Questo sito contribuisce alla audience di Il Messaggero

Come spiare WhatsApp gratis su Android

di

Considerando il fatto che la maggior parte delle conversazioni “virtuali” oggigiorno si svolge tramite WhatsApp, non sorprende assolutamente che a qualche malintenzionato o semplicemente a qualche utente eccessivamente apprensivo o impiccione possa venir voglia di spiare le chat altrui. In virtù di ciò, capire quali sono le tecniche usate principalmente per lo scopo in questione, che, è bene precisarlo, non richiedono neppure investimenti particolari, e, dunque, come fare per evitare di incappare in spiacevoli situazioni, è praticamente d’obbligo.

Se la cosa ti interessa, ti suggerisco vivamente di leggere questo mio tutorial, mediante il quale andrò ad affrontare l’argomento in maniera dettagliata, prendendo come punto di riferimento la versione della celebre app di messaggistica per la piattaforma mobile maggiormente diffusa tra l’utenza: Android.

Come dici? Vorresti saperne di più? Benissimo! Allora posizionati bello comodo, prenditi un po’ di tempo libero soltanto per te e comincia subito a concentrarti su questo articolo incentrato su come spiare WhatsApp gratis su Android. Tieni comunque presente che la guida è stata scritta a mero scopo illustrativo. Spiare le conversazioni di altre persone è un reato punibile dalla legge, pertanto non mi assumo alcuna responsabilità su come utilizzerai le informazioni contenute nell’articolo.

Indice

Informazioni preliminari

WhatsApp

Prima di entrare nel vivo del tutorial, andandoti a spiegare come spiare WhatsApp gratis su Android, è mio dovere fornirti alcune informazioni preliminari al riguardo, in modo tale da schiarirti il più possibile le idee.

Partiamo da un punto fermo: WhatsApp è un servizio sufficientemente sicuro grazie all’uso di TextSecure, il sistema di crittografia end-to-end sfruttato dalla famosa applicazione, per cui captare i messaggi che viaggiano sui suoi server tramite “sniffing” (una tecnica molto conosciuta che consiste, appunto, nel catturate tutti i dati che passano su una rete wireless tramite software appositi neppure troppo difficili da reperire, come ti ho spiegato in dettaglio nella mia guida sull’argomento) è un’impresa assai ardua.

La cifratura end-to-end funziona con una coppia di chiavi: una chiave privata, che risiede esclusivamente sullo smartphone dell’utente e serve a decifrare i messaggi ricevuti dall’esterno, e una chiave pubblica, la quale viene condivisa con l’interlocutore e viene impiegata da quest’ultimo per criptare i messaggi recapitati all’altro account (e vice versa).

Nel mezzo ci sono i server di WhatsApp, che agiscono come degli intermediari, ovvero ricevono i messaggi crittografati (quindi illeggibili sia per i gestori del servizio sia per eventuali malintenzionati) e li recapitano sul dispositivo del destinatario. Per maggiori dettagli, puoi leggere la mia guida su come crittografare WhatsApp.

Tutto il processo che ti ho appena descritto avviene direttamente in tempo reale e non richiede alcuna azione specifica da parte dell’utente. L’unica incognita sta nell’effettiva messa in pratica di questo sistema, in quanto WhatsApp è un software closed source, per cui non è possibile analizzarne a fondo il codice sorgente e, dunque, sapere con certezza assoluta come gestisce i messaggi.

Sempre a proposito della cifratura end-to-end, nel caso in cui non ne fossi a conoscenza, ti informo che questa è stata introdotta su WhatsApp a partire da novembre 2014, grazie ad una collaborazione tra il team della celebre app e gli sviluppatori di Open Whisper Systems.

Da alcuni test, come quello realizzato da Heise nell’aprile del 2015, è tuttavia emerso che la cifratura end-to-end veniva usata solo sulla versione Android di WhatsApp. In tutti gli altri casi, continuava ad essere sfruttato un sistema di cifratura basato sull’algoritmo RC4, funzionante solo in uscita e considerato non più sicuro da tempo. Ora, però, la situazione è cambiata: la cifratura end-to-end è stata resa disponibile per tutte le piattaforme su cui WhatsApp è fruibile e copre qualsiasi tipo di contenuto: messaggi, chat di gruppo, video, foto ecc.

Nonostante tutto ciò, esistono, purtroppo, altre tecniche che i malintenzionati possono valutare di sfruttare per spiare WhatsApp, sebbene siano molto più difficili da attuare e richiedano un contatto diretto con il dispositivo della vittima.

Come spiare WhatsApp gratis su Android

Usare WhatsApp in anonimo

Fatte le dovute precisazioni di cui sopra, veniamo al nocciolo della questione e andiamo a scoprire come fanno i malintenzionati a spiare WhatsApp gratis su Android. Trovi indicate quelle che sono le principali tecniche proprio qui di seguito.

In tutti i casi, tieni presente che si tratta sempre di tattiche di “social engineering” (ingegneria sociale), un’espressione che nel gergo tecnico sta ad indicare quelle attività che sfruttano la psicologia umana per mettere in atto un attacco informatico nei confronti di una data vittima.

Si tratta di sistemi che, nel caso specifico di WhatsApp, i malintenzionati possono valutare di adottare per spiare chat, contatti ecc., fingendosi un conoscente o comunque un soggetto affidabile, in modo tale da chiedere in prestito il dispositivo della vittima per un qualsiasi motivo plausibile (es. fare una telefonata) ma con il reale obiettivo di ficcare il naso dove non dovrebbero.

Usando app spia e di parental control

Sguardo

Un malintenzionato che riesce a mettere mano al telefono della vittima, può in primo luogo affidarsi all’uso di una delle tante app spia e per il parental control presenti su piazza, le quali, nella maggior parte dei casi, sono completamente invisibili e consentono anche di captare i messaggi che vengono digitati sulla tastiera del telefono.

Da notare che applicazioni di questo tipo sono diffuse allo scopo di sorvegliare lecitamente il telefono dell’utente di riferimento, in primo luogo per tenere d’occhio le attività dei bambini quando si servono dello smartphone o comunque per comandare il dispositivo a distanza e catturare screenshot da remoto. Considerando il loro funzionamento, però, trovano largo consenso anche tra i malintenzionati.

Tra le applicazioni di parental control più efficaci e semplici da usare attualmente disponibili ci sono, ad esempio, QustodioScreen Time e iKeyMonitor. Tutte, dopo essere state installate sullo smartphone della vittima, consentono di scoprire se e quando questa accede a WhatsApp e possono essere impiegate per limitare o bloccare l’uso dell’applicazione da remoto, come ti ho spiegato in dettaglio nel mio articolo su come spiare i cellulari Android.

Tieni altresì presente che quando un malintenzionato non può avere fisicamente accesso al telefono può provare ad installare app per il monitoraggio di un terminale altrui anche invitando la vittima a scaricare e installare la risorsa di cui ha bisogno tramite l’invio di link appositi, spacciandoli per altri contenuti.

Camuffando il MAC address

Smartphone Samsung

Il MAC address (acronimo di Media Access Control) è un indirizzo costituito da 12 cifre, il quale serve a identificare in maniera univoca ogni scheda di rete presente sui dispositivi connessi a Internet. Su Android è visibile nella sezione Impostazioni del dispositivo relativa alle Informazioni, come ti ho indicato nel mio post su come trovare il MAC address.

Conoscere il MAC address può essere utile per configurare al meglio la rete domestica, per impostare il funzionamento di uno specifico programma e per l’esecuzione di altre varie operazioni. I malintenzionati, tuttavia, possono anche cercare di sfruttarlo per spiare i dispositivi basati su Android e, di conseguenza, per spiare WhatsApp.

Nel caso specifico della nota app di messaggistica, camuffando il MAC address dello smartphone, usando delle applicazioni ad hoc, come ad esempio BusyBox e Mac Address Ghost (da notare che funzionano solo se è stato eseguito il root, procedura di cui ti ho parlato nella mia guida specifica sull’argomento), al fine di farlo apparire come quello di un altro telefono, un malintenzionato può “ingannare” WhatsApp e installare una copia dell’applicazione sul proprio telefono, per ricevere tutti i messaggi della vittima.

Per fortuna, però, si tratta di un’operazione piuttosto articolata e che necessita anche di parecchio tempo per essere portata a compimento.

Usando il numero di telefono della vittima

Uomo che usa smartphone Android

Un’altra tecnica che i malintenzionati possono valutare di usare per spiare WhatsApp gratis su Android consiste nello sfruttare il numero di telefono della vittima, installando la nota app sul proprio smartphone e facendo recapitare il codice d’attivazione sul cellulare della persona presa di mira, il quale, di conseguenza, deve essere almeno momentaneamente a portata di mano.

Va tuttavia tenuto conto che la tecnica è sì efficace, ma non funziona sul lungo termine, in quanto WhatsApp consente di associare i numeri di telefono solo a un dispositivo per volta. Per cui, attivando WhatsApp con lo stesso numero di cellulare su due telefoni, il primo smette poco dopo di funzionare e, di conseguenza, la vittima può accorgersi subito del fatto che il suo account viene sfruttato in maniera non autorizzata.

Usando WhatsApp Web/Desktop

WhatsApp Desktop

Oltre che essere disponibile sotto forma di app per Android (e iOS/iPadOS), WhatsApp è fruibile anche da Web, usando qualsiasi browser, e da computer, sotto forma di client per Windows e macOS. In questo caso specifico, però, va utilizzato lo smartphone come “ponte”, effettuando preventivamente la scansione dell’apposito codice QR che compare sullo schermo dalle impostazioni dell’app e spuntando l’opzione Resta connesso, come ti ho spiegato in dettaglio nella mia guida su come usare WhatsApp su PC.

Alla luce di ciò, un malintenzionato entrato temporaneamente in possesso dello smartphone della vittima su cui “gira” WhatsApp, dunque, potrebbe accedere al celebre servizio di messaggistica da computer con l’account della persona di riferimento e leggere in maniera indisturbata le conversazioni, anche una volta allontanato il cellulare dell’utente preso di mira, in quanto il sistema risulta funzionante anche se i dispositivi usati non sono connessi alla stessa rete e si trovano a distanza tra di loro.

Va comunque tenuto presente che, ad oggi, quando viene stabilito il collegamento con un dispositivo sconosciuto tramite la versione Web o quella per computer di WhatsApp, sullo smartphone viene inviata una notifica apposita indicate la cosa, per cui capire se è in corso qualche attività anomala non è poi così complicato.

Come evitare di farsi spiare WhatsApp

Icona WhatsApp su Android

Ora che hai finalmente capito come i malintenzionati possono riuscire a spiare WhatsApp gratis su Android, mi sembra giusto illustrarti anche e soprattutto come fare per evitare che questo possa accadere con il tuo account. Qui di seguito, dunque, trovi tutta una serie di utili “dritte” e di accorgimenti che ti invito seriamente a prendere in considerazione per non incappare in situazioni poco gradevoli.

  • Non prestare lo smartphone – può sembrare una banalità, ma il primo suggerimento che ti invito a prendere per buono per evitare che qualcuno possa spiare il tuo account WhatsApp è quello di non prestare il tuo smartphone, o almeno di non lasciarlo in mano a degli estranei o comunque a delle persone poco affidabili. Considerando che la maggior parte delle operazioni di “spionaggio”della celebre app di messaggistica vengono compiute proprio grazie all’accesso diretto al cellulare della vittima, è praticamente il minimo che puoi fare!
  • Non installare app sospette – se qualcuno ti ha invitato a scaricare un’app che promette di fare chissà cosa o se in Rete hai visto la pubblicità di un’applicazione con i “superpoteri”, stanne ben alla larga, in quanto, molto probabilmente, si tratta di una risorsa la cui finalità è ben diversa: spiare il contenuto dello smartphone o, ancor peggio, diffondere qualche malware. A questo proposito, ti suggerisco di installare solo e soltanto le app provenienti dal Play Store di Google. Ti consiglio, inoltre, di disattivare la funzione per l’installazione di contenuti provenienti da origini sconosciute (se attiva, ovviamente), accedendo al drawer di Android, selezionando l’icona di Impostazioni (quella con la ruota d’ingranaggio), facendo tap sulla voce relativa al blocco schermo e/o alla sicurezza e portando su OFF l’interruttore che trovi accanto alla voce Sorgenti sconosciute.
  • Usare un PIN sicuro per bloccare/sbloccare lo smartphone – se vuoi evitare che eventuali soggetti terzi non autorizzati possano mettere mano al contenuto del tuo smartphone e, dunque, anche a WhatsApp, ti suggerisco di impostare un PIN sicuro per sbloccare la lock screen dello smartphone oppure di abilitare un sistema di blocco/sblocco tramite impronta digitale, sequenza visiva, riconoscimento facciale o riconoscimento dell’iride, a seconda delle tecnologie supportate dal tuo dispositivo. Per impostare un PIN o un sistema alternativo di blocco/sblocco, ti basta accedere al drawer, selezionare l’icona di Impostazioni, fare tap sulla dicitura relativa al blocco schermo e/o alla sicurezza e su quella inerente il tipo di blocco dello schermo. Successivamente, scegli la tipologia di blocco da impostare e procedi con la relativa configurazione, seguendo la procedura guidata che viene proposta. Per maggiori dettagli, leggi la mia guida su come bloccare un telefono Android.
  • Attivare il Blocco schermo su WhatsApp – recentemente su WhatsApp è stata implementata una funzione che consente di bloccare l’accesso all’app tramite impronta digitale. Ti suggerisco di attivare questa funzione, in modo tale da impedire ad altre persone di accedere alle tue chat. Per fare ciò, dunque, apri WhatsApp sul tuo smartphone Android, seleziona il pulsante con i tre puntini in verticale che trovi nella parte in alto a destra della schermata principale dell’app, scegli la voce Impostazioni dal menu che si apre, fai tap sulla dicitura Account presente nella schermata successiva e poi su quella Privacy. In seguito, seleziona la voce Blocco con impronta digitale, sposta su ON il relativo interruttore, tocca il sensore dell’impronta e il gioco è fatto.
  • Disattivare la visualizzazione degli SMS nella lock screen – al fine di evitare che qualche malintenzionato possa attivare una copia “clonata” di WhatsApp recapitando un SMS di conferma sul tuo smartphone, ti suggerisco altresì di disabilitare la visualizzazione degli SMS nella lock screen. Così facendo, l’eventuale malintenzionato dovrà avere accesso completo al dispositivo per portare a compimento il suo piano e se il telefono risulta bloccato non riuscirà quindi nel suo intento. Per fare ciò, recati nel drawer di Android, seleziona l’icona di Impostazioni, poi la voce relativa al blocco schermo e/o alla sicurezza e quella Notifiche. In seguito, seleziona la dicitura relativa al contenuto su schermo bloccato e imposta l’opzione Nascondi contenuto.
  • Riattivare l’account in caso di disattivazione – se qualcuno ha attivato WhatsApp su un altro smartphone usando il tuo numero, il servizio smetterà di funzionare sul tuo cellulare. Per cui, qualora dovessi ritrovarti improvvisamente con l’account disattivato senza che tu abbia fatto nulla, mettiti immediatamente in contatto con il supporto di WhatsApp, mediante l’indirizzo email support@whatsapp.com, e segnala il fatto che molto probabilmente c’è qualcuno che sta tentando di rubare la tua identità.
  • Controllare le sessioni di WhatsApp Web – considerando il fatto che è possibile violare la privacy di un utilizzatore di WhatsApp anche sfruttando WhatsApp Web e Desktop, ti consiglio vivamente di tenere d’occhio le sessioni attive per il tuo account e di disattivare all’istante quelle sospette. Per fare ciò, apri WhatsApp sul tuo smartphone Android, fai tap sull’icona tre puntini in verticale posto nella parte in alto a destra della schermata principale dell’app e seleziona la voce WhatsApp Web. Dopo aver fatto ciò, verrà mostrato un elenco con l’icona dei dispositivi associati e la data e l’ora dell’ultimo utilizzo. Se trovi qualche accesso sospetto, disconnetti il relativo dispositivo, facendo tap sulla relativa icona e selezionando la voce Disconnetti nel riquadro che compare. Puoi anche disconnettere tutti i dispositivi in contemporanea, selezionando la voce Disconnetti da tutti i dispositivi e poi quella Disconnetti.
Salvatore Aranzulla

Autore

Salvatore Aranzulla

Salvatore Aranzulla è il blogger e divulgatore informatico più letto in Italia. Noto per aver scoperto delle vulnerabilità nei siti di Google e Microsoft. Collabora con riviste di informatica e cura la rubrica tecnologica del quotidiano Il Messaggero. È il fondatore di Aranzulla.it, uno dei trenta siti più visitati d'Italia, nel quale risponde con semplicità a migliaia di dubbi di tipo informatico. Ha pubblicato per Mondadori e Mondadori Informatica.