Questo sito contribuisce alla audience di Il Messaggero

Come spiare WhatsApp iPhone

di

Hai appena acquistato il tuo primo iPhone, stai cominciando a comunicare con i tuoi amici tramite WhatsApp e temi che qualcuno possa ficcare il naso nei tuoi messaggi senza che tu te ne accorga? Sei in buona compagnia, credimi!

Ogni giorno ricevo decine di messaggi da parte di amici, lettori e conoscenti che mi chiedono se è possibile spiare WhatsApp iPhone, se quest’applicazione è davvero così sicura come vogliono farci credere o se c’è qualcosa (anzi qualcuno) di cui dobbiamo aver paura1. Rispondere a una domanda del genere non è affatto semplice. Di sicuro richiede un po’ di tempo, quindi se sei d’accordo direi di prenderci qualche minuto di tempo e di affrontare la questione insieme.

Continua a leggere: cercheremo di scoprire quali sono i possibili rischi di privacy a cui andiamo incontro usando WhatsApp, impareremo a riconoscere i tentativi di spionaggio dei malintenzionati e, soprattutto, vedremo quali mosse mettere in atto per mantenere le nostre conversazioni al lontano da occhi indiscreti (entro i limiti del possibile). Mi auguro che tu possa trovare l’argomento stimolante al punto giusto e i suggerimenti che sto per darti abbastanza interessanti. Buona lettura!

Indice

Sniffing delle reti Wi-Fi

Come spiare WhatsApp iPhone

Hai mai sentito parlare di Wireshark? Si tratta di un software gratuito che permette di monitorare le reti Wi-Fi e “catturare” tutti i dati che circolano su di esse. Se ricordi, te ne ho parlato anch’io nel mio tutorial su come sniffare le reti wireless. Ebbene, utilizzando un programma come Wireshark, i criminali informatici potrebbero essere in grado di captare le comunicazioni di WhatsApp e spiarle senza il permesso dell’utente.

Purtroppo noi utenti non possiamo fare nulla per contrastare questo tipo di minaccia; l’unico accorgimento che possiamo mettere in pratica è evitare l’utilizzo di reti Wi-Fi pubbliche (che come noto sono il terreno di caccia preferito dai ficcanaso), ma per fortuna catturare le conversazioni di WhatsApp tramite lo sniffing delle reti wireless non dovrebbe essere semplicissimo.

Alla fine del 2014, infatti, gli sviluppatori di Open Whisper Systems hanno annunciato che WhatsApp avrebbe adottato la loro tecnologia di cifratura end-to-end (TextSecure) per rendere più sicure le comunicazioni degli utenti. La cifratura end-to-end è un sistema mediante il quale i dati viaggiano in maniera cifrata da un punto all’altro senza che nessuno, eccetto i legittimi mittenti e destinatari, possa leggerne il contenuto.

Funziona con un meccanismo basato sull’utilizzo di due chiavi: una pubblica che viene condivisa con il proprio interlocutore e serve a cifrare i messaggi inviati e una privata, che invece risiede sullo smartphone di ogni utente e permette di decifrare i messaggi che si ricevono. Il fatto che le chiavi risiedano sui dispositivi degli utenti e non sui server di WhatsApp (sui quali i messaggi arrivano in forma cifrata) rende questo sistema molto sicuro, ma purtroppo ci sono delle incognite che non ci permettono di dormire sonni completamente tranquilli.

Nell’aprile 2015 un team di sicurezza informatica tedesco aveva condotto alcuni test su WhatsApp, scoprendo che solo le comunicazioni da e verso i terminali Android utilizzavano la cifratura end-to-end. Sulle altre piattaforme veniva utilizzato un sistema di cifratura basato sull’algoritmo RC4, oggetto di diverse vulnerabilità e permette, potenzialmente, ai criminali informatici di captare i messaggi degli utenti tramite sniffing wireless.

Ora la situazione è decisamente cambiata, in quanto tutte le piattaforme adottano la cifratura end-to-end, ma c’è un altro fattore da tenere in considerazione: essendo un software closed source, di cui non possiamo analizzare il codice sorgente, non siamo in grado di determinare fino a che punto la cifratura end-to-end è stata implementata correttamente su WhatsApp. Questo ci impedisce, quindi, di verificare che la cifratura funzioni nel modo corretto su tutte le piattaforme, se è stata disattivata in alcune nazioni su pressione degli enti governativi e così via.

Quindi? Beh, come già detto, evitiamo di usare reti Wi-Fi pubbliche. O in alternativa smettiamo di usare WhatsApp in favore di applicazioni per la messaggistica open source che supportano in maniera trasparente la cifratura end-to-end.

Applicazioni-spia

Come spiare WhatsApp iPhone

Come abbiamo visto insieme nell’articolo sulle applicazioni-spia per i cellulari, esistono molti software che consentono di registrare e monitorare continuamente le attività che svolgiamo sui nostri smartphone.

Si tratta di software spesso invisibili, che per fortuna richiedono un accesso fisico al telefono della vittima per essere installati, ma una volta entrati in funzione possono spiare WhatsApp iPhone e qualsiasi altra attività svolta sul dispositivo senza destare alcun sospetto.

Se temi che il tuo “melafonino” sia stato “infettato” con una di queste app, mi spiace, ma l’unica soluzione che hai per liberartene è formattare lo smartphone. Per farlo, puoi andare nel menu Impostazioni > Generali > Ripristina di iOS e selezionare l’opzione Inizializza contenuto e impostazioni o rivolgerti a iTunes (come ti ho spiegato nel mio tutorial su come resettare iPhone).

Furto d’identità

Come spiare WhatsApp iPhone

Un altro rischio da cui devi stare in guardia è quello relativo al furto d’identità. Sfruttando dei trucchetti psicologici (il cosiddetto social engineering), dei malintenzionati potrebbero entrare momentaneamente in possesso del tuo iPhone e “clonare” il tuo account di WhatsApp ottenendo così libero accesso alle tue conversazioni.

Fra le tecniche più insidiose sfruttate dai criminali informatici per rubare l’identità degli utenti su WhatsApp c’è quella che coinvolge WhatsApp Web.

Come sicuramente ben saprai — e come ti ho spiegato anche nel mio tutorial su WhatsApp per PC — WhatsApp Web è un servizio online che permette di inviare e ricevere messaggi su WhatsApp tramite computer sfruttando lo smartphone come “ponte”.

Per accedervi basta scansionare con il cellulare un QR code che compare sullo schermo del PC e bisogna mantenere lo smartphone connesso a Internet: non importa a quale rete, Wi-Fi o 3G/LTE va bene lo stesso, basta che ci sia una connessione attiva sul telefono. Ed è qui che viene il “bello”.

Un malintenzionato potrebbe entrare in possesso del tuo iPhone, usarlo per accedere a WhatsApp Web e barrare la casella Resta connesso che permette al browser di memorizzare l’identità dell’utente, e quindi evitare la scansione del QR code per gli accessi successivi. Ad operazione effettuata, lo “spione” potrebbe accedere alle tue chat tramite WhatsApp Web.

Se sospetti che qualcuno stia ficcando il naso nelle tue conversazioni tramite WhatsApp Web, apri WhatsApp, seleziona la scheda Impostazioni che si trova in basso a destra, fai tap sulla voce WhatsApp Web/Desktop e pigia prima su Disconnetti da tutti i dispositivi e poi su Disconnetti. In questo modo tutti i device che hanno l’accesso al tuo account perderanno la connessione e verrà chiesta nuovamente la scansione del QR code (operazione che, a quel punto, la persona che ti spia non potrà effettuare perché non in possesso del tuo “melafonino”).

Dal momento che le ultime versioni di WhatsApp inviano notifiche quando viene effettuato l’accesso al proprio account tramite WhatsApp Web, tieni sempre d’occhio le notifiche che arrivano sul tuo iPhone. Al momento questa feature sembra riservata ai device Android, ma la situazione potrebbe cambiare da un momento all’altro, offrendo così un’arma in più per fermare sul nascere eventuali intrusioni.

Altra tecnica — decisamente più lunga, complessa e “raffinata” — che potrebbe consentire a un malintenzionato di spiare WhatsApp iPhone è la clonazione del MAC address.

Il MAC address è un codice di 12 cifre che serve a identificare in maniera univoca tutti i dispositivi in grado di connettersi a Internet. WhatsApp lo utilizza, insieme al numero di telefono, per identificare i suoi utenti, quindi camuffandolo è possibile ingannare l’applicazione e accedere all’account di un’altra persona.

Per essere precisi, lo “spione” di turno dovrebbe effettuare il jailbreak sul suo iPhone (o il root su Android), installare delle applicazioni per il camuffamento del MAC Address (es. BusyBox e Mac Address Ghost su Android o SpoofMAC su iPhone) ed entrare in possesso del telefono della vittima.

Dopodiché dovrebbe visualizzare il MAC address del telefono da spiare (andando nel menu Impostazioni > Generali > Info), applicarlo sul suo, installare una nuova copia di WhatsApp e attivarla usando il numero della vittima.

Ripeto, la procedura è molto lunga e complessa, ma è bene conoscerla per rendersi conto di quando qualcuno tenta di metterla in pratica. Mi chiedi se esistono dei modi per difendersi? Certo.

Visto che per effettuare un furto d’identità su WhatsApp bisogna accedere fisicamente allo smartphone della vittima, la cosa più saggia che puoi fare è proteggerti mettendo in pratica tutti quei consigli di buonsenso che avrai già sentito mille volte.

  • Non prestare il tuo iPhone a sconosciuti e non lasciarlo incustodito in luoghi pubblici.
  • Imposta un PIN di sblocco che sia difficile da indovinare. Se non sai come si fa, basta andare nel menu Impostazioni > Face ID e codice o Touch ID e codice, inserisci il codice impostato attualmente e seleziona la voce Cambia codice. Maggiori info qui.
  • Impedisci la visualizzazione degli SMS nella lock-screen, in modo da tutelare la tua privacy ed evitare che qualcuno possa leggere il codice di verifica di WhatsApp senza sbloccare il telefono. Se non sai come si fa, recati nel menu Impostazioni > Notifiche > Messaggi e togli il segno di spunta dalla voce Blocco schermo.

 

 

Salvatore Aranzulla

Autore

Salvatore Aranzulla

Salvatore Aranzulla è il blogger e divulgatore informatico più letto in Italia. Noto per aver scoperto delle vulnerabilità nei siti di Google e Microsoft. Collabora con riviste di informatica e cura la rubrica tecnologica del quotidiano Il Messaggero. È il fondatore di Aranzulla.it, uno dei trenta siti più visitati d'Italia, nel quale risponde con semplicità a migliaia di dubbi di tipo informatico. Ha pubblicato per Mondadori e Mondadori Informatica.