Uno sviluppatore noto come Gommzy ha creato un repository su GitHub intitolato Device Activity Tracker. Fa riferimento al risultato di una ricerca pubblicata in ottobre (PDF) e dimostra come sia possibile tracciare l’attività di un dispositivo, e di conseguenza del suo proprietario, facendo leva su un sistema integrato in alcune applicazioni di messaggistica, WhatsApp inclusa.
Monitorare l’attività di qualcuno su WhatsApp
Il tool è in grado di misurare il parametro RTT (Round-Trip Time) delle ricevute di consegna dei messaggi, restituendo indicazioni piuttosto precise su quando l’utente è attivo (RTT basso), quando il dispositivo è in standby o risparmio energetico (RTT altro) e quando cambia location (passaggio da dati mobile a Wi-Fi e viceversa). In altre parole, analizza la latenza e sulla base delle informazioni rilevate può individuare pattern che si ripetono nel tempo: quando è a casa, quando è via, quando sta lavorando o dormendo.
Un pratica di questo tipo mostra il fianco ad abusi per quanto riguarda la sorveglianza, mettendo potenzialmente a rischio la privacy di chi viene monitorato. Si aggiunga che per farlo è sufficiente conoscere il numero di telefono della vittima per avere un quadro più completo.
WhatsApp non è l’unica applicazione vulnerabile a questo comportamento, c’è anche Signal. Ad oggi, non esiste alcuna impostazione utile per evitare che accada, nemmeno disabilitare le notifiche di lettura.
I ricercatori autori dello studio hanno posto l’attenzione anche su un’altra conseguenza negativa di questo attacco, che non c’entra con la privacy. Riguarda il consumo della batteria e del traffico dati. In particolare, l’autonomia può essere compromessa fino a esaurirsi in poche ore, in modo inspiegabile per l’utente.
Senza scendere troppo in dettagli tecnici (per quelli c’è la documentazione linkata a fondo articolo), come avviene? Chi vuol monitorare qualcuno, può inviare reazioni a messaggi inesistenti o già eliminati, innescando un feedback dal contatto selezionato, senza che quest’ultimo se ne accorga.
I nostri test hanno dimostrato che … anche le reazioni … che fanno riferimento a messaggi inesistenti attivano le ricevute di consegna. Questo elimina il prerequisito di avere una conversazione esistente contenente un messaggio a cui si riferisce una reazione.
Al momento non è noto se e come i team di WhatsApp e Signal abbiano intenzione di affrontare il problema. La seconda delle applicazioni citate risulta comunque meno vulnerabile, per una differente modalità di gestione delle conferme.
Ci sono già applicazioni che lo fanno
Va detto che i tool per controllare qualcuno monitorandone l’attività su WhatsApp esistono da tempo. È sufficiente una ricerca su Google Play per trovarne diversi. Ciò che fanno è più o meno quanto già descritto, in bilico tra un’utility legittima e uno stalkerware per lo spionaggio.
Ti potrebbe interessare
15 dic 2025