Nota: questo articolo ha l'unico obiettivo di informare tutti i lettori di un potenziale pericolo, dando loro la possibilità e gli strumenti per difendersi. La redazione di Tom's Hardware ricorda che spiare le comunicazioni di un'altra persone è illegale (accesso abusivo a mezzo informatico).
WhatsApp web è stata una rivoluzione, un fantastico modo per avere il più famoso instant messenger per telefonini sullo schermo del computer, così da poter scrivere dei messaggi lunghi come Guerra e Pace e allegare le foto ed i video molto più comodamente.
Ma è tutto oro quel che luccica?
Ho scoperto, ma forse molti di voi già lo sapevano, un trucchetto che permette di spiare la messaggistica WhatsApp altrui, sfruttando web.whatsapp.com, tutto l'esperimento descritto è realizzato usando due telefoni Android e il Chrome browser per Android.
Diciamo che Bob vuole spiare Alice
Passo 1:
Bob manda in esecuzione il proprio browser Chrome Android in modalità Desktop, perché altrimenti web.whatsapp.com lo reindirizza alla versione mobile di www.whatsapp.com, come in Figura 1:
Cliccando sulle tre righine in alto a destra del browser, tra le opzioni c'è "richiedi sito desktop", come in Figura 2:
Bob digita web.whatsapp.com e riceve il QR code da scansionare.
Passo 2:
Bob si impossessa del telefono di Alice, per pochi secondi, lancia WhatsApp e seleziona la voce WhatsApp Web, col telefono di Alice, scansiona il QR code presente sul proprio telefono, Figura 3:
Poi Bob rimette a posto il telefono di Alice.
Passo 3:
Bob lancia il proprio Chrome su web.whatsapp.com e visualizza tutte le chat di Alice e questo continuerà fintanto che Alice non disconnetterà il proprio WhatsApp dal browser di Bob, ammesso che Alice se ne accorga, perché potrebbe non essere un'utilizzatrice di web whatsapp e quindi non controlla se il proprio messenger è connesso con qualche computer o altro.
Ma se dovesse controllare, Alice potrebbe vedere una schermata come questa, Figura 5:
Che non dice nulla sull'identità di chi la sta spiando.
Conclusioni
Quello che abbiamo descritto è un piccolo esperimento, semplice da mettere in pratica anche a casa. L'intenzione dell'autore è diffondere l'informazione affinché più persone si possano proteggere da un'eventuale attacco.
Il rischio è relativamente mitigato dal fatto che bisogna avere accesso al telefono della vittima, ma basta qualche secondo dopotutto. Considerando che gli stalker sono spesso persone vicine a noi, parenti e amici, mettere a segno il colpo potrebbe risultare fin troppo semplice.
Whatsapp non offre uno strumento specifico per evitare questo rischio, ma possiamo sempre controllare di tanto in tanto le impostazioni di Whasapp e assicurarci che non siano collegati computer che non dovrebbero esserci. Possiamo interrompere un'eventuale attività di spionaggio, ma purtroppo non possiamo fare nulla se qualcuno ha già visto, e magari salvato, i messaggi e le fotografie che abbiamo scambiato in precedenza.
Meglio quindi fare attenzione e non lasciare mai il telefono incustodito, e bloccare sempre con un PIN o una password. Per gli utenti Apple, sarà di magra consolazione sapere che possono essere vittime, in questo caso, ma non usare il proprio iPhone come strumento di spionaggio. Richiedere il sito desktop in Chrome per iOS, infatti, porta a un caricamento infinito di web.whatsapp.com, e di fatto è impossibile completare la procedura descritta. Vi invitiamo comunque a fare ulteriori esperimenti, magari potete scoprire altri pericoli a aiutarci così a migliorare la sicurezza per tutti.
L'autore
Nanni Bassetti è Laureato in Scienze dell'Informazione a Bari ed è libero professionista specializzato in informatica forense. Ha collaborato come free-lance con molte riviste informatiche nazionali e internazionali e come docente per molti corsi presso enti, scuole e università, ha inoltre scritto articoli divulgativi di programmazione, web usability, sicurezza informatica e digital forensics.
Ha lavorato come ausiliario di Polizia Giudiziaria e per alcune Procure della Repubblica oltre che come CTU/CTP per molte analisi forensi informatiche civili e penali. Iscritto all'albo dei C.T.U. presso il Tribunale di Bari, è consulente di parte civile per alcuni casi di risonanza nazionale. Fondatore di CFI - Computer Forensics Italy - la più grande community di computer forensics italiana e segretario di ONIF (Osservatorio Nazionale Informatica Forense).
Project manager di Caine Linux Live Distro forense. Curatore del sito Scripts4cf dedicato a software per la computer forensics. Ha pubblicato "Internet Web Security - tutta la verità sulla sicurezza del web" nel 2004 con la Duke Editrice e il libro "Indagini Digitali". Fa parte del Comitato di Redazione della rivista "Sicurezza e Giustizia", su cui ha pubblicato diversi articoli.