Come spiare conversazioni WhatsApp

A giudicare dalla quantità di messaggi che ricevo ogni giorno su quest'argomento, WhatsApp dev'essere diventato una sorta di ossessione nazionale. C'è chi mi scrive chiedendomi come spiare conversazioni WhatsApp (con la malcelata intenzione di ficcare il naso nelle chat di fidanzati e amici), altri che invece sono preoccupati per la propria privacy e mi chiedono consigli su come aumentare la sicurezza delle proprie conversazioni. Insomma, in qualunque modo la si metta, WhatsApp è sempre al centro dell'attenzione e quindi mi sembra doveroso dedicargli un nuovo post.

Con la guida di oggi focalizzeremo la nostra attenzione sulle tecniche utilizzate dai malintenzionati per spiare i messaggi di WhatsApp e scopriremo quali sono le “armi” più efficaci difenderci dai loro attacchi. Per fortuna tutto quello di cui c'è bisogno è un pizzico di buonsenso, non bisogna inventarsi chissà quali stratagemmi per comunicare in maniera ragionevolmente tranquilla su WhatsApp. Ora però non voglio anticiparti troppo, prenditi cinque minuti di tempo libero e consulta passaggio dopo passaggio tutti i consigli che trovi di seguito. Mi auguro ti possano essere utili, anche solo per avere un'idea più chiara sulle tecniche degli “spioni” a cui stare attenti.

Nota: questo tutorial è stato pubblicato a puro scopo illustrativo. Spiare le conversazioni altrui è un reato punibile dalla legge e io non mi assumo alcuna responsabilità circa l'utilizzo che farai delle informazioni riportate di seguito.

“Sniffare” i dati nelle reti wireless

Una delle tecniche più sofisticate per spiare le conversazioni di WhatsApp è “sniffare” la rete wireless a cui è collegato lo smartphone della vittima. Con il termine “sniffare” si intende esaminare, tramite software predisposti allo scopo, tutti i dati che passano in chiaro su una rete Wi-Fi (come potrebbero essere i messaggi di WhatsApp).

Si tratta di un'operazione non propriamente alla portata di tutti, ma nemmeno così difficile come si potrebbe credere. Basta fare un “giretto” su Google per trovare decine di tutorial su come sniffare una rete wireless e software, anche gratuiti, come l'ottimo Wireshark, che permettono di analizzare in maniera molto intuitiva tutti i dati che circolano su una rete wireless. Adesso però smorziamo gli entusiasmi degli aspiranti spioni!

Alla fine del 2014 WhatsApp ha cominciato ad adottare un sistema di cifratura end-to-end (TextSecure) nella sua app. Questo significa che i messaggi non viaggiano in chiaro sulla rete wireless ma vengono cifrati usando un sistema a doppia chiave.

Nei sistemi con cifratura end-to-end, i dati scambiati fra due utenti vengono criptati usando due chiavi (associate tra loro): una chiave pubblica che viene condivisa con il proprio interlocutore e serve a cifrare i dati in uscita (i messaggi che si inviano all'altra persona, nel caso di WhatsApp) e una chiave privata che invece risiede sullo smartphone di ogni singolo utente e serve a decifrare i dati in entrata (quindi i messaggi ricevuti)¹.

Con il sistema di cifratura end-to-end, i messaggi di WhatsApp viaggiano in maniera cifrata dallo smartphone del mittente fino a quello del destinatario, passando per i server del servizio. Questo significa che anche “sniffando" la rete wireless a cui è collegato il telefono non è possibile scoprirne il contenuto.

L'unica incognita relativa alla sicurezza di questo meccanismo sta nella sua implementazione da parte dell'applicazione. WhatsApp, infatti, è un software closed source e non è possibile esaminare il contenuto del suo codice sorgente. Non potendo esaminare il suo codice sorgente, non possiamo sapere con assoluta certezza il modo in cui la cifratura end-to-end viene applicata ai messaggi.

Alcuni test realizzati nell'aprile del 2015 dal team di sicurezza informatica Heise, ad esempio, hanno dimostrato che WhatsApp all'epoca utilizzava la cifratura end-to-end solo su Android. Su iOS e altre piattaforme mobile veniva adoperata ancora una cifratura basata sull'algoritmo RC4, che è molto più facile da “bucare” per i malintenzionati.

Adesso, fortunatamente, la situazione dovrebbe essere cambiata e la cifratura end-to-end dovrebbe essere arrivata anche sugli altri sistemi operativi. Tuttavia, come dicevamo in precedenza, WhatsApp è un'applicazione closed source e non possiamo essere certi del modo in cui questa cifratura viene implementata (ci toccherà aspettare i risultati di nuovi test per scoprirlo).

Come proteggersi: questa tecnica non dovrebbe essere più efficace, pertanto non devi fare nulla di particolare per proteggerti. Evita, ad ogni modo, di collegare il tuo cellulare a reti wireless pubbliche prive di adeguate protezioni (meglio sfruttare la rete 3G/LTE).

Furto d'identità tramite WhatsApp Web

Constatato che lo “sniffing” delle reti wireless non produce più tanti risultati, gli spioni di WhatsApp ultimamente preferiscono adottare tattiche più “artigianali” ma anche più efficaci.

Uno di queste tattiche consiste nel farsi prestare il cellulare dalla vittima, con una qualsiasi scusa, e utilizzarlo per avviare WhatsApp Web.

WhatsApp Web - come ti ho spiegato nel mio tutorial su come usare WhatsApp su PC - è un servizio gratuito che consente di leggere e inviare messaggi dal computer usando lo smartphone come “ponte”. Per utilizzarlo, basta aprire WhatsApp sul telefonino e scansionare un QR code che viene visualizzato sullo schermo del PC.

Ora, se un malintenzionato riesce ad autenticarsi sul proprio PC con il WhatsApp della vittima e mantiene la connessione attiva (c'è un'apposita casella da spuntare nella schermata iniziale del servizio), può accedere ai messaggi della persona che intende spiare senza che questa se ne accorga. Il servizio, infatti, funziona anche se smartphone e computer sono collegati a reti wireless differenti (basta che lo smartphone sia connesso a Internet).

Come proteggersi: se sospetti che qualcuno stia sfruttando WhatsApp Web per spiare i tuoi messaggi, apri l'applicazione, recati nel menu Impostazioni > WhatsApp Web e controlla la lista di tutte le sessioni attive. Se fra i computer autorizzati ce n'è qualcuno “sospetto”, pigia sul pulsante Disconnettiti da tutti i computer e tutti i computer connessi al tuo WhatsApp non avranno più accesso a WhatsApp Web (fino a quando non sarai tu ad autorizzarli nuovamente scansionando il QR code).

Furto d'identità con clonazione del MAC address

Un'altra tecnica che potrebbe consentire a un malintenzionato di spiare conversazioni WhatsApp è clonare il MAC address del telefono della vittima. Il MAC address è un codice di 12 cifre che identifica in maniera univoca le schede di rete dei PC e tutti i dispositivi in grado di connettersi a Internet.

Utilizzando delle applicazioni ad hoc, è possibile camuffare il MAC address di uno smartphone e “ingannare” WhatsApp facendo creare all'applicazione che si sta usando un altro telefono (in questo caso, il telefono della persona da spiare).

Per fortuna non si tratta di una procedura di facile realizzazione, anche perché richiede molto tempo e un contatto prolungato con lo smartphone della vittima.

Per dirla in parole povere bisogna sbloccare il proprio smartphone tramite root (Android) o jailbreak (iPhone), installare le applicazioni che permettono di cambiare il MAC address (es. BusyBox e Mac Address Ghost per Android) e scoprire il MAC address del telefono della vittima (lo si trova nella schermata Info delle impostazioni). Dopodiché bisogna impostare il MAC address del telefono della vittima sul proprio smartphone, installare WhatsApp e attivare l'applicazione usando il numero della persona da spiare.

Come proteggersi: per evitare attacchi di questo genere - scusa la banalità - non devi prestare il telefono a persone che non conosci e non devi lasciare lo smartphone incustodito nei luoghi pubblici.

Inoltre, cerca di impostare un PIN difficile da indovinare e impedisci la visualizzazione degli SMS nella lock-screen. In questo modo, se qualcuno vuole scoprire il MAC address del tuo telefono o vuole attivare una copia di WhatsApp usando il tuo numero non può riuscirci (primo perché non può accedere alle impostazioni dello smartphone, secondo perché non è possibile visualizzare il codice di conferma per attivare la app).

Per cambiare il PIN del tuo smartphone Android devi andare nel menu Impostazioni > Sicurezza > Blocco Schermo > PIN (oppure Sequenza se vuoi usare una gesture). Se utilizzi un iPhone devi recarti nel menu Impostazioni > Touch ID e Codice > Cambia codice.

Per disattivare la visualizzazione degli SMS nella lock-screen di Android devi recarti nel menu Impostazioni > Sicurezza > Blocco Schermo > PIN, impostare un PIN e scegliere di nascondere i contenuti sensibili nella lock-screen. Se hai un iPhone devi andare nel menu Impostazioni > Notifiche > Messaggi e togliere la spunta dalla voce Mostra in “Blocco schermo”.

Applicazioni-spia

Come ti ho spiegato nel mio tutorial su come spiare i cellulari Android, esistono molte app antifurto e di parental control che, se opportunamente configurate, possono trasformarsi in veri e propri strumenti di spionaggio.

Se qualcuno riesce ad avere accesso fisico al tuo smartphone e ad installare una di queste app, potrebbe sorvegliare le tue conversazioni di WhatsApp, monitorare le tue attività online e perfino scattarti foto in segreto.

Come proteggersi: per scongiurare questo rischio, evita di lasciare il telefono incustodito e imposta un PIN sicuro come spiegato in precedenza.

Inoltre, recati nel menu per la gestione delle app (Impostazioni > App > Tutte su Android oppure Impostazioni > Generali > Utilizzo spazio e iCloud > Gestisci spazio su iPhone) e verifica che non ci siano applicazioni sospette installate sul telefono.

Molte app antifurto e di parental control hanno l'abilità di risultare invisibili anche nel menu per la gestione delle app. Se sospetti che qualcuno ne abbia installata una sul tuo smartphone, probabilmente la cosa più saggia che puoi fare è formattare il device seguendo i miei tutorial su come resettare iPhone e come formattare Android. È una misura drastica ma efficace.