tuo numero di telefono, non potrà visualizzare il codice di verifica necessario per utilizzare l'app in quanto nella lock-screen dello smartphone non sarà presente alcun messaggio e l'accesso al telefono sarà bloccato dal PIN, così come visto poc'anzi. Ecco come fare.
    • Su Android: recati nel menu Impostazioni > Sicurezza > Blocco schermo > PIN, imposta un PIN e scegli di nascondere solo i contenuti sensibili.
    • Su iPhone: recati nel menu Impostazioni > Notifiche > Messaggi e rimuovi il segno di spunta dall'opzione Schermata di blocco.
  • Controlla le sessioni di WhatsApp Web e desktop — accedendo alla sezione Impostazioni > WhatsApp Web/Desktop (o Dispositivi collegati) di WhatsApp puoi controllare tutte le sessioni attive di WhatsApp Web e del client desktop per il tuo account. Se noti delle attività sospette, fai subito tap su Disconnetti da tutti i computer e dai conferma dell'esecuzione dell'operazione. Facendo in questo modo, tutti gli eventuali “spioni” non potranno più accedere a WhatsApp Web o al client desktop del servizio usando il tuo account in quanto per riuscirci dovrebbero scansionare nuovamente il QR code con il tuo smartphone. Effettuando questa procedura di tanto in tanto potrai scongiurare eventuali furti d'identità tramite la versione Web e desktop del servizio.
  • Attiva la verifica in due passaggi — come molti altri servizi, WhatsApp consente di abilitare l'autenticazione a due fattori. Si tratta di una misura aggiuntiva per impedire a chiunque venga in possesso della tua SIM di utilizzare il tuo account WhatsApp con il numero di telefono associato. Per attivarla, apri l'app WhatsApp sul tuo cellulare e fai tap sui tre puntini verticali in alto a destra, scegli poi Impostazioni > Account > Verifica in due passaggi e poi tocca il pulsante Abilita.
  • Usa una password sicura per i tuoi account cloud — considerando che tantissime app, fra cui anche WhatsApp, sincronizzano i propri dati con il cloud (Android usa i sistemi cloud di Google e gli iPhone la piattaforma iCloud di Apple) qualora qualcuno riuscisse a scoprire la password di accesso ai tuoi account potrebbe arrivare facilmente ai tuoi dati e, con la messa in atto dei dovuti stratagemma, anche ai backup di WhatsApp. I backup, chiariamoci subito, dovrebbero comunque risultare illeggibili senza decifrazione ma, come si suol dire, fidarsi è bene ma non fidarsi è sempre meglio.
  • Fai attenzione a chi usa il tuo smartphone — può sembrare un suggerimento decisamente banale, lo so, ma proprio per questo potrebbe essere sottovalutato dai più: evita di prestare il telefono agli sconosciuti, tieni d'occhio cosa fanno con il tuo telefono eventuali conoscenti/amici e non lasciare il cellulare incustodito nei luoghi pubblici. Anche in questo modo è possibile scongiurare l'eventuale messa in atto di pratiche per spiare WhatsApp di un altro numero.

App-spia

qustodio app spia

Esistono numerose applicazioni progettate per spiare i cellulari Android (se ben ricordi, te ne ho parlato in maniera approfondita nei miei articoli su come spiare cellulare Android e come spiare iPhone) ed esistono anche svariati software che permettono di monitorare, comandare e localizzare gli smartphone a distanza.

Sebbene alcuni siano concepiti come strumenti per il parental control, si tratta indubbiamente di applicazioni che possono essere sfruttate anche dai malintenzionati per spiare WhatsApp di un altro numero e, sfortunatamente, sono anche più semplici da usare perché non richiedono root o jailbreak del proprio dispositivo.

Alcune sono gratuite, mentre altre richiedono un pagamento o un abbonamento. Tra quelle più gettonate spiccano senz'altro Qustodio e Screen Time, entrambe disponibili sia su Android sia su iOS. Te ne parlo in dettaglio nel mio articolo sulle applicazioni per spiare WhatsApp.

Come difendersi dalle app-spia

Come spiare WhatsApp di un altro numero

Così come la clonazione del MAC Address e l'uso di WhatsApp Web, anche le app-spia necessitano di un accesso fisico allo smartphone della vittima. Queste devono essere infatti installate sul telefono bersaglio prima di poter garantire un controllo esterno.

Naturalmente, quindi, tutti i consigli che ti ho dato precedentemente valgono anche in questo caso: evita di dare il telefono a sconosciuti e, se dovesse comunque capitare, controlla sempre cosa questi fanno effettivamente con il tuo smartphone. Inoltre, nel momento in cui ti viene restituito, dai un'occhiata alla lista delle applicazioni installate, per poter disinstallare app sospette che non ricordi di aver personalmente aggiunto. Non sai come fare? Te lo illustro subito!

  • Su Android: per visualizzare la lista completa delle app installate su smartphone con sistema operativo Android devi recarti nel menu Impostazioni > App e selezionare la scheda Tutte (oppure la dicitura Mostra tutte le app, a seconda del modello di smartphone di cui disponi questa potrebbe infatti variare).
  • iPhone: per visualizzare la lista delle applicazioni installate su iPhone devi recarti nel menu Impostazioni > Generali > Spazio iPhone per avere la lista delle app e gestirne così dati ed eventuale rimozione.

Su Android, un altro segnale che può indicare la presenza di app-spia sul dispositivo è l'aggiunta di nuove applicazioni alla lista degli amministratori del dispositivo. Recati dunque nelle Impostazioni dello smartphone, pigia su Sicurezza e seleziona la voce Amministratori dispositivo dalla schermata che ti viene mostrata. Verifica quindi che nella lista delle app che amministrano Android sia tutto in regola. Qualora così non fosse, rimuovi il segno di spunta dall'applicazione “incriminata” e disinstallala cercandola nella lista delle app di Android.

Se invece temi che qualcuno abbia installato un'app-spia sul tuo device ma non riesci a visualizzarla, l'unica nonché più drastica soluzione è quella di formattare il telefono cancellando tutto il contenuto dello stesso. Per scoprire come fare, da’ subito uno guardo al mio tutorial su come formattare Android.

Per quel che concerne gli iPhone, se hai un dispositivo jailbroken puoi provare a individuare le applicazioni-spia digitando il codice *12345 nel dialer o provando a collegarti agli indirizzi localhost:8888 e localhost:4444 dal browser. Se ci sono delle app-spia installate sul tuo dispositivo, molto probabilmente facendo in questo modo riuscirai ad accedere al realativo pannello di gestione e a disattivarle.

Inoltre ti consiglio di aprire Cydia e di controllare con attenzione la lista di tutti i pacchetti installati sul dispositivo: se noti qualcosa di strano, procedi con la rimozione del relativo pacchetto.

Anche nel caso degli iPhone, se hai paura che qualcosa o qualcuno possa aver installato un'app-spia ma non riesci a individuarla non ti resta altro da fare che procedere al reset completo del dispositivo. Se non sai come si fa, puoi leggere il mio articolo su come resettare iPhone per scoprire quali passaggi bisogna compiere.

Per finire, dai un’occhiata al mio approfondimento dedicato a come rimuovere le app spia dal telefono, che credo potrebbe tornarti utile.

Salvatore Aranzulla

Autore

Salvatore Aranzulla

Salvatore Aranzulla è il blogger e divulgatore informatico più letto in Italia. Noto per aver scoperto delle vulnerabilità nei siti di Google e Microsoft. Collabora con riviste di informatica e cura la rubrica tecnologica del quotidiano Il Messaggero. È il fondatore di Aranzulla.it, uno dei trenta siti più visitati d'Italia, nel quale risponde con semplicità a migliaia di dubbi di tipo informatico. Ha pubblicato per Mondadori e Mondadori Informatica.