ROMA – Alcune centinaia di utenti italiani, forse oltre un migliaio, sono stati infettati per errore da un software pensato per intercettazioni di Stato, tramite una ventina di app inserite su Google Play Store. Lo spyware, il cui nome è Exodus, è stato scoperto dalla società no profit Security No Borders, in un’inchiesta fatta in collaborazione con la rivista Motherboard, che ne ha pubblicato il rapporto. A quanto si legge nel rapporto, come confermato da molti esperti informati dei fatti a Repubblica, Exodus è usato dalle principali procure per intercettare criminali (le loro telefonate, registrare i suoni ambientali, copiare la rubrica, il registro telefonico, la posizione gps, le conversazioni Facebook e via di questo passo). Il problema è che per un errore nel codice questo software finiva per intercettare in modo indiscriminato chiunque scaricasse queste app con lo spyware, presenti liberamente sullo store di Google (prima che Big G le rimuovesse proprio nei giorni scorsi). Perlopiù si trattava di app (ovviamente all’apparenza normali) che si presentavano come strumenti per migliorare le prestazioni del cellulare oppure per ricevere offerte promozionali del proprio operatore e quindi esclusive per chi le installava.

Il sistema delle intercettazioni di Stato
Le cyber intercettazioni di Stato funzionano così. “Dopo l’autorizzazione del giudice, l’intercettato viene indotto a scaricare lo spyware, che in gergo si chiama captatore informatico”, spiega Gerardo Costabile, co-fondatore in Italia dell’associazione internazionale IISFA – International Information Systems Forensics Association, ceo di DeepCyber, un passato nella Guardia di Finanza e in Poste Italiane. Per esempio, si fa mandare dall’operatore all’indagato un sms per scaricare l’app contenente lo spyware, con la promessa di uno sconto (gli operatori sono tenuti a collaborare con le forze dell’ordine) o si usano altre tecniche di ingegneria sociale per indurre al download. Uno spyware può essere nascosto, dagli hacker al soldo delle forze dell’ordine, anche in un aggiornamento del firmware del cellulare. “Il problema è che queste app con lo spyware erano scaricabile da chiunque e potevano intercettare chiunque; non funzionava infatti il filtro per limitare l’intercettazione solo ai cellulari degli indagati (identificabili dal trojan tramite il codice Imei del dispositivo)”, spiega Costabile, come riportato anche da Security No Borders. Non solo: secondo il rapporto, l’intercettazione di per sé era fatta in modo poco sicuro, quindi persone fisicamente vicine all’intercettato avrebbero potuto – via Wi-Fi – a loro volta spiarlo.

Il software Exodus
Il rapporto identifica la società calabrese eSurv come autrice del sistema di intercettazione “Sono gli stessi – molto apprezzati da diverse procure italiane – dietro una vicenda del 2017, quando è stata scoperta l’app 3 Mobile Updater pensata per intercettare legalmente clienti dell’operatore 3”, dice Costabile. In quel caso l’app non era finita sul Play Store, ma comunque era circolata in rete (e quindi di per sé ha costituito un pericolo, perché poteva essere usata da criminali per intercettazioni illegali). “Il problema di fondo è che le procure si affidano a società di persone anche molto competenti – tanto che in questo caso sono riusciti a superare i filtri di sicurezza di Google – ma piccole. E quindi l’errore è spesso in agguato”,  spiega Costabile.

La legge sui captatori informatici
Conferma l’avvocato specializzato in queste materie Stefano Aterno, ricordando che abbiamo dal 2017 una legge sui “captatori informatici” già bacchettata dal Garante Privacy per eccessiva vaghezza. “Le intercettazioni cyber in Italia sono una sorta di Far West. Bisogna rivedere le regole per obbligare queste società (come eSurv, ndr.) a adottare misure tecniche di sicurezza più stringenti, per esempio obbligando a usare cifratura con chiavi solo in possesso della magistratura”. Molti esperti ricordano la proposta di legge di Stefano Quintarelli, quando era parlamentare (nella scorsa legislatura), per regolamentare il settore. Proposta mai passata. “Durante la mia fase parlamentare ho lavorato molto approfonditamente con molti esperti giuristi, tecnologi, inquirenti, giudici e abbiamo consolidato una proposta di legge che regolamentava l’uso di questi strumenti nel rispetto delle garanzie costituzionali, di cui oggi sono carenti”, dice Quintarelli, noto anche per essere tra i padri dell’internet commerciale italiana. “C’è un vuoto normativo che è importante colmare a vantaggio dei cittadini e degli inquirenti. Nella legislatura precedente non ci fu tempo per affrontare la questione. speriamo che in questa la maggioranza trovi il tempo per sanare questo vulnus”.
 


L’approfondimento quotidiano lo trovi su Rep: editoriali, analisi, interviste e reportage.
La selezione dei migliori articoli di Repubblica da leggere e ascoltare.

Rep Saperne di più è una tua scelta

Sostieni il giornalismo!
Abbonati a Repubblica



Source link