Le tecniche per spiare WhatsApp

È possibile spiare WhatsApp sfruttando alcune vulnerabilità che consentono di bypassare la crittografia end-to-end usata per proteggere le conversazioni. Ecco le tecniche utilizzate dai criminal hacker e i consigli per mettere in sicurezza le proprie chat.

WhatsApp è l’applicazione di messaggistica istantanea (IM) più diffusa al mondo: la utilizzano oltre un miliardo e mezzo di utenti. Nel febbraio 2014 è stata acquistata da Facebook Inc. per 19 miliardi di dollari.

Dall’anno 2016 WhatsApp ha implementato la crittografia end-to-end, presente ormai in tutte le app di IM (Instant Messaging). L’algoritmo di crittografia utilizzato da WhatsApp è stato acquisito da Open Whisper Systems. Questa è una fondazione non profit che sviluppa software open source per la sicurezza delle comunicazioni. È stata creata da Moxie Marlinspike ed è oggi finanziata anche da Brian Acton (co-fondatore nel 2009 di WhatsApp assieme a Jan Koum). Acton è uscito dal gruppo Facebook-WhatsApp nel 2017 per fondare la Signal Foundation e nel 2018, dopo lo scandalo di Cambridge Analytica, ha dato vita al movimento #DeleteFacebook.

Open Whisper ha realizzato Signal, l’applicazione IM considerata tra le più sicure ed attente alla privacy. È quella preferita e consigliata da Edward Snowden, che ha affermato: “Use anything by Open Whisper Systems”.

Oggi tutti i sistemi IM (Instant Messaging) sono crittografati end-to-end e questo li rende nativamente più sicuri dell’e-mail, che utilizza ancora protocolli di trasmissione come l’SMTP sviluppati negli Anni 80.

Ma questo non ha impedito che WhatsApp sia stato oggetto di attacchi che – sfruttando alcune vulnerabilità dell’applicazione – sono riusciti a bypassare la crittografia end-to-end.

Questo è accaduto anche di recente: nel maggio scorso, infatti, è stata resa nota dal Financial Times una grave vulnerabilità della famosa applicazione di messaggistica istantanea. Questa vulnerabilità (classificata come CVE-2019-3568) aveva un’efficacia devastante: bastava infatti eseguire una chiamata vocale via WhatsApp per installare un software spia (spyware) sul telefono del destinatario.

Quello che la rendeva particolarmente grave era che si trattava di una vulnerabilità definita “zero-clic”, cioè non era necessario l’interazione della vittima per introdurre lo spyware. Sfruttava una vulnerabilità della funzionalità VoIP di WhatsApp: la semplice telefonata VoIP via WhatsApp, infatti, generava un “buffer overflow”, reso possibile dall’efficacia dell’arma messa a punto dall’attaccante. E sia l’arma che l’attaccante protagonisti di questa vicenda sono ormai noti: chi ha realizzato lo spyware di nome Pegasus è l’ormai famosa società israeliana NSO Group, leader mondiale dei software spia per dispositivi mobili.

Lo spyware Pegasus per il suo costo molto elevato (centinaia di migliaia di dollari) è utilizzato da agenzie governative, polizie e servizi segreti e solo per obbiettivi mirati e importanti. Quindi possiamo ritenere che la stragrande maggioranza degli utilizzatori di WhatsApp non siano stati spiati, perché obbiettivi non sufficientemente “pregiati” per giustificare il costo dell’operazione.

Ma è ormai noto che qualcuno (e non sono stati pochi!) è stato effettivamente spiato attraverso Pegasus: lo scorso 29 ottobre, infatti, WhatsApp e Facebook hanno citato in giudizio NSO Group e dai documenti presentati nella  causa intentata in un tribunale della California, WhatsApp Inc. e Facebook Inc. accusano NSO Group Technologies Limited di aver utilizzato i server di WhatsApp per inviare un malware (Pegasus, appunto) che ha spiato i cellulari di almeno 1.400 utenti tra il 29 aprile 2019 e il 10 maggio 2019.

Le vittime – secondo gli avvocati di Facebook e WhatsApp – sono giornalisti, attivisti per i diritti umani, esponenti politici, dissidenti, diplomatici ed alti funzionari governativi stranieri, che si trovano negli Stati Uniti, negli Emirati Arabi Uniti, in Bahrein, in Messico, in Pakistan e in India. Non è escluso che ci siano state vittime anche in Europa.

Aggiornamento del 14 luglio 2020: secondo quanto rivelato da un’inchiesta congiunta di Guardian ed El País, i principali esponenti politici catalani sono stati spiati con Pegasus. Lo spionaggio sarebbe avvenuto per un periodo di due settimane tra l’aprile e il maggio 2019 ed avrebbe preso di mira il presidente del Parlamento regionale della Catalogna, Roger Torrent, oltre ad Anna Gabriel, ex deputata regionale di estrema sinistra che vive in esilio in Svizzera, e Jordi Domingo, che lotta per l’indipendenza catalana. Torrent ha dichiarato di essere stato avvertito da ricercatori collegati a WhatsApp di essere stato intercettato: “È chiaro – ha detto – che c’è lo Stato spagnolo dietro l’hackeraggio del mio telefono”.


E l’accusa rivolta a NSO Group è forte, perché riguarda la violazione di una serie di norme, prima tra tutte il Computer Fraud and Abuse Act degli USA e il California Comprehensive Computer Data Access and Fraud Act, oltre che la violazione delle condizioni di utilizzo di WhatsApp.

Il 13 maggio 2019 WhatsApp ha rilasciato un aggiornamento (per iOS è stato il 2.19.51, per Android il 2.19.44) che chiudeva la vulnerabilità anche se, con discutibile “trasparenza”, il changelog dell’aggiornamento dichiarava semplicemente che “Adesso puoi vedere gli sticker nelle dimensioni originali tenendo premuta la notifica”.


Aggiornamento del 3 aprile 2020: la rinomata testata americana Vice-Motherboard ha pubblicato un articolo che fa rivelazioni interessanti – ed imbarazzanti! – sui rapporti tra Facebook e NSO Group: “Facebook Wanted NSO Spyware to Monitor Users, NSO CEO Claims“. 

Nella causa legale che si sta svolgendo tra Facebook e NSO Group è comparsa una dichiarazione del CEO di NSO, Shalev Hulio (la si può leggere qui) nella quale si afferma che alcuni emissari di Facebook nell’ottobre del 2017 hanno richiesto ad NSO di acquistare lo spyware Pegasus, o quantomeno alcune sue specifiche funzionalità, per riuscire ad ottenere dati sugli utenti Facebook che usano iPhone.

La pubblicazione di questo atto legale  dimostrerebbe che Facebook ha cercato di comprare Pegasus, per cercare di ottenere accesso (ovviamente in modo nascosto e non autorizzato) ai dati sensibili dei suoi utenti. Per fare questo Pegasus è – come abbiamo già spiegato – il miglior spyware del mondo!

Secondo quanto dichiarato dal CEO di  NSO, l’azienda israeliana ha respinto l’offerta, affermando di vendere i suoi servizi solo a “governi sovrani o agenzie governative”.

Perché Facebook avrebbe fatto questa richiesta? Lo scenario – se confermato – è inquietante. All’epoca, Facebook stava implementando un prodotto VPN chiamato Onavo Protect, che, all’insaputa degli utenti, analizzava il traffico web degli utenti che lo scaricavano. In questo modo Facebook riusciva a vedere quali altre applicazioni stavano utilizzando. L’applicazione Onavo fu rimossa dall’AppStore, perché violava le policy di Apple in merito alla raccolta dati. Queste policy impediscono alle app di usare dati con modalità che vanno oltre ciò che è rilevante per l’app o al fine di fornire servizi pubblicitari. L’app-VPN Onavo era presentata da Facebook come in grado di garantire “tranquillità all’utente”, con un livello di sicurezza aggiuntivo, ma in realtà instradava i dati concernenti la navigazione sui server di Facebook, che così riusciva ad analizzare e raccogliere dati ed avere ancora più informazioni sui suoi utenti.

Non potendo più contare sulla app Onavo Protect, Facebook avrebbe quindi pensato di rivolgersi a NSO per trovare altri e più efficaci strumenti “di spionaggio”, anche perché la raccolta di informazioni sugli utenti risulta per Facebook più difficile su iOS e quindi sugli iPhone, rispetto a quello che riescono a fare sui dispositivi Android.

Quanto è credibile questa notizia? Sicuramente se lo fosse, sarebbe molto grave e getterebbe un’ulteriore ombra sull’etica di Facebook. Va detto che NSO si sta difendendo in tribunale dalle accuse di Facebook, quindi non si può escludere che la dichiarazione del CEO di NSO sia strumentale. Ci auguriamo che su questa vicenda sia fatta chiarezza.


Spiare WhatsApp: come si fa

Possiamo considerare che sia abbastanza difficile per un attaccante leggere i messaggi WhatsApp, se per farlo deve violare la crittografia end-to-end (E2E).

Si deve però tenere presente che anche se una comunicazione è codificata end-to-end non significa che qualcuno non possa vederla. Significa solamente che i suoi contenuti sono criptati nel percorso da un’estremità all’altra. Questo impedisce l’attacco definito man in the middle (MITM, l’uomo nel mezzo).

Ma se una delle due “estremità” viene compromessa, se il nostro telefono viene hackerato (per esempio con le tecniche utilizzate da NSO Group) o fisicamente confiscato dalla polizia e sbloccato, la crittografia non serve più a nulla.

La messaggistica istantanea, dunque, si può usare essendo consapevoli dei suoi limiti e del fatto che non tutte le applicazioni non sono ugualmente sicure. WhatsApp, per esempio, non garantisce lo stesso livello di sicurezza rispetto a Signal ed altre app IM quali: Wire (di Wire Swiss GmbH) e Threema (di Threema GmbH, entrambe prodotte da aziende svizzere, ma pochissimo diffuse.

È importante essere consapevoli quindi che WhatsApp non è un’app pensata per la sicurezza e la sua grande diffusione la rende un interessante obbiettivo da parte di attaccanti che continuamente ne ricercano vulnerabilità da sfruttare.

Vediamo ora come è possibile spiare WhatsApp e come questo sia fattibile con strumenti che non richiedono competenze informatiche particolarmente elevate.

La modalità più frequente è l’utilizzo di software spia, con i cosiddetti “Spyware”, di cui il citato Pegasus rappresenta solo la punta più avanzata (e costosa) e dei quali parlo in dettaglio in questo articolo.

Esistono decine di app alla portata di chiunque ed a prezzi accessibili, con le quali è possibile spiare lo smartphone di un’altra persona. Sono app vendute lecitamente, con lo scopo ufficiale di “controllare lo smartphone dei propri figli”. In realtà si tratta di programmi la cui installazione nel dispositivo di un terzo (senza la sua autorizzazione) rappresenta un vero e proprio reato.

Le app più note si chiamano FlexiSPY, Hoverwatch, SpyFone, Mobistealth, mSpy, TeenSafe, Cerberus, ma in rete se ne possono trovare molte altre. Quasi tutte richiedono l’accesso diretto al dispositivo da spiare, per poter essere installate.

Una volta installato lo spyware, l’attaccante avrà a disposizione un’app o più frequentemente un account web attraverso il quale potrà vedere i dati contenuti nello smartphone della vittima: telefonate, messaggi, e-mail, foto. Potrà inoltre attivare funzioni, all’insaputa dell’utente, come fotocamera e microfono.

Alcune di queste app servono per spiare solo WhatsApp, ma la maggior parte di esse sono in grado di vedere ed inviare all’esterno tutto ciò che l’utente fa con il proprio smartphone, trasformandolo in una vera e propria “cimice” ambientale.

Citizen Lab, ha pubblicato a giugno 2019 un corposo rapporto dal titolo “The Predator in Your Pocket” che analizza questi differenti spyware in modo dettagliato.

Usare WhatsApp Web

Esiste un modo ancora più semplice per riuscire ad “ascoltare” la chat WhatsApp di qualcun altro. Ed in questo caso non è neppure necessario fare ricorso ad un app spyware, basta WhatsApp Web!

WhatsApp Web è una comoda app (si chiama WhatsApp Desktop) che consente di fare il “mirroring” del proprio WhatsApp anche sul computer. In alternativa, può essere utilizzata senza neppure installare l’app, semplicemente come webapp tramite Chrome, Firefox, Opera, Microsoft Edge e Safari.

In entrambe le modalità, basta aprire WhatsApp sullo smartphone e – dalle impostazioni alla voce “WhatsApp Web/Desktop” – inquadrare il QRCode che compare sullo schermo del computer.

A questo punto sul computer avremo il mirroring del nostro WhatsApp: tutte le conversazioni WhatsApp saranno sincronizzate tra smartphone e computer, ovviamente sarà necessario che lo smartphone sia connesso ad internet.

Tutto molto comodo, ma se è un’altra persona a prendere il nostro smartphone per abbinarlo al suo computer? Sarà un gioco da ragazzi spiare tutto quello che facciamo con WhatsApp.

Questo rischio può essere scongiurato in modo elementare, semplicemente evitando di lasciare lo smartphone incustodito senza la password di blocco.

Per maggiori approfondimenti, rimando al testo completo dell’articolo Spiare WhatsApp: le tecniche per sbirciare nelle chat altrui e i consigli per metterle in sicurezza, che ho scritto per CYBERSECURITY360, la testata del Network Digital 360 specializzata nella Cybersecurity, con la quale collaboro sin dalla sua nascita.


© Copyright 2019 Giorgio Sbaraglia
All rights reserved.

Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Non opere derivate 4.0 Internazionale.

Lascia un commento