Lì fuori c’è un mondo pieno di impiccioni e ficcanaso, di fidanzati gelosi e genitori apprensivi che farebbero carte false pur di sapere cosa stanno facendo i propri cari, con chi passano il loro tempo e di cosa parlano quando sono in compagnia degli amici. Non ho scoperto nulla di nuovo, vero? Lo immaginavo. Però, sai, dopo aver letto l’ennesima email in cui una persona che mi chiedeva come spiare WhatsApp gratis non sono riuscito a trattenermi: dovevo pubblicare questo piccolo “sfogo”!
Adesso però cerchiamo di rientrare nei ranghi e approfittiamo di quest’occasione per fare qualcosa di buono, ossia per scoprire più da vicino quali sono le tecniche più usate dagli “spioni” di WhatsApp e come proteggersi da queste ultime.
Per fortuna il sistema di messaggistica creato da Jan Koum e Brian Acton non è più vulnerabile come un tempo, i suoi sistemi di protezione sono stati rafforzati parecchio nel corso degli ultimi mesi, ma guai ad abbassare la guardia! Sono ancora numerose le tattiche che i malintenzionati possono mettere in pratica per avventarsi sui nostri smartphone e spiare le nostre conversazioni, quindi cerchiamo di capire come scoprirle e, soprattutto, come evitare che qualcuno possa utilizzarle per colpire i nostri account. Alla fine è meno difficile di quanto si possa immaginare.
Furto d’identità
Il furto d’identità è uno dei rischi a cui bisogna stare più attenti. Si tratta di una tecnica mediante la quale intenzionato può "ingannare" WhatsApp fingendosi un'altra persona e accedere, senza permesso, alle conversazioni di quest'ultima.
Perfino WhatsApp Web, il servizio ufficiale per accedere a WhatsApp dal PC, può essere usato per mettere a segno dei furti d’identità. La colpa è della funzioneResta connesso, che permette al browser di memorizzare l’identità dell’utente e accedere alle conversazioni senza richiedere una nuova scansione del QR code.
In poche parole se un malintenzionato riesce a entrare in possesso del tuo smartphone (basta una scusa qualsiasi, ad esempio la necessità di fare una chiamata urgente) può attivare la versione Web di WhatsApp e ottenere accesso a tutte le tue conversazioni senza che tu te ne accorga; un accesso che sarà continuativo e non temporaneo, in quanto WhatsApp Web funziona anche quando il cellulare non è connesso alla stessa rete wireless del computer (basta che abbia un connessione Internet attiva, non importa quale).
Un’altra tecnica che può essere usata per spiare WhatsApp gratis è laclonazione del MAC address. Di che si tratta? Te lo spiego subito. Il MAC address è un codice di 12 cifre che identifica in maniera univoca tutti i dispositivi in grado di connettersi a Internet. Viene utilizzato anche da WhatsApp per verificare l’identità degli utenti (insieme al numero di telefono) ma con delle applicazioni ad hoc è possibile camuffarlo e ingannare l’applicazione.
Se un malintenzionato installa alcune di queste app sul proprio telefonino (es.BusyBox e Mac Address Ghost per Android) e riesce a scoprire il MAC address del tuo smartphone (basta recarsi nella schermata Info delle impostazioni) può installare una versione “clonata” di WhatsApp e accedere alle tue conversazioni.
Per fortuna non si tratta di una pratica molto comune, richiede una certa preparazione tecnica e molto tempo da passare “in compagnia” del telefono della vittima – in una prima fase per scoprire il MAC address del dispositivo e poi per leggere l’SMS di conferma necessario ad attivare la copia “clonata” di WhatsApp sull’altro smartphone – ad ogni modo essere al corrente della sua esistenza ti aiuterà a evitare possibili intrusioni nel tuo account
Come difendersi dai furti d’identità: come abbiamo appena avuto modo di constatare, la maggior parte delle tecniche per rubare l’identità su WhatsApp prevedono l’accesso fisico al telefono della vittima. Questo significa che per proteggersi basta seguire delle semplici – ma fondamentali – regole di buonsenso.
- Utilizzare un PIN sicuro – la regola numero 1 da seguire per evitare che qualcuno ficchi il naso nei nostri smartphone è impostare un PIN sicuro nella lock-screen. Ecco come fare su Android e iOS.
- Android: recarsi nel menu
Impostazioni > Sicurezza > Blocco Schermo > PIN. In alternativa si può impostare anche una gesture al posto del PIN numerico recandosi inImpostazioni > Sicurezza > Blocco Schermo > Sequenza. - iPhone: recarsi nel menu
Impostazioni > Touch ID e Codice > Cambia codice.
- Android: recarsi nel menu
- Disattivare la visualizzazione degli SMS nella lock-screen – un altro accorgimento che ti consiglio di mettere in pratica è quello relativo alla disattivazione degli SMS nella lock screen. In questo modo se un malintenzionato tenterà di attivare una copia “clonata” di WhatsApp usando il tuo numero di telefono, non potrà visualizzare il codice di verifica necessario a farla funzionare in quanto nella lock-screen dello smartphone non comparirà alcun messaggio (e l’accesso al telefono sarà bloccato dal PIN)[1]. Ecco come procedere.
- Android: recarsi nel menu
Impostazioni > Sicurezza > Blocco Schermo > PIN, impostare un PIN e scegliere dinascondere solo i contenuti sensibili. - iPhone: recarsi nel menu
Impostazioni > Notifiche > Messaggie rimuovere il segno di spunta dall’opzioneMostra in "Blocco Schermo".
- Android: recarsi nel menu
- Controllare le sessioni di WhatsApp Web – recandoti nel menu
Impostazioni > WhatsApp Webdi WhatsApp puoi controllare tutte le sessioni attive di WhatsApp Web per il tuo account. Se noti delle attività sospette, pigia dunque sul pulsanteDisconnetti da tutti i computere tutti gli eventuali “spioni” non potranno più accedere a WhatsApp Web usando il tuo account (dovrebbero scansionare nuovamente il QR code con il tuo smartphone per riuscirci). Esegui questo “check” di tanto in tanto e scongiurerai eventuali furti d’identità tramite la versione Web di WhatsApp. - Fai attenzione a chi utilizza il tuo smartphone – il consiglio più banale, ma probabilmente anche più importante di tutti. Se vuoi tenere al sicuro il tuo account WhatsApp evita di prestare il telefono agli sconosciuti, controlla cosa fanno con il tuo telefono eventuali conoscenti/amici e non lasciare lo smartphone incustodito nei luoghi pubblici.
Applicazioni per spiare i cellulari
esistono numerosi software che consentono di monitorare, comandare e localizzare gli smartphone a distanza.
Molte di esse sono completamente gratuite e hanno l’abilità di nascondersi, cioè non compaiono nella home screen del telefono o nella schermata con la lista di tutte le app installate sul dispositivo.
Come difendersi dalle applicazioni spia – anche l’installazione di applicazioni spia necessita dell’accesso fisico al cellulare della vittima, quindi ti consiglio di seguire i suggerimenti che ti ho dato prima e di tenere il tuo telefono sempre sotto controllo. In più potresti dare un’occhiata alla lista delle applicazioni installate sul tuo smartphone e vedere se c’è qualcosa di sospetto.
- Android: per visualizzare la lista completa delle app installate su Android bisogna recarsi nel menu
Impostazioni > Appe selezionare la schedaTutte. - iPhone: per visualizzare la lista delle applicazioni installate su un iPhone occorre recarsi nel menu
Impostazioni > Generali > Utilizzo spazio e iCloud > Gestisci spazio.Temi che qualcuno abbia installato un’applicazione spia sul tuo smartphone ma non riesci a visualizzarla? In casi come questi, mi spiace, ma l’unica soluzione attuabile per fugare qualsiasi dubbio è formattare il telefono cancellando tutte le app e i dati.
Monitoraggio delle reti wireless
Molte persone mi hanno chiesto se è possibile spiare WhatsApp gratis con applicazioni, come la famosissima Wireshark, che permettono di monitorare tutti i dati che passano su una rete wireless. La risposta è no, non più perlomeno.
Alla fine del 2014, infatti, WhatsApp ha iniziato ad adottare un sistema dicifratura end-to-end che rende i messaggi illeggibili per tutti, eccetto che per i legittimi mittenti e destinatari. Perfino sui server di WhatsApp i messaggi arrivano in forma criptata[2].
Il sistema, denominato TextSecure, prevede l’utilizzo di una coppia di chiavi: una pubblica che viene condivisa con l’interlocutore e permette di cifrare i messaggi in uscita e una privata che invece risiede sullo smartphone e permette di decifrare i messaggi in entrata.
Detto questo, bisogna ricordare che WhatsApp è un’applicazione closed source, pertanto non è possibile esaminare a fondo il suo codice sorgente e quindi non è possibile sapere se ci sono stati errori nell’implementazione della cifratura end-to-end (errori che chiaramente potrebbero comprometterne l’efficacia).
Morale della favola: WhatsApp è ragionevolmente al sicuro dalle attività di monitoraggio delle reti Wi-Fi (il cosiddetto “sniffing”) ma guai ad abbassare la guardia. Pertanto evita di collegarti alle reti Wi-Fi pubbliche e accertati di utilizzare sempre la versione più aggiornata – e quindi più sicura – dell’applicazione.
- Va sottolineato che senza la clonazione preventiva del MAC address è impossibile spiare WhatsApp. Il servizio, infatti, permette di associare ciascun numero di telefono a un solo smartphone e quindi al legittimo proprietario dell’account basterebbe riattivare la sua copia di WhatsApp per mettere fuori gioco gli spioni. ↩︎
- La cifratura end-to-end non è stata adottata in contemporanea su tutte le piattaforma. È arrivata prima su Android e ora si sta espandendo pian piano agli altri sistemi operativi. Alcuni test indipendenti realizzati nell’aprile 2015 hanno dimostrato che le versioni iOS e Windows Phone di WhatsApp all’epoca utilizzavano ancora una cifratura basata sull’algoritmo RC4, che funziona solo in uscita ed è più vulnerabile agli attacchi.
EmoticonEmoticon