Come spiare WhatsApp

Genitori apprensivi, fidanzati gelosi, amici impiccioni… mi chiedono tutti la stessa cosa: come spiare WhatsApp. Vogliono sapere se è possibile, se le tante app-spia che si trovano su Internet funzionano davvero e se per compiere un'operazione di questo genere bisogna essere per forza degli hacker. Beh, non è facile liquidare la questione in poche righe. Meglio prendersi qualche minuto di tempo libero e cercare di capire, una volta per tutte, come stanno le cose.

WhatsApp non è il sistema di messaggistica più sicuro del mondo. Anzi, il suo successo ha solleticato l'interesse di molti criminali informatici che, sempre più spesso, provano a “bucare” i suoi server e a rubare i dati degli utenti. Ma per fortuna gli sviluppatori della app hanno deciso di correre ai ripari e di adottare un sistema di crittografia end-to-end (da punto a punto).

Con la crittografia end-to-end, i messaggi che gli utenti si scambiano su WhatsApp arrivano sui server dell'azienda in maniera cifrata. Vengono decriptati direttamente sui nostri smartphone e questo dovrebbe scongiurare il rischio che qualche malintenzionato possa visualizzarne il contenuto, dovrebbe. Poi bisogna fare i conti con delle tecniche di spionaggio più dirette, molto meno sofisticate degli attacchi ai server di WhatsApp ma che nella vita di tutti i giorni possono rivelarsi perfino più pericolose. Vorresti saperne di più? Bene, allora continua a leggere.

Come funziona la cifratura di WhatsApp

Nel novembre del 2014, gli sviluppatori di Open Whisper Systems hanno annunciato una collaborazione con WhatsApp tesa a portare il loro sistema di cifratura end-to-end (TextSecure) nella celebre app di messaggistica per i cellulari.

La cifratura end-to-end funziona con una coppia di chiavi: una privata e una pubblica. La chiave privata risiede esclusivamente sul nostro smartphone e serve a decifrare i messaggi ricevuti dall'esterno. Quella pubblica, invece, viene condivisa con il nostro interlocutore e viene utilizzata da quest'ultimo per criptare i messaggi che vengono recapitati a noi (e vice versa).

Nel mezzo ci sono i server di WhatsApp, che fanno da “postini”: ricevono i messaggi crittografati (quindi illeggibili sia per i gestori del servizio sia per eventuali malintenzionati) e li recapitano sul telefono del destinatario.

Il bello è che avviene tutto alla velocità della luce e senza che l'utente debba muovere un dito. L'unica incognita risiede nella reale applicazione di questo sistema.

WhatsApp, infatti, è un software closed source e non è possibile sapere con certezza assoluta come gestisce i messaggi. L'unica cosa che si può fare - e che hanno provato a fare diversi studiosi - è esaminare il traffico dati dell'applicazione con software come Wireshark (te ne ho parlato nel mio post su come sniffare una rete wireless, ricordi?) e Yowsup.

Da alcuni di questi test, come quello realizzato da Heise nell'aprile del 2015, è emerso che la cifratura end-to-end era utilizzata solo sulla versione Android di WhatsApp. Le altre continuavano ad usare un sistema di cifratura basato sull'algoritmo RC4, che funzionava solo in uscita (quindi rendeva potenzialmente leggibili i messaggi sui server di WhatsApp) e non è più ritenuto sicuro da diversi mesi.

Al momento in cui scrivo, la situazione dovrebbe essere migliorata e la cifratura end-to-end dovrebbe essere arrivata anche su altre piattaforme, tuttavia non ci sono ancora dei test indipendenti che ne confermino la reale efficacia.

Insomma, ora come ora WhatsApp è ragionevolmente sicuro. Captare i messaggi che viaggiano sui suoi server non dovrebbe essere facile, ma è giusto mantenere un pizzico di dubbio dovuto all'impossibilità di analizzare a fondo il suo codice sorgente.

Come spiare WhatsApp: le tecniche “artigianali”

Come abbiamo appena detto, captare i messaggi di WhatsApp provando a “sniffare” i dati che transitano sulla rete wireless usata dallo smartphone, grazie alla crittografia end-to-end, non è facile come un tempo. Ma esistono delle tecniche per spiare WhatsApp, meno raffinate, che possono andare ancora a segno. Tali tecniche prevedono l'accesso fisico allo smartphone della vittima e quindi coinvolgono il cosiddetto social engineering.

Nel gergo tecnico, con l'espressione social engineering (ingegneria sociale) si indicano tutte quelle attività che sfruttano la psicologia umana per truffare la vittima di un attacco informatico. Questo significa che un malintenzionato potrebbe fingersi una persona amica (o comunque affidabile) e chiederti il telefono in prestito per il più banale dei motivi (es. fare una telefonata) e poi ficcare il naso nei tuoi dati personali, o nelle tue conversazioni di WhatsApp.

Di seguito ti faccio qualche esempio di attacco diretto a WhatsApp che richiede l'accesso fisico al telefono, e dunque un approccio tramite social engineering.

Spiare WhatsApp tramite WhatsApp Web

WhatsApp Web è un servizio offerto gratuitamente da WhatsApp che consente di leggere e inviare messaggi da computer utilizzando lo smartphone come “ponte”.

Ti ho illustrato dettagliatamente il suo funzionamento nel mio tutorial su come usare WhatsApp su PC, ad ogni modo per utilizzarlo basta scansionare un QR code che compare sullo schermo del computer con lo smartphone. Dopodiché, se si lascia attiva la spunta sull'opzione Resta connesso, l'accesso al servizio avviene in automaticamente ogni volta che lo smartphone è connesso a Internet (non necessariamente alla stessa rete Wi-Fi del PC).

Ebbene, un malintenzionato potrebbe farsi prestare il telefono dalla vittima con qualsiasi pretesto, dopodiché potrebbe accedere a WhatsApp Web dal proprio notebook (o anche dal proprio smartphone/tablet, abilitando la visualizzazione desktop del sito) e ottenere così l'accesso alle conversazioni dell'utente da spiare.

Spiare WhatsApp camuffando il MAC address

Il MAC address (acronimo di Media Access Control) è un indirizzo composto da 12 cifre che permette di identificare in maniera univoca le schede di rete presenti nei PC e, più in generale, tutti i dispositivi in grado di connettersi a Internet, come gli smartphone.

Camuffando il MAC address del proprio smartphone, un malintenzionato potrebbe “ingannare” WhatsApp e installare una copia dell'applicazione sul proprio telefono in modo da ricevere tutti i messaggi della vittima. Per fortuna si tratta di un'operazione abbastanza articolata che richiede parecchio tempo per essere portata a termine, ma è bene conoscerla per evitare che qualche “furbacchione” possa metterla in pratica.

Di seguito ti illustro i vari passaggi che si dovrebbero compiere per camuffare il MAC Address del proprio telefono e installare una copia “clonata” di WhatsApp.

• Come primo passo, per camuffare il MAC address del proprio smartphone, bisognerebbe sbloccare il sistema operativo con operazioni come il root su Android o il jailbreak su iPhone e installare delle app adatte allo scopo (es. BusyBox e Mac Address Ghost per Android).
• Successivamente, andrebbero rimosse eventuali copie di WhatsApp presenti sul dispositivo e ci si dovrebbe preparare per passare all'azione.
• L'azione, in questo caso, consiste nel farsi prestare lo smartphone dalla persona da spiare e compiere queste due operazioni.
  • Scoprire il MAC Address del dispositivo (su Android basta andare nel menu Impostazioni > Info sul telefono > Stato, su iPhone nel menu Impostazioni > Generali > Info > Indirizzo Wi-Fi).
  • Impostare il MAC Address del telefono da spiare sul proprio smartphone.
  • Installare WhatsApp sul proprio smartphone e attivarlo usando il numero del telefono della vittima (sul quale verrà quindi recapitato il codice di attivazione della app).

Spiare WhatsApp usando il numero di telefono della vittima

Alcuni siti suggeriscono di spiare WhatsApp installando una copia della app sul proprio telefono e facendo recapitare il suo codice di attivazione sullo smartphone della vittima (che quindi deve essere momentaneamente a portata di mano).

Questa tecnica non funziona, o meglio, non funziona a lungo in quanto WhatsApp permette di associare i numeri di telefono a un solo dispositivo alla volta.

Ciò significa che attivando due smartphone con lo stesso numero di cellulare, il primo smette di funzionare e la vittima - fortunatamente - si accorgere subito dell'utilizzo non autorizzato del proprio account.

Spiare WhatsApp con le app di parental control

Sul mercato ci sono tantissime app per il parental control (sia gratuite che a pagamento) che permettono di monitorare le attività svolte su uno smartphone, comandare il telefono a distanza e catturare screenshot da remoto.

Ebbene, alcune di esse potrebbero essere sfruttate anche per scopi poco leciti e utilizzate per spiare i messaggi scambiati su WhatsApp o altri sistemi di messaggistica. Per saperne di più dai un'occhiata al mio post in cui ti ho messo in guardia da alcune app che, se mal utilizzate, permettono di spiare i cellulari Android.

Come proteggersi dagli spioni

Dopo aver fatto questa “spaventosa” carrellata sulle tecniche di spionaggio più diffuse per le conversazioni di WhatsApp, vediamo qualche consiglio pratico su come difendersi dagli impiccioni. Si tratta di semplici regole di buonsenso da seguire per evitare furti d'identità e altre spiacevoli sorprese (non necessariamente collegate a WhatsApp).

• Utilizzare un PIN sicuro - il primo consiglio che mi sento di darti è quello di utilizzare un PIN sicuro per sbloccare la lock screen dello smartphone (no, 1111 e 1234 non sono PIN sicuri!). Puoi cambiare il PIN in maniera molto semplice usando il menu delle impostazioni del tuo smartphone.
  • Android - Impostazioni > Sicurezza > Blocco Schermo > PIN (oppure Sequenza se preferisci usare una gesture al posto del PIN numerico).
  • iPhone - Impostazioni > Touch ID e Codice > Cambia codice.
• Disattivare SMS nella lock screen - se vuoi scongiurare il rischio che qualche malintenzionato attivi una copia “clonata” di WhatsApp recapitando un SMS di conferma sul tuo smartphone, disattiva la visualizzazione degli SMS nella lock screen (in questo modo, l'eventuale malintenzionato dovrà avere accesso completo allo smartphone per portare a termine il suo piano e non potrà farlo con il telefono bloccato).
  • Android - Impostazioni > Sicurezza > Blocco Schermo > PIN. Dopo aver impostato il PIN puoi scegliere se non visualizzare del tutto le notifiche (per nessuna app) o se nascondere solo i contenuti sensibili. Se scegli questa seconda opzione, puoi disattivare solo la visualizzazione degli SMS nella lock screen.
  • iPhone - Impostazioni > Notifiche > Messaggi > togli la spunta dall'opzione Mostra in “Blocco schermo”.
• Controllare le sessioni di WhatsApp Web - come abbiamo visto in precedenza, è possibile violare la privacy degli utenti WhatsApp attivando “abusivamente” il servizio WhatsApp Web. Se temi che qualcuno possa aver compiuto un'operazione del genere ai tuoi danni, controlla le sessioni di WhatsApp Web attive per il tuo account e, se ne individui qualcuna sospetta, disattivale. Per controllare le sessioni di WhatsApp Web aperte per il tuo account, recati nel menu Impostazioni > WhatsApp Web. Per disattivarle tutte, invece, pigia prima sul pulsante Disconnetti da tutti i computer e poi su Disconnetti.
• Riattiva subito il tuo account in caso di disattivazione - se qualcuno ha attivato una seconda copia di WhatsApp usando il tuo numero, il servizio smetterà di funzionare sul tuo smartphone. Se all'improvviso il tuo account risulta disattivato, procedi ad attivarlo nuovamente e contatta il supporto di WhatsApp all'indirizzo support@whatsapp.com per segnalare che probabilmente vuole rubare la tua identità.
• Non usare software spia - su Internet vengono pubblicizzati molte app-spia che promettono di captare tutti i messaggi di WhatsApp. Sono pochissime quelle che funzionano veramente. Nella maggior parte dei casi si tratta di truffe belle e buone, se non addirittura di malware tesi a rubare i dati degli utenti per scopi poco leciti. Cerca di starne alla larga!
• Non prestare lo smartphone al primo che capita - questo consiglio potrebbero darcelo anche le nostre nonne, ma sempre meglio ribadire certi concetti!

Nota: questa guida è stata scritta a puro scopo illustrativo. Spiare le conversazioni di altre persone è un reato punibile dalla legge, pertanto non mi assumo alcuna responsabilità su come utilizzerai le informazioni contenute nell'articolo.