Come spiare WhatsApp con codice QR
Usi WhatsApp da tanto tempo e, parlando con gli amici, hai iniziato a chiederti quanto sia affidabile questo celebre servizio di messaggistica istantanea. Ad esempio, hai letto di alcune tecniche — che sembrano tutt’altro che impossibili da mettere in pratica — che consentirebbero di spiare WhatsApp usando il QR code di WhatsApp Web (e del client di WhatsApp per Windows e macOS).
Vorresti dunque sapere come spiare WhatsApp con codice QR, se è realmente possibile, e come difenderti da questa potenziale minaccia. Beh, fai benissimo a volerti informare su questo tema, anche perché sì, purtroppo, esistono davvero alcune procedure che consentono accessi non autorizzati a WhatsApp — anche senza QR — ma per fortuna la maggior parte di esse prevede l’accesso diretto allo smartphone della vittima: questo significa che, se si sta attenti e si usa il proprio telefono in modo accorto, si riesce a difendersi in modo abbastanza efficace.
In questa guida, dunque, ti spiegherò anzitutto come WhatsApp tutela la sicurezza dei propri utenti; in secondo luogo, mi soffermerò su varie tecniche di hacking e sui vari modi con cui proteggersi. In tutti i casi, ti consiglio di non essere paranoico: stiamo parlando di WhatsApp, non di un’app qualsiasi, e la sicurezza non può che essere un suo punto di forza. Inutile dirti, infine, di non servirti di queste tecniche per provare a spiare altre persone: si tratterebbe, nel caso, di una palese violazione della privacy, dunque di un reato punibile dalla legge (io non mi assumo responsabilità!). Ora mettiti pure comodo e leggi attentamente il tutorial: vedrai che ti tornerà utile!
Indice
Come spiare WhatsApp con codice QR
Se ti sei chiesto come spiare WhatsApp con codice QR, ti saranno venuti senza dubbio in mente WhatsApp Web e il client di WhatsApp per PC, due soluzioni sviluppate da Facebook (azienda proprietaria di WhatsApp) che permettono di usare WhatsApp sul computer sfruttando proprio un codice QR da scansionare con l’app per Android o iPhone. Prima di spiegarti come si procede, ti vorrei tranquillizzare, però, sul sistema di sicurezza di WhatsApp.
Forse non lo sai, ma l’app in questione usa una tecnologia di cifratura end-to-end, vale a dire “da punto a punto”, che si chiama TextSecure e che funziona grossomodo così: i messaggi arrivano sugli smartphone e sui server del servizio in forma criptata, e il contenuto può essere visto solo dai legittimi mittenti e dai destinatari. Il problema sta nel fatto che WhatsApp è un’app closed source, perciò il suo codice sorgente non può essere esaminato fino in fondo, il che comporta l’impossibilità di verificare se la cifratura end-to-end sia applicata alla perfezione o meno.
Cosa può succedere? Beh, ad esempio, non è detto che con alcuni software specifici, come ad esempio Wireshark, non si possano sniffare alcuni dati di WhatsApp tramite le reti wireless meno sicure, ad esempio quelle pubbliche.
Come, come? Non ti è chiaro ciò che hai appena letto? Cerco di spiegarti tutto: lo sniffing è una tecnica attraverso cui si possono catturare e analizzare i dati che passano in una rete wireless; di conseguenza, se WhatsApp avesse delle falle nell’implementazione della cifratura end-to-end (cosa che, ribadisco, al momento non si è verificata) e tu ti collegassi a una rete pubblica senza usare una buona VPN, i rischi che correresti sarebbero parecchi. Sullo sniffing delle reti ti ho fornito maggiori dettagli in questa guida che fugherà senz’altro ogni tuo dubbio.
Torniamo ora al cuore del discorso: dunque, come si spia WhatsApp tramite QR Code? Non è una procedura semplice, non tanto per quello che bisogna fare quanto perché è difficile che vengano commessi certi errori da parte del proprietario dell’account. Tutto si basa sul fatto che il servizio memorizza l’identità dell’utente (basta spuntare la casella Resta connesso dopo il primo login) e funziona indipendentemente dalla connessione che si usa sullo smartphone: ciò significa che, anche se il telefono si trova lontano dal PC, WhatsApp Web risulta comunque accessibile.
Sì, so bene a cosa stai pensando: a queste condizioni, ti basta prendere lo smartphone che vuoi spiare e collegarlo a WhatsApp Web scansionando il QR code; a quel punto, anche se il malcapitato porterà con sé il telefono, non avrà importanza perché tu potrai comunque continuare a usare il servizio. Dici che è impossibile prendere un telefono e collegarlo a WhatsApp Web nel giro di poco tempo, senza che il legittimo proprietario se ne accordo? Non hai mica tutti i torti, ed è per questo che ti dicevo che si tratta di una procedura complicata.
Ti ricordo, inoltre, che ormai il servizio invia anche delle notifiche a ogni accesso, quindi il proprietario sarà avvisato del fatto che WhatsApp Web è attivo, e potrà comportarsi subito di conseguenza. Cosa che dovrai fare pure tu, casomai dovessi accorgerti che qualcuno ti sta spiando su WhatsApp. Come dici? Non sapresti come procedere nel caso dovesse succedere un fatto simile? Tranquillo, te lo spiego subito io.
Come proteggersi
Permettimi di consigliarti, innanzitutto, di non prestare il telefono agli sconosciuti o comunque a persone delle quali non ti fidi ciecamente; qualora volessi farlo, assicurati di controllare che stiano facendo effettivamente ciò che ti avevano detto; in secondo luogo, non lasciare il tuo smartphone incustodito e non dimenticare di scegliere un PIN sicuro e cambiarlo regolarmente. E no, i consigli non sono finiti qui.
Anche se non ti piace particolarmente come idea, potresti anche pensare di impostare lo sblocco del telefono con il sensore d’impronte o il riconoscimento del volto, casomai il tuo smartphone ne fosse dotato. Stai pensando che, in realtà, stai benissimo col tuo sblocco con sequenza? Te lo sconsiglio fortemente, a dire il vero, perché se qualcuno ti sta spiando ci mette poco a memorizzare i tuoi movimenti sullo schermo.
Inoltre, devi sapere che, attivando un sistema di riconoscimento biometrico, impedirai qualsiasi accesso non autorizzato a WhatsApp Web/Destkop: in questo caso, infatti, il collegamento dovrà essere confermato dal proprietario del dispositivo.
Non dimenticare neanche di impedire la visualizzazione degli SMS nella lock-screen, che, pur essendo una funzionalità comoda, permetterebbe al malintenzionato di vedere l’SMS con il codice di attivazione WhatsApp anche se hai bloccato lo schermo. Ti spiego qui qual è la procedura da seguire.
Ti consiglio, poi, di controllare le sessioni attive sul tuo account per WhatsApp Web e WhatsApp per PC, in modo da scovare eventuali attività sospette. Come dici? Non sai come si fa? Rimediamo sùbito.
Apri, dunque, WhatsApp sul tuo smartphone e vai nel menu delle Impostazioni (su Android premendo sul pulsante ⋮ collocato in alto a destra e su iPhone selezionando l’apposita scheda in basso a destra), poi seleziona la voce WhatsApp Web/Desktop.
A questo punto, vedrai una lista dei browser e dei computer dai quali è possibile accedere ai tuoi messaggi e anche gli ultimi accessi effettuati. Hai notato qualche attività sospetta? Benissimo: seleziona subito la voce Disconnetti da tutti i computer/Disconnetti da tutti i dispositivi, in modo tale da scollegare immediatamente qualsiasi computer e dispositivo.
Mi raccomando: viste le tecniche di sniffing di cui ti ho parlato prima, non collegarti mai con WhatsApp alle reti pubbliche perché sono i mezzi preferiti dai malintenzionati. Usa solo i servizi di VPN perché cifrano tutti i dati della connessione e nascondono la posizione del telefono, difendendoti, di conseguenza, da qualsiasi tracciamento. Al riguardo, ti consiglio di scaricare o NordVPN (te ne parlo qui) oppure Surfshark (trovi maggiori informazioni qui).
Come spiare WhatsApp senza codice QR
Adesso ti spiegherò come spiare WhatsApp senza codice QR, visto che le tecniche sono tante e non si esauriscono con l’uso di WhatsApp per PC. Come? Non credevi che fosse possibile? Beh, si tratta, per fortuna, di procedure complicate da concretizzare, quindi basta stare attenti e vedrai che nessuno potrà spiarti a distanza.
Clonazione del MAC address
Se ci pensi, l’uso di WhatsApp Web con codice QR da parte di un malintenzionato consiste essenzialmente in un furto d’identità. Esiste un’altra tecnica simile che non dovresti sottovalutare: si tratta della clonazione del MAC address, cioè il codice a dodici cifre che identifica univocamente tutti i dispositivi che possono connettersi a Internet. Ebbene, questo codice può essere camuffato proprio per ingannare i sistemi di verifica di WhatsApp; non è una procedura rapida ma facci comunque attenzione.
Cosa succede esattamente? Te lo spiego sùbito: una volta entrato in possesso del tuo smartphone, il malintenzionato non farà altro che impostare il suo telefono in modo tale da avere lo stesso MAC address del tuo — questo solo in apparenza, visto che ti ho parlato di “camuffamento” -, installando una copia di WhatsApp e attivandola con il tuo numero; questo gli permetterà di bypassare le restrizioni del servizio, che non può essere usato su più di uno smartphone contemporaneamente, e di ottenere libero accesso alle tue conversazioni.
Tra gli esempi più famosi di questa tecnica, figurano senza dubbio SpoofMAC per iPhone e BuxyBox e Mac Address Ghost per Android, anche se di app di questo tipo ce ne sono parecchie. Ti consiglio di tenere sempre d’occhio il tuo smartphone e di seguire tutti i consigli che ti ho dato sinora: potrebbe sembrarti impossibile che certe cose accadano, ma, in realtà, è proprio delle nostre disattenzioni che un malintenzionato approfitta senza pensarci due volte. Ma ho ancora altro da cui metterti in guardia.
Applicazioni-spia
Spiare WhatsApp è possibile anche usando le cosiddette applicazioni-spia, che non devi confondere con le app per il parental control, cioè con quelle app che se opportunamente configurate permettono, in genere, di monitorare il comportamento dei propri figli; in questo caso, puoi certamente controllare ciò che viene fatto da un terzo su WhatsApp ma è anche vero che si tratta di un controllo limitato poiché le app sono state pensate per i genitori e non per raggiungere altri obiettivi (ci mancherebbe altro, anche se a volte vengono “piegate” a usi poco morali!).
Quando senti parlare di applicazioni-spia, nel senso stretto del termine, si fa riferimento ad app studiate apposta per spiare le attività degli utenti. Si tratta di programmi che in genere restano nascosti e non compaiono nei menu di sistema, poiché il loro obiettivo è quello di tenere segretamente traccia delle attività da molteplici punti di vista: ad esempio, catturano le frasi digitate sulla tastiera, gli screenshot e i messaggi scambiati sul telefono.
Tali app, in realtà, sono molto costose, quindi non sono alla portata di tutti; tuttavia, non ti consiglio di sottovalutarle poiché basta un po’ di disattenzione per trovarsi in situazioni spiacevoli. Come? Vorresti avere un esempio? Certo, sono qui per questo!
Tra quelle più usate vi è senza dubbio iKeyMonitor, disponibile sia per Android sia per iOS (non è necessario il jailbreak), oltre che per PC Windows e Mac. Il prezzo non è basso: dopo il periodo di prova, infatti, il servizio costa 29,16 $/mese se si vogliono usare tutte le funzionalità dell’app.
Le funzioni dell’app sono ben visibili nel suo pannello di gestione, accessibile dal sito ufficiale: è possibile controllare quanto è stato digitato sulla tastiera, selezionando la voce Battiture; la voce Registri SMS consente di vedere i messaggi; la voce WhatsApp, di visualizzare le chat del noto servizio di messaggistica e così via.
Potrei continuare a lungo: è possibile, ad esempio, inviare la posizione geografica e gli screenshot via email a un indirizzo di posta elettronica designato. In questa guida trovi maggiori informazioni sul servizio.
Ti ricordo, ancora una volta, che spiare gli utenti rappresenta una gravissima violazione della privacy, quindi ti consiglio di non scaricare l’app con cattive intenzioni ma di approfondirne semplicemente la conoscenza per tutelarti da eventuali malintenzionati.
Come proteggersi
Come proteggersi nel caso in cui ti accorgessi di essere spiato da un’app del genere? Ti ribadisco l’importanza di non prestare lo smartphone a persone sconosciute o di cui ti fidi poco; in secondo luogo, non eseguire né il root né il jailbreak perché queste procedure sbloccano le protezioni di sistema e rendono estremamente vulnerabile il proprio dispositivo; ricordati, inoltre, di usare un codice di sblocco sicuro e difficile da indovinare. Sono piccoli accorgimenti che, però, aiutano parecchio.
Potresti aver seguito tutti questi consigli ma trovarti in difficoltà comunque. Magari hai fatto qualcosa di sbagliato e non ti sei accorto di aver scaricato qualche app pericolosa: ecco perché ti consiglio di controllare le app installate sul dispositivo: se usi Android, vai nel menu delle Impostazioni, poi sulla voce Applicazioni, infine seleziona l’opzione Tutte dal menu a tendina che trovi in alto, non appena si apre la nuova schermata; ti consiglio inoltre di verificare le app con permessi elevati andando nel menu Impostazioni > Sicurezza > Altre impostazioni > Amministratori del dispositivo. Se usi un iPhone, invece, vai nel menu Impostazioni, poi seleziona le voci Generali e Spazio libero iPhone. In questo modo il controllo sarà semplice perché ti basterà semplicemente scorrere tra le app del dispositivo. In caso di app sospette, disinstallale da Android o iPhone.
Considera, tuttavia, che molte app-spia possono nascondersi nel telefono e non possono essere visualizzate, se non con appositi codici che dovresti digitare: non devi far altro che avviare il browser del tuo smartphone e collegarti agli indirizzi localhost:4444 o localhost:8888, che sono quelli usati da molte app-spia per nascondere il proprio pannello di configurazione. Non è finita qui. Dovresti anche avviare il dialer, cioè la schermata in cui digiti i numeri di telefono, e digitare il codice *12345: questo perché potresti avere accesso all’eventuale pannello di configurazione di un’app spia installata sul telefono.
Se hai un device Android sottoposto al root, ti consiglio caldamente di avviare anche SuperUser/SuperSu, per verificare se ci sono eventuali app-spia tra quelle che hanno ottenuto i permessi root: inutile dirti che, se per caso ne dovessi trovare qualcuna, devi immediatamente revocare i permessi in questione.
Se vuoi sentirti sicuro, pensi che stiano davvero monitorando le tue attività e non sei riuscito a scovare o disinstallare le app-spia, non perdere altro tempo e formatta il dispositivo, cancellandone tutti i dati: ti ho spiegato come fare in apposite guide che ho dedicato al reset di Android e al reset di iPhone.
Ricorda, infine, che se hai un dispositivo Android, puoi installare un buon anti-malware che ti sarà senz’altro utile per bloccare non solo le app-spia ma anche altri malware progettati per il sistema operativo di “Big G”, anche in futuro. Te ne ho consigliato alcuni in questa guida.
Autore
Salvatore Aranzulla
Salvatore Aranzulla è il blogger e divulgatore informatico più letto in Italia. Noto per aver scoperto delle vulnerabilità nei siti di Google e Microsoft. Collabora con riviste di informatica e cura la rubrica tecnologica del quotidiano Il Messaggero. È il fondatore di Aranzulla.it, uno dei trenta siti più visitati d'Italia, nel quale risponde con semplicità a migliaia di dubbi di tipo informatico. Ha pubblicato per Mondadori e Mondadori Informatica.