È possibile spiare WhatsApp? Lo abbiamo chiesto ad un esperto

Da quando WhatsApp ha letteralmente soppiantanto l’utilizzo degli SMS, molte sono le situazioni che inducono le persone a voler spiare le conversazioni WhatsApp di un altro soggetto. Senza soffermarci sugli aspetti legali della questione (su cui ci preme comunque sotolineare che tale attività è illegale, se compiuta all’insaputa dell’utente, anche nel caso in cui si tratti di un dipendente con telefono aziendale), cercheremo di capire se tutto ciò sia possibile o meno.

Ad aiutarci in questa impresa, abbiamo chiesto un parere a Luca Mercatanti, esperto di Hacking e Sicurezza Informatica, dove, nel suo Blog, tratta questi argomenti a partire dal 2007, tempi non sospetti, dove in Italia l’ADSL era ancora un miraggio per molti.

È davvero possibile spiare WhatsApp?

Prima di tutto, è bene chiarire che la violazione di un account WhatsApp (e di qualsiasi sistema informatico in generale) non avviene semplicemente digitando sulla tastiera comandi casuali, come invece i film ci hanno insegnato a credere. Un attacco informatico, soprattutto oggigiorno, è composto da un’analisi preliminare del target, da tutta una serie di attività volte a raccogliere informazioni necessarie all’attacco vero e proprio e, per finire, dall’acquisto di strumenti (generalmente molto costosi) che permettono di violare il sistema in questione.

Cosa ci dici dei software spia per smartphone Android ed Apple?

In commercio esistono centiana di software per spia per Android ed Apple, ma pochi sono quelli che continuano a funzionare correttamente. Se fino al 2015/2016 accedere alle conversazioni WhatsApp di un soggetto era un’operazione relativamente semplice, oggigiorno i sistemi di sicurezza implementati dalle diverse aziende coinvolte (produttori di smartphone, software, etc…) sono ppiù elevati rispetto a qualche anno fa. Non che prima tale sicurezza non fosse disponibile, ma semplicemente venivano lasciate delle “strade aperte” che era possibile percorrere. Un esempio? Per quanto già nel 2015 esitesse il concetto di “Fattore a doppia autenticazione”, questo non era minimamente implementato su WhatsApp e ciò si traduceva nella possibilità di accedere più facilmente (rispetto ad oggi) alle conversazioni di un soggetto.

I backup di WhatsApp, inoltre, adesso sono cifrati all’interno del Cloud (sia Apple che Android), operazione che rende impossibile effettuare il download delle conversazioni nel caso in cui si riescano ad ottenere i dati di accesso dell’account collegato.

Quindi, in passato, era sufficiente avere nome utente e password dell’account Cloud?

Si e no. Per quanto riguarda Apple ed iPhone, dispositivo che generalmente viene considerato il più sicuro sul mercato, era sufficiente avere a disposizione Apple ID e relativa password per accedere a qualsiasi informazione riservata del proprietario dell’iPhone in questione. Con tali dati, si poteva accedere alle conversazioni WhatsApp, foto, rubrica, SMS e tutto ciò che veniva caricato all’interno del sistema iCloud. Ciò era possibile in quanto non era obbligatorio attivare il fattore a doppia autenticazione e con un software da poche centinaia di Euro era possibile effettuare il download di tutti i dati sul proprio computer, per poi consultarli offline in qualsiasi momento.

E per Android, invece, cosa ci dici?

Android non ha mai avuto questo problema, in quanto, pur avendo le conversazioni salvate su Drive, l’analogo di iCloud, queste non sono accessibili, anche avendo a disposizione nome utente e password. Dal punto di vista della sicurezza, però, essendo Android un sistema operativo “aperto”, ovvero che permette l’installazione di App anche da terze parti, è più soggetto (tutt’ora) ad eventuali software spia che sono in grado di intercettare le conversazioni WhatsApp.
C’è comunque da sottolineare che, ad oggi, la maggior parte di queste applicazioni spia non funziona correttamente e che, in ogni caso, necessitano dell’accesso root al sistema, operazione che richiede l’accesso fisico al dispositivo della vittima.

Quindi è necessario avere il telefono della vitima per effettuare tali operazioni?

Sì, salvo rarissimi casi, e mediante l’acquisto di costosissimi exploit (decine di migliaia di Euro, nella maggior parte dei casi), l’unica possibilità di un attaccante per ottenere l’accesso a WhatsApp è quello di disporre per 15-30 minuti del telefono della vittima, al fine di poter ottenere l’accesso root ed installare i software necessari.