Hackerare

I sistemi di protezione di WhatsApp

Per scoprire quali sono le principali tecniche usate dai criminali informatici per

hackerare WhatsApp dobbiamo prima capire come funziona l'applicazione e quali sono i sistemi di protezione adottati da quest'ultima.

WhatsApp utilizza un sistema di cifratura end-to-end (da punto a punto) che permette di visualizzare il contenuto delle conversazioni solo ai legittimi mittenti e destinatari. Grazie alla cifratura end-to-end, le informazioni vengono protette con una sorta di lucchetto digitale, viaggiano in maniera criptata verso i server di WhatsApp e poi arrivano sullo smartphone del destinatario, dove vengono decifrate e quindi risultano leggibili da quest'ultimo. Il tutto avviene in maniera automatica, senza che gli utenti debbano fare nulla, grazie a due chiavi crittografiche: una pubblica che viene condivisa tra gli utenti e una privata che risiede esclusivamente sullo smartphone di ciascun utente. Altra cosa importante da sottolineare è che la cifratura copre non solo i messaggi testuali, ma anche le foto, i video e tutti gli altri contenuti che possono essere gestiti da WhatsApp.

Per essere ancora più precisi, il sistema di cifratura utilizzato da WhatsApp si chiama TextSecure , è open source ed è stato sviluppato dalla società Open Whisper Systems, che ha annunciato la sua collaborazione con il celebre servizio di messaggistica nel novembre 2014. Questo significa che precedentemente WhatsApp non utilizzava la stessa misura di protezione. Utilizzava un sistema di cifratura basato sull'algoritmo RC4, il quale lavorava solo in uscita (dal telefono del mittente ai server del servizio) ed era molto più facile da attaccare.

Alcuni test realizzati dalla società di sicurezza Heise nell'aprile del 2015 hanno dimostrato che la cifratura end-to-end non era stata adottata contemporaneamente su tutte le versioni di WhatsApp: all'epoca dei test era presente solo su Android, mentre sulle altre piattaforme software veniva utilizzato ancora l'algoritmo RC4, ma ora la situazione è cambiata e per fortuna la cifratura end-to-end è attiva su tutte le versioni di WhatsApp indipendentemente dal sistema operativo installato sullo smartphone.

Ricapitolando: adesso WhatsApp dovrebbe essere ragionevolmente sicuro, la cifratura end-to-end dovrebbe impedire ai malintenzionati di catturare le nostre conversazioni tramite attività come lo sniffing delle reti wireless (cioè il monitoraggio della rete a cui è collegato lo smartphone), ma purtroppo ci sono alcune incognite di cui bisogna tenere conto.

Innanzitutto bisogna dire che WhatsApp è un software closed source, quindi non possiamo esaminare a fondo il suo codice sorgente e non possiamo sapere se la cifratura end-to-end è stata implementata in maniera impeccabile. Poi esistono altre tecniche, meno raffinate dello sniffing wireless ma non per questo meno efficaci, che permettono di spiare WhatsApp e le conversazioni avute all'interno della app. Vediamone alcune fra le più diffuse.

Hackerare WhatsApp Web/Desktop

Conosci WhatsApp Web? Si tratta di un servizio online che permette di usare WhatsApp dal computer senza installare software specifici.

WhatsApp Web è in grado di memorizzare l'identità dell'utente, quindi dopo il primo login non c'è bisogno di autenticarsi nuovamente, e funziona anche se lo smartphone non è connesso alla stessa rete wireless del PC (basta che sia connesso a una qualsiasi rete Wi-Fi, o anche alla rete dati 3G/LTE).

Da questi "indizi" puoi capire facilmente che un malintenzionato potrebbe sottrarti il telefono con una qualsiasi scusa, usarlo per accedere a WhatsApp Web sul suo computer (basta scansionare un QR code con la fotocamera del cellulare) e spiare i tuoi messaggi in maniera continuativa senza che tu te ne accorga. E purtroppo non finisce qui!

Lo stesso "difetto" di WhatsApp Web è riscontrabile anche nel client ufficiale di WhatsApp per Windows e macOS e nelle app per tablet che consentono di usare WhatsApp su Android e iOS sfruttando WhatsApp Web (te ne ho segnalate diverse nel mio post sulle app per WhatsApp ).

COME DIFENDERSI – per scongiurare questo rischio, in primis evita di prestare lo smartphone a sconosciuti (o comunque persone di cui non ti fidi ciecamente) e poi controlla di tanto in tanto le sessioni di WhatsApp Web attive sul tuo account.

Se non sai come si fa, basta aprire WhatsApp e recarsi nel menu Impostazioni > WhatsApp Web/Desktop (oppure (…) > WhatsApp Web se utilizzi un terminale Android). Se fra le sessioni aperte ne noti qualcuna sospetta, pigia sul pulsante Disconnettiti da tutti i computer (e poi su Disconnetti) per revocare l'autorizzazione a tutti i PC da cui è stato fatto l'accesso a WhatsApp Web con il tuo account.

Così facendo metterai fuori gioco tutti gli spioni che, a quel punto, avranno bisogno di scansionare nuovamente il QR code con il tuo smartphone per accedere alle conversazioni.

Copie clonate di WhatsApp

Un'altra tecnica per hackerare WhatsApp molto in voga fra i criminali informatici è quella che prevede l'installazione di una copia "clonata" della app. Cosa s'intende per copia "clonata"? Te lo spiego subito.

Camuffando l'indirizzo MAC del proprio smartphone e attivando WhatsApp con il tuo numero di telefono, un malintenzionato potrebbe riuscire a installare WhatsApp sul suo smartphone, ingannare i sistemi di verifica della app e accedere in maniera indisturbata al tuo account.

Il MAC address, infatti, è un codice numerico che identifica in maniera univoca tutti i dispositivi in grado di connettersi a Internet e WhatsApp lo utilizza, insieme al numero di telefono, per verificare l'identità degli utenti.

Ora, se qualcuno con delle conoscenze informatiche medio-alte riesce a sottrarti lo smartphone e a scoprire il MAC address del dispositivo (informazione liberamente accessibile dal menu Info di qualsiasi sistema operativo), può utilizzare delle applicazioni per camuffare il MAC address del proprio smartphone (es. BusyBox e Mac Address Ghost per Android o

SpoofMAC per iPhone) e farlo apparire uguale a quello del tuo.

Arrivato a questo punto, lo "spione" di turno può installare una copia di WhatsApp sul proprio cellulare, attivarla usando il tuo numero di telefono (quindi facendo recapitare l'SMS con il codice di verifica sul tuo device) e accedere al servizio fingendosi te, quindi ottenendo l'accesso completo alle tue conversazioni.

COME DIFENDERSI – come abbiamo appena avuto modo di vedere insieme, la clonazione del MAC address è un'operazione non molto complessa di per sé (basta avere delle conoscenze medie in ambito informatico per riuscirci), tuttavia per portarla a termine bisogna ottenere l'accesso fisico allo smartphone della vittima e bisogna avere un bel po' di tempo a propria disposizione.

Le misure più utili per scongiurare questo tipo di rischio sono quelle che definirei di comune buonsenso: utilizzare un PIN sicuro e disattivare la visualizzazione degli SMS nella lock screen dello smartphone (in modo che sia impossibile vedere l'eventuale codice di conferma inviato da WhatsApp senza sbloccare il telefono).

Per impostare un PIN sicuro (quindi difficile da indovinare) sul tuo smartphone segui queste semplici indicazioni.

Se hai uno smartphone Android – recati nel menu Impostazioni > Sicurezza > Blocco Schermo e seleziona la voce PIN per impostare un PIN numerico oppure la voce Sequenza per impostare una gestire.

Se hai un iPhone – recati nel menu Impostazioni > Touch ID e Codice e seleziona la voce Cambia codice.

Queste invece sono le istruzioni per disattivare la visualizzazione degli SMS nella lock-screen.

Se hai uno smartphone Android – recati nel menu Impostazioni > Sicurezza > Blocco Schermo e imposta il tuo PIN o la tua gesture. Dopodiché scegli di

nascondere solo i contenuti sensibili nella lock-screen e il gioco è fatto.

Se hai un iPhone – recati nel menu Impostazioni > Notifiche > Messaggi e togli la spunta dall'opzione Mostra in "Blocco schermo".

E se qualcuno, con conoscenze informatiche più modeste, provasse ad attivare una nuova copia di WhatsApp con il tuo numero? Senza clonazione preventiva del MAC address si rivelerebbe un'operazione abbastanza inutile. WhatsApp, infatti, consente di associare ogni numero di telefono a un solo smartphone per volta. Questo significa che il legittimo proprietario dell'account potrebbe tornare in pieno possesso della sua identità semplicemente riattivando WhatsApp sul proprio smartphone. Il telefono dello "spione" perderebbe automaticamente l'accesso.

Applicazioni spia

Altro pericolo a cui bisogna stare molto attenti sono le cosiddette applicazioni spia: delle app, spesso invisibili all'occhio dell'utente, in grado di hackerare WhatsApp registrando i messaggi composti sulla tastiera, catturando screenshot dello schermo del telefono e inviando altre informazioni a persone in remoto.

Di applicazioni di questo genere ce ne sono davvero tante: alcune super-professionali, a pagamento, progettate con il chiaro scopo di spiare gli utenti e altre, spesso gratuite, che ufficialmente servono a svolgere attività di parental control o a sorvegliare il telefono in caso di smarrimento/furto ma che configurate a dovere possono diventare degli strumenti di spionaggio a tutto tondo.

COME DIFENDERSI – per installare un'applicazione-spia sul tuo telefono il malintenzionato di turno deve avere fisicamente accesso al dispositivo, quindi valgono tutti i consigli che ti ho dato prima (l'utilizzo di un PIN sicuro in primis). In più potresti provare a dare uno sguardo alla lista delle app installate sul tuo smartphone. Se trovi qualche nome sospetto disfatene subito.

Per visualizzare la lista delle app installate su Android – recati nel menu

Impostazioni > App , pigia sul pulsante (...) che si trova in alto a destra e seleziona la voce Mostra sistema dal menu che compare. Dopodiché vai su

Impostazioni > Sicurezza > Amministratori dispositivo e scopri quali app ganno i diritti di amministrare il dispositivo (le app spia di solito hanno questo tipo di permessi). Se hai sbloccato il tuo smartphone tramite root, vai anche nella app SuperSU e vedi quali applicazioni hanno i permessi di root.

Per visualizzare la lista delle app installate su iPhone – recati nel menu

Impostazioni > Generali > Utilizzo spazio e iCloud e pigia sulla voce Gestisci spazio relativa allo Spazio dispositivo . Dopodiché per verificare quali app hanno permessi più avanzati, vai in Impostazioni > Gestione profili e dispositivo (se il menu "Gestione profili e dispositivo") non è disponibile, significa che nessuna app ha installato dei profili e quindi ha permessi speciali.

Purtroppo, come già detto, le applicazioni spia sono spesso invisibili agli occhi dell'utente. Questo significa che tali applicazioni potrebbero essere installate sul tuo telefono ma non figurare negli elenchi di cui ti ho appena parlato. Per provare a scovare questo genere di app, fai questi tentativi.

Apri il browser che usi solitamente per navigare in Internet (es. Chrome su Android e Safari su iOS) e visita gli indirizzi

localhost:8888 o

localhost:4444 . Alcune app spia utilizzano questi indirizzi per mostrare il loro pannello di gestione.

Apri la schermata di composizione dei numeri di telefono e digita il codice

*12345. Alcune app spia utilizzano questo codice speciale per svelarsi e mostrare il loro pannello di gestione.

Se mettendo in pratica questi consigli non hai ottenuto dei risultati e sei ancora convinto che il tuo cellulare sia sotto controllo, l'unica soluzione che hai a tua disposizione, mi spiace, è formattare il dispositivo e reinstallare tutto daccapo.