Genitori apprensivi, fidanzati gelosi, amici impiccioni… mi chiedono tutti la stessa cosa: come spiare WhatsApp. Vogliono sapere se è possibile, se le tante app-spia che si trovano su Internet funzionano davvero e se per compiere un'operazione di questo genere bisogna essere per forza degli hacker. Beh, non è facile liquidare la questione in poche righe. Meglio prendersi qualche minuto di tempo libero e cercare di capire, una volta per tutte, come stanno le cose.
WhatsApp non è il sistema di messaggistica più sicuro del mondo. Anzi, il suo successo ha solleticato l'interesse di molti criminali informatici che, sempre più spesso, provano a “bucare” i suoi server e a rubare i dati degli utenti. Ma per fortuna gli sviluppatori della app hanno deciso di correre ai ripari e di adottare un sistema di crittografia end-to-end (da punto a punto).
Con la crittografia end-to-end, i messaggi che gli utenti si scambiano su WhatsApp arrivano sui server dell'azienda in maniera cifrata. Vengono decriptati direttamente sui nostri smartphone e questo dovrebbe scongiurare il rischio che qualche malintenzionato possa visualizzarne il contenuto, dovrebbe. Poi bisogna fare i conti con delle tecniche di spionaggio più dirette, molto meno sofisticate degli attacchi ai server di WhatsApp ma che nella vita di tutti i giorni possono rivelarsi perfino più pericolose. Vorresti saperne di più? Bene, allora continua a leggere.
Nel novembre del 2014, gli sviluppatori di Open Whisper Systems hanno annunciato una collaborazione con WhatsApp tesa a portare il loro sistema di cifratura end-to-end (TextSecure) nella celebre app di messaggistica per i cellulari.
La cifratura end-to-end funziona con una coppia di chiavi: una privata e una pubblica. La chiave privata risiede esclusivamente sul nostro smartphone e serve a decifrare i messaggi ricevuti dall'esterno. Quella pubblica, invece, viene condivisa con il nostro interlocutore e viene utilizzata da quest'ultimo per criptare i messaggi che vengono recapitati a noi (e vice versa).
Nel mezzo ci sono i server di WhatsApp, che fanno da “postini”: ricevono i messaggi crittografati (quindi illeggibili sia per i gestori del servizio sia per eventuali malintenzionati) e li recapitano sul telefono del destinatario.
Il bello è che avviene tutto alla velocità della luce e senza che l'utente debba muovere un dito. L'unica incognita risiede nella reale applicazione di questo sistema.
WhatsApp, infatti, è un software closed source e non è possibile sapere con certezza assoluta come gestisce i messaggi. L'unica cosa che si può fare - e che hanno provato a fare diversi studiosi - è esaminare il traffico dati dell'applicazione con software come Wireshark (te ne ho parlato nel mio post su come sniffare una rete wireless, ricordi?) e Yowsup.
Da alcuni di questi test, come quello realizzato da Heise nell'aprile del 2015, è emerso che la cifratura end-to-end era utilizzata solo sulla versione Android di WhatsApp. Le altre continuavano ad usare un sistema di cifratura basato sull'algoritmo RC4, che funzionava solo in uscita (quindi rendeva potenzialmente leggibili i messaggi sui server di WhatsApp) e non è più ritenuto sicuro da diversi mesi.
Al momento in cui scrivo, la situazione dovrebbe essere migliorata e la cifratura end-to-end dovrebbe essere arrivata anche su altre piattaforme, tuttavia non ci sono ancora dei test indipendenti che ne confermino la reale efficacia.
Insomma, ora come ora WhatsApp è ragionevolmente sicuro. Captare i messaggi che viaggiano sui suoi server non dovrebbe essere facile, ma è giusto mantenere un pizzico di dubbio dovuto all'impossibilità di analizzare a fondo il suo codice sorgente.
Come abbiamo appena detto, captare i messaggi di WhatsApp provando a “sniffare” i dati che transitano sulla rete wireless usata dallo smartphone, grazie alla crittografia end-to-end, non è facile come un tempo. Ma esistono delle tecniche per spiare WhatsApp, meno raffinate, che possono andare ancora a segno. Tali tecniche prevedono l'accesso fisico allo smartphone della vittima e quindi coinvolgono il cosiddetto social engineering.
Nel gergo tecnico, con l'espressione social engineering (ingegneria sociale) si indicano tutte quelle attività che sfruttano la psicologia umana per truffare la vittima di un attacco informatico. Questo significa che un malintenzionato potrebbe fingersi una persona amica (o comunque affidabile) e chiederti il telefono in prestito per il più banale dei motivi (es. fare una telefonata) e poi ficcare il naso nei tuoi dati personali, o nelle tue conversazioni di WhatsApp.
Di seguito ti faccio qualche esempio di attacco diretto a WhatsApp che richiede l'accesso fisico al telefono, e dunque un approccio tramite social engineering.
WhatsApp Web è un servizio offerto gratuitamente da WhatsApp che consente di leggere e inviare messaggi da computer utilizzando lo smartphone come “ponte”.
Ti ho illustrato dettagliatamente il suo funzionamento nel mio tutorial su come usare WhatsApp su PC, ad ogni modo per utilizzarlo basta scansionare un QR code che compare sullo schermo del computer con lo smartphone. Dopodiché, se si lascia attiva la spunta sull'opzione Resta connesso, l'accesso al servizio avviene in automaticamente ogni volta che lo smartphone è connesso a Internet (non necessariamente alla stessa rete Wi-Fi del PC).
Ebbene, un malintenzionato potrebbe farsi prestare il telefono dalla vittima con qualsiasi pretesto, dopodiché potrebbe accedere a WhatsApp Web dal proprio notebook (o anche dal proprio smartphone/tablet, abilitando la visualizzazione desktop del sito) e ottenere così l'accesso alle conversazioni dell'utente da spiare.
Il MAC address (acronimo di Media Access Control) è un indirizzo composto da 12 cifre che permette di identificare in maniera univoca le schede di rete presenti nei PC e, più in generale, tutti i dispositivi in grado di connettersi a Internet, come gli smartphone.
Camuffando il MAC address del proprio smartphone, un malintenzionato potrebbe “ingannare” WhatsApp e installare una copia dell'applicazione sul proprio telefono in modo da ricevere tutti i messaggi della vittima. Per fortuna si tratta di un'operazione abbastanza articolata che richiede parecchio tempo per essere portata a termine, ma è bene conoscerla per evitare che qualche “furbacchione” possa metterla in pratica.
Di seguito ti illustro i vari passaggi che si dovrebbero compiere per camuffare il MAC Address del proprio telefono e installare una copia “clonata” di WhatsApp.
Alcuni siti suggeriscono di spiare WhatsApp installando una copia della app sul proprio telefono e facendo recapitare il suo codice di attivazione sullo smartphone della vittima (che quindi deve essere momentaneamente a portata di mano).
Questa tecnica non funziona, o meglio, non funziona a lungo in quanto WhatsApp permette di associare i numeri di telefono a un solo dispositivo alla volta.
Ciò significa che attivando due smartphone con lo stesso numero di cellulare, il primo smette di funzionare e la vittima - fortunatamente - si accorgere subito dell'utilizzo non autorizzato del proprio account.
Sul mercato ci sono tantissime app per il parental control (sia gratuite che a pagamento) che permettono di monitorare le attività svolte su uno smartphone, comandare il telefono a distanza e catturare screenshot da remoto.
Ebbene, alcune di esse potrebbero essere sfruttate anche per scopi poco leciti e utilizzate per spiare i messaggi scambiati su WhatsApp o altri sistemi di messaggistica. Per saperne di più dai un'occhiata al mio post in cui ti ho messo in guardia da alcune app che, se mal utilizzate, permettono di spiare i cellulari Android.
Dopo aver fatto questa “spaventosa” carrellata sulle tecniche di spionaggio più diffuse per le conversazioni di WhatsApp, vediamo qualche consiglio pratico su come difendersi dagli impiccioni. Si tratta di semplici regole di buonsenso da seguire per evitare furti d'identità e altre spiacevoli sorprese (non necessariamente collegate a WhatsApp).
support@whatsapp.com
per segnalare che probabilmente vuole rubare la tua identità.Nota: questa guida è stata scritta a puro scopo illustrativo. Spiare le conversazioni di altre persone è un reato punibile dalla legge, pertanto non mi assumo alcuna responsabilità su come utilizzerai le informazioni contenute nell'articolo.