Come hackerare WhatsApp

Dopo aver letto alcuni presunti tutorial su come hackerare WhatsApp temi che qualcuno possa ficcare facilmente il naso nel tuo account e spiare tutte le tue conversazioni? Beh, fai bene a preoccuparti della tua privacy, però non devi essere paranoico. Spiare le chat di WhatsApp non è un'operazione impossibile, teoricamente tutti i sistemi informatici si possono “bucare” ma per fortuna la situazione non è così disperata come si legge in giro.

Grazie alle ultime implementazioni in termini di cifratura, le conversazioni di WhatsApp sono diventate molto più difficili da intercettare rispetto al passato ed è quasi impossibile “catturarle” senza accedere fisicamente al telefono della vittima. Questo significa che con un pizzico di attenzione, impostando in maniera adeguata il proprio smartphone ed evitando di collegarsi a reti wireless pubbliche, si possono dormire sonni ragionevolmente tranquilli. Ti andrebbe di saperne di più? Bene, allora continua a leggere. Adesso ti illustro le principali tecniche usate dai criminali informatici per hackerare gli account di WhatsApp e le migliori strategie per difendersi.

Attenzione: spiare le conversazioni altrui è un reato punibile dalla legge. Questo tutorial è stato scritto a puro scopo illustrativo, pertanto io non mi assumo alcuna responsabilità circa l'utilizzo che potrai fare delle informazioni contenute in esso.

I sistemi di protezione di WhatsApp

Per scoprire quali sono le principali tecniche usate dai criminali informatici per hackerare WhatsApp dobbiamo prima capire come funziona l'applicazione e quali sono i sistemi di protezione adottati da quest'ultima.

WhatsApp utilizza un sistema di cifratura denominato end-to-end (da punto a punto) che permette di visualizzare il contenuto delle conversazioni solo ai legittimi mittenti e destinatari: le informazioni viaggiano in maniera criptata dal telefono del mittente ai server di WhatsApp, per poi approdare sullo smartphone del destinatario sempre in forma cifrata.

Tale tecnologia è basata su una coppia di chiavi collegate tra loro: una pubblica e una privata. La chiave pubblica viene condivisa con il proprio interlocutore e provvede a cifrare i messaggi in uscita, quella privata risiede solo sullo smartphone di ciascun utente e serve a decifrare i messaggi in entrata.

Entrando maggiormente nel dettaglio, il sistema di cifratura end-to-end utilizzato da WhatsApp si chiama TextSecure, è open source ed è stato sviluppato dalla società Open Whisper Systems, che ha annunciato la sua collaborazione con il celebre servizio di messaggistica nel novembre 2014.

Questo significa che precedentemente WhatsApp non utilizzava la stessa misura di protezione. Utilizzava un sistema di cifratura basato sull'algoritmo RC4, il quale lavorava solo in uscita (dal telefono del mittente ai server del servizio) ed è molto più facile da attaccare per chi volesse tentare di scardinarlo.

Alcuni test realizzati dalla società di sicurezza Heise nell'aprile del 2015 hanno dimostrato che la cifratura end-to-end non è stata adottata contemporaneamente su tutte le versioni di WhatsApp. All'epoca dei test era presente solo su Android, mentre sulle altre piattaforme software veniva utilizzato ancora l'algoritmo RC4.

Morale della favola? Adesso WhatsApp dovrebbe essere ragionevolmente sicuro, la cifratura end-to-end impedisce ai malintenzionati di catturare le nostre conversazioni tramite attività come lo sniffing delle reti wireless (cioè il monitoraggio della rete a cui è collegato lo smartphone), ma purtroppo ci sono alcune incognite di cui bisogna tenere conto.

Innanzitutto WhatsApp è un software closed source, quindi non possiamo esaminare a fondo il suo codice sorgente e non possiamo sapere se la cifratura end-to-end è stata implementata in maniera impeccabile. Allo stato attuale dovrebbe funzionare su tutte le principali piattaforme mobile, ma in attesa di test specifici non possiamo essere certi dell'impenetrabilità dell'applicazione.

Inoltre esistono altre tecniche, meno raffinate dello sniffing wireless ma attualmente più efficaci, che permettono di spiare WhatsApp e dalle quali dobbiamo stare in guardia. Vediamone alcune fra le più diffuse.

Hackerare WhatsApp Web

Conosci WhatsApp Web, vero? Si tratta di un servizio online che permette di usare WhatsApp dal computer senza installare software specifici. Te ne ho parlato anche nel mio tutorial su WhatsApp per PC.

WhatsApp Web è in grado di memorizzare l'identità dell'utente, quindi dopo il primo login non c'è bisogno di autenticarsi nuovamente, e funziona anche se lo smartphone non è connesso alla stessa rete wireless del PC (basta che sia connesso a una qualsiasi rete Wi-Fi, o anche alla rete dati 3G/LTE).

Da questi “indizi” puoi capire facilmente che un malintenzionato potrebbe sottrarti il telefono con una qualsiasi scusa, usarlo per accedere a WhatsApp Web sul suo computer (basta scansionare un QR code con la fotocamera del cellulare) e spiare i tuoi messaggi in maniera continuativa senza che tu te ne accorga.

Come difendersi - per scongiurare questo rischio, in primis evita di prestare lo smartphone a sconosciuti (o comunque persone di cui non ti fidi ciecamente) e poi controlla di tanto in tanto le sessioni di WhatsApp Web attive sul tuo account.

Se non sai come si fa, basta aprire WhatsApp e recarsi nel menu Impostazioni > WhatsApp Web. Se fra le sessioni aperte ne noti qualcuna sospetta, pigia sul pulsante Disconnetti da tutti i computer (e poi su Disconnetti) per revocare l'autorizzazione a tutti i PC da cui è stato fatto l'accesso a WhatsApp Web con il tuo account.

Così facendo metterai fuori gioco tutti gli spioni che, a quel punto, avranno bisogno di scansionare nuovamente il QR code con il tuo smartphone per accedere alle conversazioni.

Copie clonate di WhatsApp

Un'altra tecnica per hackerare WhatsApp molto in voga fra i criminali informatici è quella che prevede l'installazione di una copia “clonata” della app. Cosa s'intende per copia “clonata”? Te lo spiego subito.

Camuffando l'indirizzo MAC del proprio smartphone e attivando WhatsApp con il tuo numero di telefono, un malintenzionato potrebbe riuscire a installare WhatsApp sul suo smartphone, ingannare i sistemi di verifica della app e accedere in maniera indisturbata al tuo account.

Il MAC address, infatti, è un codice numerico che identifica in maniera univoca tutti i dispositivi in grado di connettersi a Internet e WhatsApp lo utilizza, insieme al numero di telefono, per verificare l'identità degli utenti.

Ora, se qualcuno con delle conoscenze informatiche medio-alte riesce a sottrarti lo smartphone e a scoprire il MAC address del dispositivo (informazione liberamente accessibile dal menu Info di qualsiasi sistema operativo), può utilizzare delle applicazioni per camuffare il MAC address del proprio smartphone (es. BusyBox e Mac Address Ghost per Android) e farlo apparire uguale a quello del tuo.

Arrivato a questo punto, lo “spione” di turno può installare una copia di WhatsApp sul proprio cellulare, attivarla usando il tuo numero di telefono (quindi facendo recapitare l'SMS con il codice di verifica sul tuo device) e accedere al servizio fingendosi te, quindi ottenendo l'accesso completo alle tue conversazioni.

Come difendersi - come abbiamo appena avuto modo di vedere insieme, la clonazione del MAC address è un'operazione non molto complessa di per sé (basta avere delle conoscenze medie in ambito informatico per riuscirci), tuttavia per portarla a termine bisogna ottenere l'accesso fisico allo smartphone della vittima e bisogna avere un bel po' di tempo a propria disposizione.

Le misure più utili per scongiurare questo tipo di rischio sono quelle che definirei di comune buonsenso: utilizzare un PIN sicuro e disattivare la visualizzazione degli SMS nella lock screen dello smartphone (in modo che sia impossibile vedere l'eventuale codice di conferma inviato da WhatsApp senza sbloccare il telefono).

Per impostare un PIN sicuro (quindi difficile da indovinare) sul tuo smartphone segui queste semplici indicazioni.

• Se hai uno smartphone Android - recati nel menu Impostazioni > Sicurezza > Blocco Schermo e seleziona la voce PIN per impostare un PIN numerico oppure la voce Sequenza per impostare una gesture.
• Se hai un iPhone - recati nel menu Impostazioni > Touch ID e Codice e seleziona la voce Cambia codice

Queste invece sono le istruzioni per disattivare la visualizzazione degli SMS nella lock-screen.

• Se hai uno smartphone Android - recati nel menu Impostazioni > Sicurezza > Blocco Schermo e imposta il tuo PIN o la tua gesture. Dopodiché scegli di nascondere solo i contenuti sensibili nella lock-screen e il gioco è fatto.
• Se hai un iPhone - recati nel menu Impostazioni > Notifiche > Messaggi e togli la spunta dall'opzione Mostra in “Blocco schermo”.

E se qualcuno, con conoscenze informatiche più modeste, provasse ad attivare una nuova copia di WhatsApp con il tuo numero? Senza clonazione preventiva del MAC address si rivelerebbe un'operazione abbastanza inutile.

WhatsApp, infatti, consente di associare ogni numero di telefono a un solo smartphone per volta. Questo significa che il legittimo proprietario dell'account potrebbe tornare in pieno possesso della sua identità semplicemente riattivando WhatsApp sul proprio smartphone. Il telefono dello “spione” perderebbe automaticamente l'accesso.

Applicazioni spia

Altro pericolo a cui bisogna stare molto attenti sono le cosiddette applicazioni spia: delle app, spesso invisibili all'occhio dell'utente, in grado di hackerare WhatsApp registrando i messaggi composti sulla tastiera, catturando screenshot dello schermo del telefono e inviando altre informazioni a persone in remoto.

Di applicazioni di questo genere ce ne sono davvero tante: alcune super-professionali, a pagamento, progettate con il chiaro scopo di spiare gli utenti e altre, spesso gratuite, che ufficialmente servono a svolgere attività di parental control o a sorvegliare il telefono in caso di smarrimento/furto ma che configurate a dovere possono diventare degli strumenti di spionaggio a tutto tondo. Te ne ho parlato in maniera più approfondita nei miei post su come spiare un cellulare e come spiare Android.

Come difendersi - per installare un'applicazione-spia sul tuo telefono il malintenzionato di turno deve avere fisicamente accesso al dispositivo, quindi valgono tutti i consigli che ti ho dato prima (l'utilizzo di un PIN sicuro in primis).

In più potresti provare a dare uno sguardo alla lista delle app installate sul tuo smartphone. Se trovi qualche nome sospetto disfatene subito.

• Per visualizzare la lista delle app installate su Android - recati nel menu Impostazioni > App e seleziona la scheda Tutte.
• Per visualizzare la lista delle app installate su iPhone - recati nel menu Impostazioni > Generali > Utilizzo spazio e iCloud > Gestisci spazio.

Purtroppo, come già detto, le applicazioni spia sono spesso invisibili agli occhi dell'utente. Questo significa che tali applicazioni potrebbero essere installate sul tuo telefono ma non figurare negli elenchi di cui ti ho appena parlato.

In situazioni del genere, se sei convinto che il tuo cellulare sia sotto controllo, l'unica soluzione che hai disposizione è formattare il dispositivo e reinstallare tutto daccapo. Per maggiori informazioni su questa procedura (drastica ma efficace) consulta le mie guide su come formattare Android e come resettare iPhone.