Questo sito contribuisce alla audience di Il Messaggero

Come spiare WhatsApp senza WhatsApp Web

di

Utilizzi WhatsApp ormai da un bel po’ di tempo e spesso ti chiedi quanto questo sia effettivamente affidabile in termini di privacy. Sino a qualche tempo fa, ad esempio, per spiare le conversazioni altrui si poteva usare WhatsApp Web (o il client di WhatsApp per computer): bastava banalmente mantenere la connessione aperta dopo aver stabilito un primo collegamento con lo smartphone della vittima, ma oggi, per fortuna, la situazione è cambiata e la versione online del servizio rende decisamente meno semplice la vita a chi vuole mettere a segno un’operazione del genere.

In virtù di quanto appena affermato, ti stai chiedendo se, ed eventualmente come spiare WhatsApp senza WhatsApp Web, in modo da difenderti anche da eventuali nuove minacce per la privacy legate alla celebre app di messaggistica. Non preoccuparti: se le cose stanno così, sappi che capiti proprio a fagiolo!

Con questa mia guida, infatti, desidero fare un po’ di chiarezza sulla questione e proverò a farti scoprire quali sono le principali tecniche alternative all’uso di WhatsApp Web impiegate dagli “spioni” per ficcare il naso nelle conversazioni WhatsApp altrui — perché sì, ci sono! — ma non temere, ti dirò anche come evitarle. Buona lettura!

Indice

Informazioni preliminari

Whatsapp logo

Prima di entrare nel vivo del tutorial, andandoti a indicare come spiare WhatsApp senza WhatsApp Web, ci sono alcune informazioni preliminari al riguardo che devi conoscere.

Partiamo da un presupposto fondamentale: WhatsApp può essere considerata una soluzione ragionevolmente sicura, per cui non è il caso di farsi paranoie circa il livello di sicurezza delle proprie comunicazioni, in special modo da quanto l’uso di WhatsApp Web (e del client per computer) non si presta più all’eventuale messa in atto di operazioni “losche” da parte dei malintenzionati. Ma andiamo con ordine.

Innanzitutto, sappi che dalla fine del 2014 WhatsApp, grazie a una collaborazione con gli sviluppatori di Open Whisper Systems, ha cominciato a usare un sistema di cifratura end-to-end, denominato TextSecure.

Questo sistema sfrutta una coppia di chiavi: una pubblica, che viene condivisa con il proprio interlocutore e una privata, che risiede sullo smartphone di ogni singolo utente. Grazie a questa coppia di chiavi i messaggi viaggiano dallo smartphone ai server di WhatsApp in modo cifrato e possono essere letti solo dai legittimi mittenti e destinatari, come ti ho spiegato in modo più approfondito nella mia guida su come crittografare WhatsApp.

Essendo però WhatsApp un software closed source, non è possibile esaminare il contenuto del suo codice sorgente. Di conseguenza, non è possibile escludere in maniera assoluta la presenza di falle o errori nell’implementazione del sistema TextSecure.

A tal proposito, in base ad alcuni test, come quello condotto da Heise nel 2015, è emerso che in quel periodo la cifratura end-to-end veniva usata solo sulla versione Android di WhatsApp, mentre in tutti gli altri casi continuava a essere impiegato un sistema basato sull’algoritmo RC4, funzionante esclusivamente in uscita e ritenuto poco affidabile da tempo. La situazione attuale, tuttavia, non è più quella dell’epoca e la cifratura end-to-end viene usata su tutte le piattaforme su cui è fruibile WhatsApp.

Proprio in base a quanto appena affermato, sino a non molto tempo fa il sistema più “gettonato” dagli hacker per spiare le conversazioni WhatsApp altrui consisteva nello usare WhatsApp Web, facendosi prestare lo smartphone dalla vittima con una qualsiasi scusa e usando per avviare la versione online del celebre servizio di messaggistica.

WhatsApp Web, infatti, consente di leggere e inviare messaggi da computer usando lo smartphone come “ponte”, senza che questo debba restare necessariamente nei paraggi del PC. Basta aprire l’app di WhatsApp sul cellulare e scansionare il codice QR che viene mostrato sullo schermo del PC, come ti ho spiegato in dettaglio nella mia guida specifica su come usare WhatsApp su PC. Inoltre, mediante la funzione che permette di restare connessi si può memorizzare l’identità dell’utente senza dover effettuare la scansione del QR code a ogni collegamento.

Attualmente, però, l’uso di WhatsApp Web non non viene più considerato un sistema valido ai fini dello “spionaggio” altrui, in quanto WhatsApp invia notifiche relative all’accesso ed è richiesta l’identificazione biometrica: questo significa che è praticamente impossibile accedere al servizio senza espresso consenso dell’utente da eventualmente spiare.

Come spiare WhatsApp senza WhatsApp Web

A questo punto, direi che possiamo finalmente entrare nel vivo del tutorial e andare a scoprire, dunque, come fanno i malintenzionati a spiare WhatsApp senza WhatsApp Web. Trovi segnalate proprio qui di seguito quelle che sono le principali tecniche utilizzate a tale scopo.

Tecniche di social engineering

Smartphone

Uno tra i sistemi più diffusi dai malintenzionati per spiare WhatsApp senza WhatsApp Web consiste nell’usare quelle che vengono definite tecniche di social engineering (ingegneria sociale) e prevedono il raggiro della vittima, al fine di accedere ai suoi dati. In altre parole, è quando un malintenzionato riesce a raggiungere il suo obiettivo ingannando la vittima di turno con delle scuse che possono essere più o meno banali.

Un esempio pratico di social engineering è quando il malintenzionato, usando una scusa a hoc, riesce a farsi prestare lo smartphone dalla vittima e sfrutta la situazione per leggere le sue conversazioni WhatsApp o, addirittura, per installare delle applicazioni tramite le quali poter monitorare il dispositivo e WhatsApp da remoto.

App per il parental control, antifurto e spia

Come hackerare un account Facebook

Altri strumenti assai diffusi per spiare WhatsApp senza WhatsApp Web sono tutte quelle app sviluppate per scopi leciti che consentono di monitorare ciò che succede sullo smartphone e che, di conseguenza, si prestano bene a essere usate anche da parte dei malintenzionati.

Tra le soluzioni appartenenti alla suddetta categoria rientrano le app per il parental control, come Qustodio, che è fruibile sia su Android che su iOS e Screen Time, disponibile anch’essa sia per Android che per iOS, che consentono sia di monitorare che di limitare l’uso di diverse applicazioni, tra cui WhatsApp. Non vanno a registrare ciò che viene digitato sulla tastiera del cellulare e neppure a catturare i messaggi su WhatsApp, ma se configurate a dovere possono risultare decisamente invasive. A renderle ancora più appetibili è il fatto che i loro prezzi sono contenuti e si possono provare gratis.

Anche le app antifurto, vale a dire quelle che consentono di localizzare i cellulari e di comandare lo smartphone da remoto, possono chiaramente tornare per spiare le chat WhatsApp altrui. Soluzioni del genere vengono fornite con funzionalità basilari dagli stessi produttori di cellulari, ma ci sono pure soluzioni di terze parti, come quelle che ti ho segnalato nel mio tutorial sui programmi per localizzare cellulari, che offrono feature più avanzate.

Ci sono poi le app spia, ovvero delle applicazioni concepite con il preciso intento di spiare tutte le attività che vengono svolte sul cellulare, inclusi i messaggi scambiati su WhatsApp, ma non solo. Si tratta di strumenti altamente pericolosi e che tra le altre cose possono essere camuffati agli occhi dell’utente. Tra le più famose della categoria c’è iKeyMonitor. Fortunatamente, però, non si tratta di app alla portata di tutti e, inoltre, sono molto costose e si possono usare solo sui dispositivi su cui è stato effettuato il root o il jailbreak.

Servizi per monitorare gli accessi

Spiare

Sempre in merito alla tematica oggetto del tutorial, mi sembra doveroso metterti al corrente del fatto che esistono alcuni servizi per monitorare gli accessi a WhatsApp, fruibili sotto forma di app oppure dal browser, che permettono di ottenere il dato in questione semplicemente digitando il numero di telefono della persona di tuo interesse.

Non richiedono un accesso fisico allo smartphone della vittima e non ci si può difendere contro la loro azione, in quanto gli orari di accesso a WhatsApp sono dati pubblici in fin dei conti, ma per fortuna non agiscono in altro modo.

Nella maggior parte dei casi, servizi di questo tipo si possono usare gratis, anche se alcune funzionalità avanzate, come può esserlo l’esportazione dei dati ottenuti, sono disponibili solo previo pagamento. Inoltre, bisogna mettere in conto che di tanto in tanto soluzioni del genere smettono di funzionare correttamente o, addirittura, del tutto.

Clonazione del MAC address

Smartphone

Tra le tecniche che possono consentire a un malintenzionato di spiare WhatsApp senza WhatsApp Web c’è pure la clonazione del MAC address del cellulare della vittima. Se non sai di che cosa si tratta, il MAC address è un codice di 12 cifre che va a identificare in modo univoco le schede di rete dei computer e di tutti i dispositivi in grado di connettersi a Internet.

Installando delle applicazioni apposite sul proprio smartphone, un malintenzionato può camuffare il suo MAC address e “far credere” a WhatsApp che si sta usando un altro cellulare (quello della persona da spiare). Fortunatamente non si tratta di una procedura facilmente attuabile, anche perché richiede che il malintenzionato debba passare molto tempo a contatto con il cellulare della persona presa di mira.

Per fare un esempio pratico, se un malintenzionato sta usando un cellulare Android, deve avere in primis sbloccato il dispositivo e deve avere installato delle applicazioni che consentono di modificare il MAC address (es. BusyBox e Mac Address Ghost, di cui ti ho parlato più specificamente nella mia guida su come clonare WhatsApp). In seguito, deve preoccuparsi di scoprire il MAC address del cellulare della vittima (che è reperibile nella schermata Info delle Impostazioni di Android), deve impostare il dato ottenuto sul proprio device, installare WhatsApp e attivare l’applicazione mediante il numero del soggetto da spiare.

Come evitare di farsi spiare WhatsApp senza WhatsApp Web

Ragazzo con iPhone

Come ti avevo anticipato in apertura, per completezza d’informazione mi sembra doveroso indicarti anche come evitare di farsi spiare WhatsApp senza WhatsApp Web. Qui sotto, dunque, trovi tutta una serie di utili “dritte” al riguardo.

  • Mantieni WhatsApp aggiornato — scaricare sempre gli ultimi aggiornamenti disponibili per WhatsApp consente di aggirare eventuali falle che gli hacker potrebbero individuare e usare per mettere a soqquadro il tuo account. Per maggiori dettagli a tal proposito, leggi la mia guida su come aggiornare WhatsApp.
  • Non usare le reti Wi-Fi pubbliche — la cifratura end-to-end non dovrebbe rendere possibile lo sniffing delle reti wireless (una tecnica che consiste nel catturate tutti i dati che passano su una rete Wi-Fi tramite software appositi), ma a fronte di un maggior grado si sicurezza ti consiglio di evitare di collegare il tuo cellulare a reti Wi-Fi pubbliche e/o a reti che non dispongono di protezioni adeguate. Molto meglio usare la rete 3G/4G/5G della propria SIM. Se poi proprio non puoi fare a meno di usare una rete altrui, utilizza un servizio VPN. A questo proposito, ti consiglio servizi come NordVPN (di cui ti ho parlato meglio qui) e Surfshark (che ti ho invece presentato in questa guida). Maggiori informazioni qui.
  • Disconnetti i dispositivi da WhatsApp — se hai il sospetto che qualcuno stia usando il tuo account WhatsApp senza il tuo consenso, puoi facilmente far fronte alla cosa chiudendo tutti gli accessi attualmente attivi sul servizio. Facendo in questo modo, per continuare a leggere i messaggi da altri dispositivi verrà richiesta nuovamente la scansione del QR code. Per scoprire in che maniera riuscirci, leggi la mia guida specifica su come disconnettere WhatsApp Web.
  • Attiva il blocco schermo su WhatsApp — probabilmente non lo sapevi, ma WhatsApp include una funzione che permette di bloccare l’accesso all’app tramite volto o impronta digitale e che risulta essere utilissima per impedire a persone non autorizzate di accedere alle conversazioni altrui. Per capire come abilitare questa funzione, leggi la mia guida su come mettere il blocco su WhatsApp.
  • Configura un PIN sicuro — evitare che eventuali malintenzionati mettano mano al tuo cellulare e, di conseguenza, anche a WhatsApp è una cosa fattibile andando a impostare un PIN sufficientemente sicuro per il dispositivo. La maggior parte dei dispositivi consente anche di configurare lo sblocco andando a impostare l’uso dell’impronta digitale e quella del volto. Per approfondimenti, consulta il mio post su come bloccare lo schermo.
  • Disattiva la visualizzazione degli SMS nel blocco schermo — con la clonazione del MAC address del cellulare un malintenzionato può attivare WhatsApp sul proprio telefono usando il suo numero. Per riuscirci, però, deve essere in grado di leggere il codice di verifica fornito tramite SMS sul tuo cellulare. Per cui, andando a disabilitare la visualizzazione degli SMS nella lock screen puoi impedire “a monte” che possano verificarsi situazioni di questo tipo. Se non sai come riuscirci, consulta il mio post su come non far vedere i messaggi sul blocco schermo.
  • Verifica la presenza di app spia — se pensi che ci siano delle app spia sul tuo smartphone, accedi alla lista delle applicazioni installate sul dispositivo per verificare la cosa e, ovviamente, sbarazzatene quanto prima. Per capire in che modo riuscirci, consulta il mio post su come eliminare software spia dal cellulare.
  • Riattiva l’account se disattivato — se un malintenzionato ha attivato WhatsApp su un altro dispositivo con il tuo numero di telefono, non potrai più usufruirne sul tuo cellulare. Per cui, se il tuo account viene disattivato, rivolgiti immediatamente all’assistenza di WhatsApp per segnalare il “misfatto”. Per maggiori dettagli, leggi il mio tutorial su come contattare WhatsApp.

Nota: questo tutorial è stato pubblicato a mero scopo illustrativo. Spiare l’account WhatsApp altrui è un reato punibile dalla legge e io non mi assumo alcuna responsabilità circa l’utilizzo che farai delle informazioni riportate di seguito.

Salvatore Aranzulla

Autore

Salvatore Aranzulla

Salvatore Aranzulla è il blogger e divulgatore informatico più letto in Italia. Noto per aver scoperto delle vulnerabilità nei siti di Google e Microsoft. Collabora con riviste di informatica e cura la rubrica tecnologica del quotidiano Il Messaggero. È il fondatore di Aranzulla.it, uno dei trenta siti più visitati d'Italia, nel quale risponde con semplicità a migliaia di dubbi di tipo informatico. Ha pubblicato per Mondadori e Mondadori Informatica.