WhatsApp: controlla subito questi dispositivi collegati

Un’applicazione come WhatsApp può essere utilizzata, certo, dal dispositivo mobile ma in tanti ancora non sanno che lo stesso account può essere utilizzato per inviare e ricevere messaggi e allegati anche da altri dispositivi. Già nel 2015, fu introdotto WhatsApp Web quindi la possibilità di inviare e ricevere messaggi da browser sincronizzando le chat con lo smartphone tramite codice QR. È lì che nacque la funzione Dispositivi collegati: consente di associare uno o più dispositivi (browser o app desktop) allo stesso account, permettendo di inviare e ricevere messaggi WhatsApp.

Come funziona oggi Dispositivi collegati su WhatsApp

Il vantaggio della funzione Dispositivi collegati è evidente e consiste nella possibilità, ad esempio, di servirsi di mouse e tastiera per scrivere in maniera più comodo da PC o per inviare/ricevere allegati su un dispositivo diverso dallo smartphone sul quale si è installato WhatsApp.

La prima implementazione (2015) era un semplice mirroring del telefono sempre connesso, mentre l’attuale sistema Dispositivi collegati di WhatsApp è un’architettura multi-device in cui ogni endpoint è autonomo e sincronizzato tramite sessioni cifrate indipendenti. Non è necessario che i dispositivi siano collegati alla stessa rete né che lo smartphone principale sia acceso: anche se fosse spento od offline si può continuare a usare WhatsApp dai Dispositivi collegati.

Per aggiungere un dispositivo collegato in grado di controllare l’account WhatsApp è sufficiente scansionare un codice QR o confermare l’inserimento di un codice alfanumerico. Anche se usate già WhatsApp Web, provate ad aprire una finestra di navigazione in incognito (CTRL+MAIUSC+N nella maggior parte dei browser su PC o CTRL+MAIUSC+P su Firefox) quindi scrivete web.whatsapp.com.

Vedrete comparire Inquadra per accedere con un codice QR generato da WhatsApp in bella evidenza. In alternativa, cliccando su Accedi con numero di telefono apparirà un codice alfanumerico, previa conferma del numero di telefono associato all’utenza WhatsApp.

Scegliendo la seconda opzione, WhatsApp sul telefono mostra la notifica Inserisci il codice per collegare il nuovo dispositivo. Toccandola, l’app di messaggistica presenta la richiesta riprodotta nella figura che segue: Stai cercando di collegare un dispositivo? Cliccando su Conferma, si autorizza il collegamento del nuovo dispositivo al proprio account WhatsApp: d’ora in avanti sarà possibile effettuare qualunque operazione, anche con lo smartphone principale offline o completamente spento.

Controllare l’elenco dei Dispositivi collegati in WhatsApp

Toccando sui tre puntini in alto a destra nella schermata principale di WhatsApp, lato smartphone, quindi cliccando su Dispositivi collegati, si può verificare la lista dei dispositivi eventualmente collegati con il proprio account. Come si vede nell’esempio in figura, in questo caso accediamo contemporaneamente a WhatsApp da 4 dispositivi diversi o, quanto meno, da 4 browser.

Toccando su uno dei dispositivi collegati (può essere anche un’istanza di WhatsApp Desktop), si ottengono maggiori informazioni tra cui anche la posizione geografica stimata.

Se non riconosceste uno o più dispositivi collegati, il consiglio è di toccare Disconnetti. In questo modo, il sistema remoto associato con l’account WhatsApp non sarà più in grado di gestirlo né di leggere o inviare messaggi.

Dispositivi collegati WhatsApp: funzionamento tecnico e truffe basate sul social engineering

Dietro un’interfaccia estremamente semplice si nasconde in realtà un meccanismo sofisticato di autenticazione crittografica e negoziazione delle chiavi. Quando un nuovo dispositivo viene collegato, non si sta semplicemente “accedendo” a un account, ma si sta instaurando una relazione di fiducia tra endpoint distinti, ciascuno dotato di una propria identità crittografica.

È proprio questa combinazione tra semplicità d’uso e complessità tecnica a rendere il sistema particolarmente interessante anche dal punto di vista della sicurezza. Se da un lato il modello multi-device elimina molte delle limitazioni storiche legate alla dipendenza dal telefono principale, dall’altro introduce nuove superfici di attacco che non riguardano tanto il protocollo in sé, quanto il modo in cui viene utilizzato.

Negli ultimi tempi si è infatti osservata una crescita significativa di tecniche truffaldine che sfruttano impropriamente la funzione dei Dispositivi collegati, non attraverso vulnerabilità software, ma mediante una manipolazione mirata del comportamento dell’utente (social engineering o ingegneria sociale). In questi scenari, l’attaccante non forza il sistema: lo utilizza esattamente come previsto, inserendosi però nel flusso di autenticazione con modalità ingannevoli.

Per comprendere fino in fondo come ciò sia possibile, è necessario analizzare nel dettaglio il funzionamento tecnico del processo di associazione, il ruolo del QR code e del codice alfanumerico, le dinamiche del client Web e le modalità con cui strumenti automatizzati riescono a sfruttare queste logiche. Non serve “hackerare” il telefono: il punto debole è quasi sempre l’utente.

Il modello di autenticazione: identità distribuita e pairing crittografico

Nel sistema multi-device di WhatsApp, ogni dispositivo collegato diventa un nodo autonomo all’interno di un’architettura basata su chiavi crittografiche persistenti e sessioni indipendenti. Quando si apre WhatsApp Web, il client esegue una sequenza ben precisa di attività:

• Genera una coppia di chiavi (tipicamente Curve25519).
• Richiede ai server di WhatsApp un identificatore di sessione (ref).
• Costruisce una stringa contenente ref, chiave pubblica, clientId. I dati sono inseriti nel codice QR.

In alternativa, è possibile usare il codice alfanumerico: funziona come una rappresentazione testuale temporanea degli stessi dati di pairing del QR code, permettendo di completare l’associazione inserendolo manualmente al posto della scansione e avviando lo stesso handshake crittografico tra i dispositivi.

Il codice QR e il codice alfanumerico non autenticano “l’utente” ma autorizzano una relazione di fiducia tra dispositivi.

Come funziona la truffa dei Dispositivi collegati su WhatsApp

In Italia imperversa la truffa della ballerina WhatsApp con diverse variazioni sul tema. Con i pretesti più vari, gli attaccanti mostrano un codice QR ma, molto più spesso, un codice alfanumerico chiedendo il confermare il proprio numero di telefono. L’operazione è presentata come uno strumento per confermare la legittimità o la provenienza di un voto (l’utente ha ricevuto l’invito da un conoscente di esprimere un voto in un concorso).

Spesso si usano immagini di bambini per spronare a fare quanto richiesto: “se esprimo un voto per far vincere la figlia dell’amico di un amico che male c’è?”

Peccato che gli aggressori stiano mostrando una pagina Web attraverso la quale si sta inconsapevolmente fornendo l’accesso senza limiti al proprio account WhatsApp (compresi tutti i messaggi pregressi). Si sta autorizzando una terza parte, che sfrutta la funzione legittima Dispositivi collegati di WhatsApp e l’architettura multi-device, per impossessarsi degli account WhatsApp altrui e iniziare a inviare messaggi al posto delle vittime.

Messaggi del tipo “Ciao, potresti votare per Francesca? È la figlia dei miei amici, il primo premio è un corso gratuito di danza, ed è molto importante per lei” sono inviati da account WhatsApp di conoscenti che sono già caduti nella trappola. “Il bello” è che una volta impossessatisi degli account WhatsApp altrui, gli aggressori possono eventualmente confezionare messaggi per prendere di mira contatti specifici della vittima, ad esempio studiando la cronologia dei messaggi e cercando così di acquisire la loro fiducia.

A quel punto la truffa può continuare quasi all’infinito, contattando alcuni utenti e avanzando richieste di denaro, giustificandole per le finalità più diverse.

Come funziona l’attacco a livello tecnico

Gli aggressori di solito avviano un browser Web (spesso headless, ad esempio con Puppeteer o Playwright), aprono in locale l’URL web.whatsapp.com, intercettano il QR code generato da WhatsApp e inserito nella struttura della pagina (o il codice alfanumerico ottenuto cliccando su Accedi con numero di telefono), quindi salvano i dati (il QR code come immagine o il codice alfanumerico come testo).

A questo punto inseriscono il codice QR in una pagina Web opportunamente confezionata oppure chiedono di specificare il numero di telefono per poi mostrare il codice alfanumerico restituito dall’istanza locale di WhatsApp Web usata dai criminali stessi. Se l’utente conferma l’accesso come visto in precedenza nel caso di WhatsApp Web, dal suo smartphone, il danno è fatto.

Ovviamente non esistono API ufficiali WhatsApp (ad esempio WhatsApp Business API) che permettano login via QR o codici alfanumerici.

Sono tuttavia disponibili progetti come whatsapp-web.js e Baileys presentanti come librerie frutto del reverse engineering di WhatsApp Web: simulano il client Web ed espongono i vari eventi (come la stringa che genera il codice QR). Facile che gli aggressori usino questi strumenti, non nati certo per finalità oscure, con l’obiettivo di bersagliare le vittime.

Come difendersi: consigli pratici per evitare abusi dei Dispositivi collegati

Alla luce del funzionamento tecnico illustrato, è evidente che il rischio principale non deriva da falle nel protocollo ma da un uso improprio della funzione da parte dell’utente, spesso indotto in errore attraverso l’uso di tecniche di ingegneria sociale. Per questo motivo, adottare alcune semplici contromisure consente di ridurre drasticamente la probabilità di compromissione.

Non scansionare codici al di fuori di WhatsApp

Il primo principio da tenere sempre a mente è che qualsiasi codice QR o codice alfanumerico relativo a WhatsApp serve esclusivamente per collegare un dispositivo sotto il proprio controllo. Non esiste alcun contesto legittimo in cui un servizio esterno, un concorso, un contatto o un presunto operatore possa chiedere di scansionare un codice o inserire un codice per “verificare” l’account. In presenza di richieste di questo tipo, si è certamente di fronte a un tentativo di truffa.

Controllo della sezione Dispositivi collegati

È altrettanto importante abituarsi a controllare con regolarità la sezione Dispositivi collegati: questa verifica consente di individuare immediatamente eventuali accessi sospetti. La presenza di sessioni non riconosciute, magari provenienti da località insolite o da browser mai utilizzati, è un segnale chiaro che richiede un intervento immediato. Attenzione però ai danni collaterali: se un aggressore avesse già fatto breccia nell’account WhatsApp usando la funzione Dispositivi collegati, nessuna informazione inviata o ricevuta con WhatsApp in passato può più essere considerata sicura/riservata: lo spieghiamo nel dettaglio nell’approfondimento dedicato alla truffa della ballerina.

Attivazione Verifica in due passaggi e attenzione alla fiducia implicita

Un ulteriore livello di protezione è rappresentato dall’attivazione della verifica in due passaggi (impostazioni di WhatsApp, sezione Account), che aggiunge un PIN di protezione. Pur non intervenendo direttamente sul meccanismo dei Dispositivi collegati, si tratta di una misura riduce il rischio complessivo di compromissione dell’account, soprattutto in scenari più complessi.

Infine, è opportuno sottolineare che molte truffe funzionano perché sfruttano relazioni di fiducia preesistenti. Anche se il messaggio proviene da un contatto noto, quindi, è sempre opportuno fermarsi un momento e valutare le motivazioni della richiesta. In caso di dubbio, il metodo più efficace resta quello più semplice: contattare direttamente la persona tramite un altro canale e verificare.

Cosa dovrebbe fare WhatsApp per ridurre il rischio di abusi

Per concludere, è anche lecito chiedersi quali contromisure potrebbe introdurre WhatsApp per ridurre il rischio di abusi della funzione Dispositivi collegati senza compromettere l’usabilità.

Un primo intervento potrebbe riguardare il rafforzamento dell’avviso mostrato all’utente durante il processo di associazione. Oggi la richiesta di conferma è corretta ma sintetica: un messaggio più esplicito, che evidenzi chiaramente che si sta concedendo accesso completo a un altro dispositivo, potrebbe aiutare a prevenire autorizzazioni inconsapevoli.

Un secondo aspetto riguarda l’introduzione di un sistema di verifica contestuale più robusto. Ad esempio, richiedere un’ulteriore conferma tramite PIN o biometria quando il collegamento avviene in condizioni anomale (nuovo Paese, nuovo dispositivo, orario insolito) permetterebbe di aggiungere un livello di protezione senza appesantire l’esperienza nei casi normali.

Si potrebbe inoltre migliorare la visibilità delle sessioni attive. Sebbene l’elenco dei dispositivi collegati sia già disponibile, una maggiore enfasi sulle notifiche renderebbe più immediata l’individuazione di accessi sospetti.

Infine, un ruolo centrale potrebbe essere giocato da meccanismi di rilevamento comportamentale. Analizzando pattern tipici delle campagne di abuso, come la generazione massiva di sessioni o l’utilizzo anomalo del client Web, Meta potrebbe intervenire in modo proattivo bloccando o segnalando attività sospette.