Credo proprio sia giunto il momento di tornare sull’argomento e fare un po’ il punto sulla situazione. Proviamo allora a capire se è ancora possibile spiare WhatsApp, quali sono le tecniche più “quotate” fra i criminali informatici e – soprattutto – vediamo come difenderci da chi tenta di accedere senza permesso alle nostre chat.
Trovi spiegato tutto qui sotto. Ti anticipo solo che sì, purtroppo è ancora possibile spiare WhatsApp (sebbene l’operazione risulti più complessa rispetto a qualche tempo fa) e ci si può difendere efficacemente dai ficcanaso applicando delle semplici misure di protezione al proprio smartphone. Per il resto, ti basterà seguire le più comuni regole di buonsenso: non prestare il telefono a sconosciuti, non lasciare lo smartphone incustodito in luoghi pubblici ed evita quanto più possibile l’utilizzo di reti Wi-Fi pubbliche (meglio restare connessi al network 3G/LTE del cellulare).
Spiare WhatsApp con il social engineering
Nel mondo di Internet, così come nella vita reale, i pericoli spesso arrivano da dove meno ce lo aspettiamo.
E così mentre ci immaginiamo un esercito di hacker super-cattivi1 pronti a violare la nostra privacy sferrando attacchi ai server di WhatsApp, in realtà a spiare le nostre conversazioni online potrebbero essere dei gentili coetanei incontrati per caso al bar, se non addirittura dei nostri conoscenti.
D’altronde non ci vuole un esperto di informatica per capirlo: è molto più facile che qualcuno, con una banalissima scusa, entri fisicamente in possesso del nostro smartphone piuttosto che i server di WhatsApp vengano violati o degli hacker, nascosti chissà dove, si mettano a intercettare le nostre comunicazioni.
Per quanto concerne la privacy su WhatsApp, attualmente il pericolo più grande è rappresentato dal social engineering (ingegneria social). Di cosa si tratta? Te lo spiego subito. Il social engineering è quell’insieme di tecniche grazie alle quali i malintenzionati riescono a raggiungere i propri scopi manipolando la psicologia della vittima.
In altre parole è quando un malintenzionato riesce ad entrare in possesso del suo obiettivo (in questo caso lo smartphone) ingannando la vittima con delle scuse più o meno banali (es. “ho finito il credito e devo fare una chiamata urgente, mi presteresti un attimo il telefono?”).
Ma, fattivamente, come si riesce a spiare WhatsApp di un altro con il social engineering? Facciamo qualche esempio pratico.
Furto d’identità tramite WhatsApp Web
, WhatsApp Web è un servizio gratuito che permette di inviare e ricevere messaggi di WhatsApp sul PC usando lo smartphone come “ponte”. Funziona su tutti i principali browser Web e non richiede alcuna configurazione particolare. Per utilizzarlo, basta aprire WhatsApp sul cellulare e inquadrare con la fotocamera il QR code che viene visualizzato sullo schermo del computer. Tutto qui.
Ma quello che vale davvero la pena sottolineare è che WhatsApp Web memorizza l’identità dell’utente – ciò significa che si può accedere al servizio senza ripetere la scansione del QR code – e funziona anche quando lo smartphone non è connesso alla stessa rete Wi-Fi del PC, basta che sia connesso a una qualsiasi rete Wi-Fi o alla rete dati 3G/LTE del cellulare.
Questo vuol dire che se un malintenzionato riesce a entrare in possesso del tuo smartphone, effettua l’accesso a WhatsApp Web con quest’ultimo e lascia attiva la funzione Resta connesso per non dover ripetere la scansione del QR code, può spiare tutti i tuoi messaggi senza che tu te ne accorga.
Applicazioni-spia
Se lasci il tuo smartphone incustodito per più di qualche minuto, il malintenzionato di turno potrebbe approfittarne per installare delle applicazioni-spia sul terminale e spiarti in segreto.
Ci sono diverse app che permettono di raggiungere tale scopo. Inoltre va detto che le applicazioni anti-furto (quelle che permettono di localizzare i cellulari smarriti) e i servizi di parental control hanno funzioni tali che potrebbero essere usate per catturare screenshot e monitorare gran parte delle tue attività sullo smartphone.
Clonazione del MAC address
Un’altra tecnica che i malintenzionati possono adottare per spiare WhatsApp è clonare il MAC address del telefono della vittima. Per fortuna però si tratta di un’operazione abbastanza lunga e non propriamente alla portata di tutti: ci vuole un minimo di preparazione tecnica per riuscirci.
Qualora non ne avessi mai sentito parlare, il MAC address è un codice di 12 cifre che identifica in maniera univoca le schede di rete dei PC e, più in generale, i dispositivi in grado di connettersi a Internet.
Utilizzando delle applicazioni adatte allo scopo, gli “spioni” possono camuffare il MAC address del proprio smartphone, in modo da farlo coincidere con quello del telefono della vittima, e installare una copia “clonata” di WhatsApp che a quel punto riporterà tutti i messaggi dell’account originale.
L’operazione è fattibile solo dopo aver sbloccato il proprio dispositivo tramite rooto jailbreak e aver installato applicazioni come BusyBox e Mac Address Ghost. Ma questo è solo l’inizio. Difatti per portare a segno “il colpo” bisogna sottrarre il telefono alla vittima, scoprire il suo MAC address (tramite la schermata Info delle impostazioni), cambiare il MAC address del proprio telefono, installare WhatsApp e attivare la app usando il numero della persona da spiare (sul quale, dunque, arriva il codice di conferma).
Come proteggersi?
Alla luce di quanto appena detto, è importantissimo gestire il proprio smartphone in maniera coscienziosa (non prestandolo al primo che passa e non lasciandolo incustodito in luoghi pubblici) ed è ancora più importante prevenire la violazione della propria privacy con alcuni accorgimenti come quelli che trovi elencati di seguito.
- Impostare un PIN sicuro – un PIN sicuro può mettere fuori gioco gran parte dei malintenzionati, infatti senza accesso al menu principale dello smartphone non è possibile né utilizzare WhatsApp Web né installare applicazioni spia. Ecco le istruzioni per cambiare il PIN sul tuo smartphone.
- Se hai un telefono Android devi recarti nel menu
Impostazioni > Sicurezza > Blocco Schermoe selezionare la voce PIN (oppureSequenza, se vuoi usare una gesture al posto del codice). - Se utilizzi un iPhone devi recarti nel menu
Impostazioni > Touch ID e Codicee seleziona la voce Cambia codice.
- Se hai un telefono Android devi recarti nel menu
- Disattivare la visualizzazione degli SMS nella lock-screen – clonando il MAC address del tuo smartphone, un malintenzionato potrebbe attivare WhatsApp sul suo telefono usando il suo numero. Tuttavia, per attivare l’applicazione dovrebbe scoprire il codice di verifica recapitato via SMS sul tuo cellulare. Disattivando la visualizzazione degli SMS nella lock-screen, puoi impedire ai malintenzionati di visualizzare il codice di attivazione di WhatsApp senza prima sbloccare lo smartphone (operazione praticamente impossibile se hai impostato un PIN sicuro).
- Per disattivare la visualizzazione degli SMS nella lock-screen di Android recati nel menu
Impostazioni > Sicurezza > Blocco Schermo > PIN, impostare un PIN e scegliere di nascondere i contenuti sensibili. - Per disattivare la visualizzazione degli SMS nella lock-screen di iPhone recati nel menu
Impostazioni > Notifiche > Messaggie togli la spunta dalla voce Mostra in “Blocco schermo”.
- Per disattivare la visualizzazione degli SMS nella lock-screen di Android recati nel menu
- Controllare le sessioni di WhatsApp Web – recandoti nel menu
Impostazioni > WhatsApp Webdi WhatsApp puoi visualizzare tutte le sessioni di WhatsApp Web attive. Se fra queste ne rilevi qualcuna “sospetta”, pigia sul pulsante Disconnettiti da tutti i computer ed eventuali malintenzionati che ti stavano spiando tramite PC perderanno l’accesso automatico al servizio (gli verrà chiesto di inquadrare nuovamente il QR code). - Verificare la presenza di applicazioni spia – sospetti che qualcuno abbia installato delle applicazioni spia sul tuo smartphone? Accedi alla lista delle app presenti sul dispositivo e scopri se c’è qualcosa di sospetto.
- Per visualizzare la lista delle applicazioni installate su Android vai nel menu
Impostazioni > App > Tutte. - Per visualizzare la lista delle applicazioni installate su iPhone vai nel menu
Impostazioni > Generali > Utilizzo spazio e iCloud > Gestisci spazioAttenzione: molte applicazioni spia hanno l’abilità di risultare invisibili nei menu di sistema. L’unico modo per cancellarle, se non si conoscono i codici segreti necessari ad accedere alle loro impostazioni, è formattare il telefono.
- Per visualizzare la lista delle applicazioni installate su Android vai nel menu
Spiare WhatsApp “sniffando” una rete wireless
Una delle tecniche più sofisticate per spiare WhatsApp di un altro era lo “sniffing” delle reti wireless, ossia il monitoraggio dei dati di una rete Wi-Fi con software come Wireshark. Ho detto “era” perché questa tecnica non dovrebbe essere più funzionante, o quantomeno non dovrebbe risultare più efficace come qualche tempo fa.
Alla fine del 2014, infatti, WhatsApp ha cominciato ad adottare un sistema dicifratura end-to-end denominato TextSecure, il quale dovrebbe complicare di molto la vita agli spioni. Questo sistema è basato sull’utilizzo di una coppia di chiavi: una pubblica e una privata. La chiave pubblica viene condivisa con il proprio interlocutore e serve a cifrare i messaggi in uscita, quella privata invece risiede sullo smartphone di ciascun utente e serve a decifrare i messaggi in entrata.
Grazie a questa tecnologia (di cui l’utente non si accorge perché succede tutto “dietro le quinte”), i messaggi viaggiano dai nostri smartphone ai server di WhatsApp in maniera cifrata, cioè illeggibile, e possono essere decifrati solo dai legittimi mittenti e destinatari.
L’unico dubbio che possiamo avere riguarda l’implementazione della cifratura end-to-end, che non è stata portata subito in tutte le versioni di WhatsApp. È arrivata prima su Android e solo ora, pian piano, sta approdando sulle altre piattaforme mobile.
Alcuni test condotti nell’aprile 2015 dal team di sicurezza informatica Heise hanno dimostrato che, quando non è possibile adottare la cifratura end-to-end, WhatsApp utilizza un sistema di cifratura basato sull’algoritmo RC4, che è oggetto di diverse vulnerabilità e quindi potenzialmente attaccabile tramite lo sniffing delle reti wireless.
Il mio consiglio, dunque, è quello di essere prudente. WhatsApp è ragionevolmente sicuro ma non possiamo ritenerlo totalmente inattaccabile. Anche perché è closed source e non possiamo analizzare a fondo il suo codice sorgente per sapere quali tecniche utilizza per tutelare la privacy degli utenti.
Alla luce di quanto appena detto, cerca di non collegarti a reti Wi-Fi pubbliche, utilizza una password sicura per la rete Wi-Fi di casa e… beh, non condividere segreti di Stato su WhatsApp!
Nota: spiare le conversazioni altrui è un reato punibile dalla legge. Questo tutorial è stato scritto a puro scopo illustrativo e io non mi assumo alcuna responsabilità circa l’utilizzo che farai delle informazioni contenute in esso.
EmoticonEmoticon