Come spiare le chat di WhatsApp
Anche se in passato mi sono già occupato dell'argomento (e non solo una volta), continuo a ricevere richieste da parte di amici che mi chiedono consigli relativi alla sicurezza di WhatsApp. La maggior parte delle persone mi chiede se è davvero possibile spiare le chat di WhatsApp, se le attività di hacking degli account sono un rischio concreto e, soprattutto, se c'è un modo per difendersi da queste ultime.
Mi sembra dunque opportuno tornare sulla questione e fare un nuovo punto della situazione in cui analizzare, insieme, quali sono i rischi principali a cui andiamo incontro utilizzando WhatsApp per le nostre comunicazioni (qualcuno ce n'è, inutile negarlo) e come possiamo impedire che gli “spioni” ficchino il naso nelle nostre chat.
I pericoli più “attuali” sono rappresentati dal furto d'identità e dall'utilizzo di applicazioni-spia in grado di monitorare tutte le attività svolte sul telefono, quindi anche su WhatsApp, ma non bisogna trascurare nemmeno il rischio che qualcuno possa “sniffare” le reti wireless a cui colleghiamo i nostri smartphone sfruttando vulnerabilità non ancora note dell'applicazione. Per maggiori dettagli continua a leggere, analizzeremo queste minacce una ad una.
Furto d'identità
Come appena detto, una delle tecniche più efficaci mediante le quali i criminali informatici possono spiare le chat di WhatsApp è rubare l'identità degli utenti.
Rubare l'identità di un utente significa ingannare i sistemi di protezione di WhatsApp e far credere all'applicazione che chi utilizza il servizio è un utente legittimo, e non un malintenzionato intento a spiare comunicazioni che non avrebbe il diritto di leggere.
Ci sono vari modi in cui i criminali informatici possono sottrarre l'identità di un utente. Una di queste non prevede conoscenze tecniche avanzate da parte del malintenzionato e consiste nell'utilizzo di WhatsApp Web, noto servizio online che permette di usare WhatsApp su PC.
WhatsApp Web permette di utilizzare WhatsApp sul computer semplicemente visitando una pagina Web e inquadrando un codice QR con la fotocamera dello smartphone. Quello che lo rende potenzialmente pericoloso è che permette di salvare l'identità dell'utente (mettendo il segno di spunta accanto alla voce Resta connesso non viene richiesta la scansione del codice QR per gli accessi successivi) e che funziona anche quando il telefono non è connesso alla stessa rete wireless del PC (può essere connesso anche alla rete 3G/LTE, quindi può anche trovarsi lontano dal computer).
In termini pratici, questo significa che un malintenzionato potrebbe sottrarti lo smartphone con una scusa banale (es. la necessità di effettuare una chiamata urgente), utilizzarlo per accedere a WhatsApp Web sul proprio computer (o sul proprio tablet, basta attivare la modalità di visualizzazione desktop del browser) e ottenere un accesso continuativo ai tuoi messaggi.
Altra tecnica - decisamente più raffinata - per perpetrare il furto d'identità su WhatsApp è clonare il MAC address del telefono della persona da spiare.
Il MAC address è un codice di 12 cifre che permette di identificare in maniera univoca tutti i dispositivi in grado di connettersi a Internet, come smartphone, tablet, schede di rete ecc. e WhatsApp lo utilizza, insieme al numero di telefono, per identificare i suoi utenti impedendo loro di utilizzare l'applicazione su più di un cellulare alla volta.
Ora, se un criminale informatico riesce ad entrare in possesso del tuo smartphone a scoprire il MAC address del dispositivo (operazione che si può effettuare in maniera semplicissima recandosi nel menu Impostazioni > Info di qualsiasi cellulare) può utilizzare delle applicazioni ad hoc per camuffare il MAC address del proprio smartphone (es. MAC Address Ghost e BusyBox su Android e SpoofMAC su iPhone), farlo apparire uguale a quello del tuo e installare una copia “clonata” di WhatsApp in grado di dargli accesso alle tue comunicazioni.
Per fortuna si tratta di una procedura abbastanza lunga da portare a termine e che richiede una discreta abilità con i mezzi informatici. Non è alla portata di tutti, ma è bene conoscerla per evitare di caderne vittima. Te ne ho parlato in maniera più approfondita nel mio post su come clonare WhatsApp.
Applicazioni-spia
Altra minaccia a cui devi stare particolarmente attento sono le applicazioni-spia; applicazioni che, una volta installate sul telefono, sono in grado di registrare tutte le attività svolte dall'utente, catturare screenshot e spiare tutti i testi digitati sulla tastiera del dispositivo, comprese le password e i dati delle carte di credito.
Le applicazioni spia “professionali” solitamente sono molto costose, quindi non alla portata di tutti, ma come ti ho spiegato nei miei post sulle applicazioni per spiare i cellulari e sulle tecniche per spiare gli smartphone Android, basta scaricare una qualsiasi app per il parental control o il ritrovamento di cellulari smarriti per acquisire un certo controllo sul telefono (e ce ne sono diverse a costo zero che si possono scaricare direttamente da Google Play o App Store).
Sniffing wireless
In molti mi hanno chiesto se utilizzando applicazioni per lo sniffing wireless, come ad esempio Wireshark di cui ti ho parlato nel mio post su come sniffare una rete wireless, è possibile spiare le chat di WhatsApp. La risposta è no… forse!
Dalla fine del 2014, WhatsApp ha adottato un sistema di cifratura end-to-end (da punto a punto) denominato TextSecure che permette di leggere i messaggi solo ai legittimi mittenti e destinatari. Le comunicazioni arrivano in maniera cifrata sui server del servizio e possono essere decifrate solo mediante una coppia di chiavi, una pubblica che viene condivisa con i propri interlocutori e cifra i messaggi inviati e una privata che invece risiede sullo smartphone e permette di decifrare le comunicazioni in entrata, ma purtroppo non possiamo essere sicuri della sua implementazione.
Nell'aprile del 2015, alcuni ricercatori hanno pubblicato uno studio secondo il quale solo le comunicazioni da e verso Android venivano cifrati da WhatsApp usando il sistema end-to-end. I messaggi provenienti o indirizzati ad altre piattaforme software venivano protetti utilizzando un sistema di cifratura basato sull'algoritmo RC4, che è notoriamente vulnerabile e quindi espone maggiormente le comunicazioni degli utenti agli attacchi di sniffing wireless.
Successivamente, gli sviluppatori di Open Whisper Systems, l'azienda che ha realizzato il sistema TextSecure, hanno assicurato che la cifratura end-to-end sarebbe arrivata gradualmente anche su iOS, Windows Phone e altre piattaforme software, ma purtroppo - ripeto - non possiamo essere sicuri che ciò sia realmente avvenuto. O meglio, non possiamo sapere se l'implementazione della cifratura end-to-end sia avvenuta a regola d'arte.
WhatsApp, infatti, è un'applicazione closed source e quindi non possiamo analizzare a fondo il suo codice sorgente. Questo significa che non possiamo sapere se c'è stato qualche errore nell'implementazione del sistema TextSecure, se la cifratura funziona sempre, se in qualche nazione è stata disattivata su richiesta dei governi locali e così via.
In linea di massima, se la cifratura end-to-end viene utilizzata sempre, su tutte le piattaforme e senza errori, possiamo affermare che i messaggi scambiati su WhatsApp sono ragionevolmente al sicuro dagli attacchi di sniffing wireless. Ma purtroppo bisogna tenere in considerazione tutte le “incognite” di cui sopra.
Come proteggersi
Arrivati a questo punto, viene spontaneo chiedersi come proteggersi da tutte queste possibili minacce e come evitare che qualche malintenzionato possa ficcare il naso nelle nostre conversazioni. La risposta è applicando delle semplici regole di buonsenso.
Come abbiamo appena visto insieme, per commettere il furto d'identità e per installare applicazioni-spia è quasi sempre necessario un accesso fisico allo smartphone della vittima. Questo significa che evitando di prestare il telefono a sconosciuti, non lasciando il cellulare incustodito e impostando un PIN sicuro puoi già ridurre al minimo il rischio di cadere vittima di qualche criminale informatico.
Se non sai come cambiare (o inserire) un PIN sul tuo cellulare, non ti preoccupare, su Android basta recarsi nel menu Impostazioni > Sicurezza > Blocco Schermo e seleziona la voce PIN (oppure la voce Sequenza, se preferisci utilizzare una gesture al posto del codice numerico) mentre su iPhone basta andare nel menu Impostazioni > Touch ID e Codice e selezionare la voce Cambia codice.
Per quanto riguarda WhatsApp Web hai ancora un'altra arma a tua disposizione. Se sospetti che qualcuno stia spiando le tue chat dal computer, seleziona la voce relativa a WhatsApp Web dal menu dell'applicazione e pigia sul pulsante Disconnettiti da tutti i computer, in questo modo tutti i PC connessi al tuo account perderanno l'accesso (gli verrà chiesto di scansionare nuovamente il QR code).
Temi di essere caduto vittima di un'applicazione-spia? Beh, è un bel guaio. Questo tipo di app è quasi sempre invisibile nei menu di Android e iOS e riuscire a rimuoverle, per chi non ne conosce i codici di sblocco, è praticamente impossibile. L'unico consiglio che mi sento di darti è quello di formattare il tuo smartphone e riportare tutto allo stato di fabbrica: è una mossa drastica ma necessaria in casi come questi. Se ti serve una mano a formattare il telefono, da' un'occhiata alle mie guide su come resettare Android e come resettare iPhone.
Attenzione: spiare le comunicazioni di altre persone rappresenta una grave violazione della privacy, nonché un reato punibile a norma di legge. Questo tutorial è stato scritto a puro scopo illustrativo, pertanto io non mi assumo alcuna responsabilità circa l'uso che verrà effettuato delle informazioni presenti in esso.