Come spiare le chat di WhatsApp
Anche se in passato mi sono già occupato dell’argomento (e non solo una volta), continuo a ricevere richieste da parte di amici che mi chiedono consigli relativi alla sicurezza di WhatsApp. La maggior parte delle persone mi chiede se è davvero possibile spiare le chat di WhatsApp, se le attività di hacking degli account sono un rischio concreto e, soprattutto, se c’è un modo per difendersi da queste ultime.
Mi sembra, dunque, opportuno tornare sulla questione e fare un nuovo punto della situazione in cui analizzare, insieme, quali sono i rischi principali a cui andiamo incontro utilizzando WhatsApp per le nostre comunicazioni (qualcuno ce n’è, inutile negarlo) e come possiamo impedire che gli “spioni” ficchino il naso nelle nostre conversazioni private.
I pericoli più “attuali” sono rappresentati dal furto d’identità e dall’utilizzo di applicazioni-spia in grado di monitorare tutte le attività svolte sul telefono, quindi anche su WhatsApp, ma non bisogna trascurare nemmeno il rischio che qualcuno possa “sniffare” le reti wireless a cui colleghiamo i nostri smartphone sfruttando vulnerabilità non ancora note dell’applicazione. Per maggiori dettagli continua a leggere: analizzeremo queste minacce una ad una. Ti auguro una buona lettura.
Indice
- Spiare le chat di WhatsApp tramite furto d’identità
- Spiare le chat di WhatsApp con le applicazioni-spia e di parental control
- Spiare le chat di WhatsApp "sniffando" le reti wireless
- Come proteggersi da chi spia le chat di WhatsApp
Spiare le chat di WhatsApp tramite furto d’identità
Come ti ho già anticipato nell’introduzione di quest’articolo, una delle tecniche più efficaci mediante le quali i criminali informatici possono spiare le chat di WhatsApp ha a che fare con il furto d’identità.
Detto in termini spiccioli, rubare l’identità di un utente significa ingannare i sistemi di protezione di WhatsApp e far credere all’applicazione che chi utilizza il servizio è un utente legittimo, e non un malintenzionato intento a spiare comunicazioni che non avrebbe il diritto di leggere.
Ci sono vari modi in cui i criminali informatici possono sottrarre l’identità di un utente. Una di queste non prevede conoscenze tecniche avanzate da parte del malintenzionato e consiste nell’utilizzo di WhatsApp Web, noto servizio online che permette di usare WhatsApp su PC.
WhatsApp Web permette di utilizzare WhatsApp sul computer semplicemente visitando una pagina Web e inquadrando un codice QR con la fotocamera dello smartphone. Quello che lo rende potenzialmente pericoloso è che permette di salvare l’identità dell’utente (mettendo il segno di spunta accanto alla voce Resta connesso non viene richiesta la scansione del codice QR per gli accessi successivi) e che funziona anche quando il telefono non è connesso alla stessa rete wireless del PC (può essere connesso anche alla rete 3G/LTE, quindi può anche trovarsi lontano dal computer).
In termini pratici, questo significa che un malintenzionato potrebbe sottrarti lo smartphone con una scusa banale (es. la necessità di effettuare una chiamata urgente), utilizzarlo per accedere a WhatsApp Web sul proprio computer (o sul proprio tablet, basta attivare la modalità di visualizzazione desktop del browser) e ottenere un accesso continuativo ai tuoi messaggi.
Bisogna riconoscere, comunque, che nelle versioni più recenti dell’app di WhatsApp è stato implementato un sistema di notifica che permette all’utente di sapere in tempo reale se vengono effettuati nuovi accessi a WhatsApp Web e, quindi, perpetrare questa tecnica di spionaggio è diventato un po’ più difficile (per fortuna).
Inoltre, fortunatamente, tale sistema è stato reso ancora più difficile da attuare, nel caso in cui sul proprio smartphone/tablet sia stato precedentemente attivato un sistema di sblocco tramite riconoscimento del volto o con l’impronta digitale. In questo caso, infatti, anche avendo accesso all’app di WhatsApp e, quindi, a smartphone sbloccato, per accedere a WhatsApp Web/Destkop viene richiesta la conferma con un metodo di autenticazione biometrico.
Un’altra tecnica — decisamente più raffinata — tramite la quale viene perpetrato il furto d’identità su WhatsApp riguarda la clonazione del MAC address del telefono della persona da spiare. Nel caso in cui non lo sapessi, il MAC address è un codice di 12 cifre che permette di identificare in maniera univoca tutti i dispositivi in grado di connettersi a Internet, come smartphone, tablet, schede di rete, etc. e WhatsApp lo utilizza, insieme al numero di telefono, per identificare i suoi utenti impedendo loro di utilizzare l’applicazione su più di un cellulare alla volta.
Ora, se un criminale informatico riesce a entrare in possesso del tuo smartphone a scoprire il MAC address del dispositivo (operazione che si può effettuare in maniera semplicissima recandosi nel menu Impostazioni > Info di qualsiasi cellulare) può utilizzare delle applicazioni ad hoc per camuffare il MAC address del proprio smartphone (es. MAC Address Ghost e BusyBox su Android e SpoofMAC su iPhone), farlo comparire uguale a quello del tuo e installare una copia “clonata” di WhatsApp in grado di dargli accesso alle tue comunicazioni.
Per fortuna si tratta di una procedura abbastanza lunga da portare a termine e che richiede una discreta abilità con i mezzi informatici. Non è alla portata di tutti, ma è bene conoscerla per evitare di caderne vittima. Te ne ho parlato in maniera più approfondita nel mio post su come clonare WhatsApp.
Spiare le chat di WhatsApp con le applicazioni-spia e di parental control
Altra minaccia a cui devi stare particolarmente attento sono le applicazioni-spia e le app di parental control. Come suggerisce il loro nome, una volta installate sul telefono, queste app sono in grado di registrare tutte le attività svolte dall’utente: catturano screenshot, memorizzano tutti i testi digitati sulla tastiera del dispositivo, comprese le password e i dati delle carte di credito.
Tra le app di questo tipo, ti segnalo mSpy, un’applicazione di controllo parentale all’avanguardia per dispositivi Android e iPhone. Offre funzioni di keylogger, registrazione schermo, localizzazione GPS e di monitoraggio di SMS, app di messaggistica e social network, tra cui proprio WhatsApp (ma anche Facebook Messenger, Instagram, Snapchat, Telegram, iMessage e altre).
Per usufruire dell’app, gli utenti Android devono eseguire il root, mentre gli utenti iPhone devono ricorrere al jailbreak (o procedere tramite i backup di iCloud, previa accesso con le credenziali d’accesso dell’ID Apple associato al dispositivo spiato).
mSpy è disponibile in versione di prova gratuita (e con una demo sul sito ufficiale), dopodiché è necessario sottoscrivere piani mensili, trimestrali o annuali per accedere a tutte le sue funzionalità. Per ulteriori dettagli, leggi le mie guide su come funziona mSpy e come installare mSpy senza telefono e visita il sito ufficiale di mSpy.
Come puoi evitare che qualcuno installi delle applicazioni-spia sul tuo smartphone e controlli le tue chat? La prima cosa che devi fare è quella di non prestare lo smartphone a nessuno (o, quantomeno, non darlo a sconosciuti o persone di cui non ti fidi). Inoltre, ti sconsiglio di effettuare il root sul tuo smartphone Android o il jailbreak sul tuo iPhone: queste procedure di sblocco, infatti, renderebbero più vulnerabili i tuoi dispositivi.
Se vuoi verificare che sul tuo telefono non siano installate app-spia, recati in Impostazioni > App > Tutte (su Android) oppure in Impostazioni > Generali > Spazio libero iPhone (su iPhone) e verifica quali applicazioni sono installate attualmente. Tieni conto, però, che molte applicazioni-spia si nascondono e il loro nome non viene mostrato nei menu dei dispositivi. Come puoi individuarle? Tramite alcuni codici speciali che trovi elencati anche qui sotto.
- Avvia il browser del tuo cellulare e prova a collegarti agli indirizzi localhost:4444 o localhost:8888: questi, infatti, vengono di solito utilizzati da molte applicazioni-spia per nascondere il proprio pannello di configurazione.
- Avviare il dialer, digitare il codice *12345, così da verificare la presenza di eventuali app-spia ed eventualmente il loro pannello di configurazione.
- Se il tuo smartphone Android è stato sottoposto al root, avvia SuperUser/SuperSU e verifica la presenza di eventuali app-spia tra quelle che hanno ottenuto i permessi di root e, in caso affermativo, revoca subito i permessi in questione.
- Se il tuo iPhone è stato sottoposto al root, apri Cydia e verifica se nei pacchetti installati ce ne sono alcuni riconducibili ad app spia.
Se, seguendo le procedure riportate sopra, riesci ad appurare che il tuo device è controllato da delle app-spia, formatta il device e cancellare tutti i dati presenti in esso, magari aiutandoti con le guide in cui spiego come resettare Android e come resettare iPhone. Per maggiori informazioni su come togliere software-spia dal cellulare, leggi l’approfondimento che ti ho appena linkato.
Spiare le chat di WhatsApp “sniffando” le reti wireless
In molti mi hanno chiesto se utilizzando applicazioni per lo sniffing wireless, come ad esempio Wireshark (di cui ti ho parlato nel mio post su come sniffare una rete wireless), è possibile spiare le chat di WhatsApp. La risposta è no, o almeno si spera!
Dalla fine del 2014, WhatsApp ha adottato un sistema di cifratura end-to-end (da punto a punto) denominato TextSecure che permette di leggere i messaggi solo ai legittimi mittenti e destinatari. Le comunicazioni arrivano in maniera cifrata sui server del servizio e possono essere decifrate solo mediante una coppia di chiavi, una pubblica che viene condivisa con i propri interlocutori e cifra i messaggi inviati e una privata che, invece, risiede sullo smartphone e permette di decifrare le comunicazioni in entrata. Purtroppo, però purtroppo non possiamo essere sicuri della sua implementazione.
Nell’aprile del 2015, alcuni ricercatori hanno pubblicato uno studio secondo il quale solo le comunicazioni da e verso Android venivano cifrati da WhatsApp usando il sistema end-to-end. I messaggi provenienti o indirizzati ad altre piattaforme software venivano protetti utilizzando un sistema di cifratura basato sull’algoritmo RC4, che è notoriamente vulnerabile e quindi espone maggiormente le comunicazioni degli utenti agli attacchi di sniffing wireless.
Successivamente, la cifratura end-to-end è arrivata anche su iOS e altre piattaforme, ma non possiamo sapere se la sua implementazione sia avvenuta a regola d’arte. WhatsApp, infatti, è un’applicazione closed source e quindi non possiamo analizzare a fondo il suo codice sorgente. Questo significa che non possiamo sapere se c’è stato qualche errore nell’implementazione del sistema TextSecure, se la cifratura funziona sempre, se in qualche nazione è stata disattivata su richiesta dei governi locali e così via.
In linea di massima, se la cifratura end-to-end viene utilizzata sempre, su tutte le piattaforme e senza errori, possiamo affermare che i messaggi scambiati su WhatsApp sono ragionevolmente al sicuro dagli attacchi di sniffing wireless. Ma purtroppo bisogna tenere in considerazione tutte le “incognite” di cui sopra. Per dormire sonni ragionevolmente tranquilli, ti consiglio di evitare di collegarti a reti Wi-Fi pubbliche.
Come proteggersi da chi spia le chat di WhatsApp
Arrivati a questo punto, viene spontaneo chiedersi come proteggersi da tutte queste possibili minacce e come evitare che qualche malintenzionato possa ficcare il naso nelle nostre conversazioni WhatsApp. La risposta è sempre la “solita”: avere un po’ di buonsenso.
Come abbiamo appena visto insieme, per commettere il furto d’identità e per installare applicazioni-spia è quasi sempre necessario un accesso fisico allo smartphone della vittima. Questo significa che evitando di prestare il telefono a sconosciuti, non lasciando il cellulare incustodito e impostando un PIN sicuro puoi già ridurre al minimo il rischio di cadere vittima di qualche criminale informatico.
Se non sai come cambiare (o inserire) un PIN sul tuo cellulare, non ti preoccupare: su Android basta recarsi nel menu Impostazioni > Sicurezza > Blocco Schermo e seleziona la voce PIN (oppure la voce Sequenza, se preferisci utilizzare una gesture al posto del codice numerico) mentre su iPhone basta andare nel menu Impostazioni > Face ID/Touch ID e Codice e selezionare la voce Cambia codice.
Per quanto riguarda WhatsApp Web, hai ancora un’altra arma a tua disposizione. Se sospetti che qualcuno stia spiando le tue chat dal computer, seleziona la voce relativa a WhatsApp Web dal menu dell’applicazione e pigia sul pulsante Disconnettiti da tutti i computer, in questo modo tutti i PC connessi al tuo account perderanno l’accesso (gli verrà chiesto di scansionare nuovamente il QR code).
Attenzione: spiare le comunicazioni di altre persone rappresenta una grave violazione della privacy, nonché un reato punibile a norma di legge. Questo tutorial è stato scritto a puro scopo illustrativo, pertanto io non mi assumo alcuna responsabilità circa l’uso che verrà effettuato delle informazioni presenti in esso.
Autore
Salvatore Aranzulla
Salvatore Aranzulla è il blogger e divulgatore informatico più letto in Italia. Noto per aver scoperto delle vulnerabilità nei siti di Google e Microsoft. Collabora con riviste di informatica e cura la rubrica tecnologica del quotidiano Il Messaggero. È il fondatore di Aranzulla.it, uno dei trenta siti più visitati d'Italia, nel quale risponde con semplicità a migliaia di dubbi di tipo informatico. Ha pubblicato per Mondadori e Mondadori Informatica.