Come spiare WhatsApp iPhone

Hai appena acquistato il tuo primo iPhone, stai cominciando a comunicare con i tuoi amici tramite WhatsApp e temi che qualcuno possa ficcare il naso nei tuoi messaggi senza che tu te ne accorga? Sei in buona compagnia, credimi.

Ogni giorno ricevo decine di messaggi da parte di amici, lettori e conoscenti che mi chiedono se è possibile spiare WhatsApp iPhone, se quest'applicazione è davvero così sicura come vogliono farci credere o se c'è qualcosa - anzi qualcuno - di cui dobbiamo aver paura1. Rispondere a una domanda del genere non è affatto semplice. Di sicuro richiede un po' di tempo, quindi se sei d'accordo direi di prenderci qualche minuto di tempo e di affrontare la questione insieme.

Continua a leggere: cercheremo di scoprire quali sono i possibili rischi di privacy a cui andiamo incontro usando WhatsApp, impareremo a riconoscere i tentativi di spionaggio dei malintenzionati e, soprattutto, vedremo quali mosse mettere in atto per mantenere le nostre conversazioni al lontano da occhi indiscreti (entro i limiti del possibile). Mi auguro che tu possa trovare l'argomento stimolante al punto giusto e i suggerimenti che sto per darti abbastanza interessanti. Buona lettura!

Sniffing delle reti Wi-Fi


Hai mai sentito parlare di Wireshark? Si tratta di un software gratuito che permette di monitorare le reti Wi-Fi e “catturare” tutti i dati che circolano su di esse. Te ne ho parlato anch'io nel mio tutorial su come sniffare le reti wireless. Ebbene, utilizzando un programma come Wireshark, i criminali informatici potrebbero essere in grado di captare le comunicazioni di WhatsApp e spiarle senza il permesso dell'utente.

Purtroppo noi utenti non possiamo fare nulla per contrastare questo tipo di minaccia, l'unico accorgimento che possiamo mettere in pratica è evitare l'utilizzo di reti Wi-Fi pubbliche (che come noto sono il terreno di caccia preferito dai ficcanaso), ma per fortuna catturare le conversazioni di WhatsApp tramite lo sniffing delle reti wireless non dovrebbe essere semplicissimo.

Alla fine del 2014, infatti, gli sviluppatori di Open Whisper Systems hanno annunciato che WhatsApp avrebbe adottato la loro tecnologia di cifratura end-to-end (TextSecure) per rendere più sicure le comunicazioni degli utenti. La cifratura end-to-end è un sistema mediante il quale i dati viaggiano in maniera cifrata da un punto all'altro senza che nessuno, eccetto i legittimi mittenti e destinatari, possa leggerne il contenuto.

Funziona con un meccanismo basato sull'utilizzo di due chiavi: una pubblica che viene condivisa con il proprio interlocutore e serve a cifrare i messaggi inviati e una privata, che invece risiede sullo smartphone di ogni utente e permette di decifrare i messaggi che si ricevono. Il fatto che le chiavi risiedano sui dispositivi degli utenti e non sui server di WhatsApp (sui quali i messaggi arrivano in forma cifrata) rende questo sistema molto sicuro, ma purtroppo ci sono delle incognite che non ci permettono di dormire sonni completamente tranquilli.

Nell'aprile 2015 un team di sicurezza informatica tedesco ha condotto alcuni test su WhatsApp e ha scoperto che solo le comunicazioni da e verso i terminali Android utilizzavano la cifratura end-to-end. Sulle altre piattaforme veniva utilizzato un sistema di cifratura basato sull'algoritmo RC4, che è oggetto di diverse vulnerabilità e permette, potenzialmente, ai criminali informatici di captare i messaggi degli utenti tramite sniffing wireless.

In seguito alla pubblicazione di questo studio, gli sviluppatori di Open Whisper Systems hanno confermato che la cifratura sarebbe arrivata gradualmente anche su iOS e sulle altre piattaforme mobile, ma purtroppo non possiamo avere la certezza assoluta che ciò sia vero. WhatsApp, infatti, è un software closed source e noi non possiamo sapere cosa succede davvero “sotto il cofano” dell'applicazione.

La cifratura end-to-end potrebbe essere implementata male, potrebbe non funzionare in determinati paesi (su richiesta dei governi locali, che come noto amano ficcare il naso nei dati dei cittadini) o ancora potrebbe essere attiva per determinati contenuti e non per altri. Insomma, anche se gli sviluppatori di Open Whisper Systems tendono a gettare acqua sul fuoco non possiamo essere sicuri al 100% che le nostre conversazioni siano a prova di sniffing.

Quindi? Quindi, come già detto, evitiamo di usare reti Wi-Fi pubbliche. O in alternativa smettiamo di usare WhatsApp in favore di applicazioni per la messaggistica open source che supportano in maniera trasparente la cifratura end-to-end.

Applicazioni-spia


Come abbiamo visto insieme nell'articolo sulle applicazioni-spia per i cellulari, esistono molti software che consentono di registrare e monitorare continuamente le attività che svolgiamo sui nostri smartphone.

Si tratta di software spesso invisibili, che per fortuna richiedono un accesso fisico al telefono della vittima per essere installati, ma una volta entrati in funzione possono spiare WhatsApp iPhone e qualsiasi altra attività svolta sul dispositivo senza destare alcun sospetto.

Se temi che il tuo “melafonino” sia stato “infettato” con una di queste app, mi spiace, ma l'unica soluzione che hai per liberartene è formattare lo smartphone. Per farlo, puoi andare nel menu Impostazioni > Generali > Ripristina di iOS e selezionare l'opzione Inizializza contenuto e impostazioni o rivolgerti a iTunes (come ti ho spiegato nel mio tutorial su come resettare iPhone).

Furto d'identità


Un altro rischio da cui devi stare in guardia è quello relativo al furto d'identità. Sfruttando dei trucchetti psicologici (il cosiddetto social engineering), dei malintenzionati potrebbero entrare momentaneamente in possesso del tuo iPhone e “clonare” il tuo account di WhatsApp ottenendo così libero accesso alle tue conversazioni.

Fra le tecniche più insidiose sfruttate dai criminali informatici per rubare l'identità degli utenti su WhatsApp c'è quella che coinvolge WhatsApp Web.

Come sicuramente ben saprai - e come ti ho spiegato anche nel mio tutorial su WhatsApp per PC - WhatsApp Web è un servizio online che permette di inviare e ricevere messaggi su WhatsApp tramite computer sfruttando lo smartphone come “ponte”.

Per accedervi basta scansionare con il cellulare un QR code che compare sullo schermo del PC e bisogna mantenere lo smartphone connesso a Internet: non importa a quale rete, Wi-Fi o 3G/LTE va bene lo stesso, basta che ci sia una connessione attiva sul telefono. Ed è qui che viene il “bello”.

Un malintenzionato potrebbe entrare in possesso del tuo iPhone, usarlo per accedere a WhatsApp Web e barrare la casella Resta connesso che permette al browser di memorizzare l'identità dell'utente, e quindi evitare la scansione del QR code per gli accessi successivi. Ad operazione effettuata, lo “spione” potrebbe accedere alle tue chat tramite WhatsApp Web senza che tu ti accorga di nulla (ammesso che il tuo smartphone sia connesso a Internet), ma per fortuna c'è un modo per difendersi.

Se sospetti che qualcuno stia ficcando il naso nelle tue conversazioni tramite WhatsApp Web, apri WhatsApp, seleziona la scheda Impostazioni che si trova in basso a destra, vai su WhatsApp Web e pigia prima su Disconnetti da tutti i computer e poi su Disconnetti. In questo modo tutti i computer che hanno l'accesso al tuo account perderanno la connessione e verrà chiesta nuovamente la scansione del QR code (operazione che, a quel punto, la persona che ti spia non potrà effettuare perché non in possesso del tuo “melafonino”).

Altra tecnica - decisamente più lunga e complessa - che potrebbe consentire a un malintenzionato di spiare WhatsApp iPhone è la clonazione del MAC address.

Il MAC address è un codice di 12 cifre che serve a identificare in maniera univoca tutti i dispositivi in grado di connettersi a Internet. WhatsApp lo utilizza, insieme al numero di telefono, per identificare i suoi utenti, quindi camuffandolo è possibile ingannare l'applicazione e accedere all'account di un'altra persona.

Per essere precisi, lo “spione” di turno dovrebbe effettuare il jailbreak sul suo iPhone (o il root su Android), installare delle applicazioni per il camuffamento del MAC Address (es. BusyBox e Mac Address Ghost su Android o SpoofMAC su iPhone) ed entrare in possesso del telefono della vittima.

Dopodiché dovrebbe visualizzare il MAC address del telefono da spiare (andando nel menu Impostazioni > Generali > Info), applicarlo sul suo, installare una nuova copia di WhatsApp e attivarla usando il numero della vittima.

Ripeto, la procedura è molto lunga e complessa, ma è bene conoscerla per rendersi conto di quando qualcuno tenta di metterla in pratica. Mi chiedi se esistono dei modi per difendersi? Certo.

Visto che per effettuare un furto d'identità su WhatsApp bisogna accedere fisicamente allo smartphone della vittima, la cosa più saggia che puoi fare è proteggerti mettendo in pratica tutti quei consigli di buonsenso che avrai già sentito mille volte.


  1. Eccetto WhatsApp, che secondo alcuni studi indipendenti conserva tutti i dati delle chiamate vocali sui suoi server. <