Più di mille italiani intercettati su cellulare per errore da hacker di Stato

Il problema scoperto e denunciato dalla società no profit Security Without Borders. Il software, lo spyware "Exodus", era pensato per spiare legalmente criminali ma per un presunto errore di programmazione ha finito per intercettare anche cittadini normali

di ALESSANDRO LONGO
ABBONATI A
Invia per email
Stampa
30 marzo 2019
615
ROMA - Alcune centinaia di utenti italiani, forse oltre un migliaio, sono stati infettati per errore da un software pensato per intercettazioni di Stato, tramite una ventina di app inserite su Google Play Store. Lo spyware, il cui nome è Exodus, è stato scoperto dalla società no profit Security Without Borders, in un'inchiesta fatta in collaborazione con la rivista Motherboard, che ne ha pubblicato il rapporto. A quanto si legge nel rapporto, come poi confermato da molti esperti a Repubblica, Exodus è usato dalle principali procure per intercettare criminali (le loro telefonate, registrare i suoni ambientali, copiare la rubrica, il registro telefonico, la posizione gps, le conversazioni Facebook e via di questo passo). Il problema è che per un errore nel codice questo software finiva per intercettare in modo indiscriminato chiunque scaricasse queste app con lo spyware, presenti liberamente sullo store di Google (prima che Big G le rimuovesse proprio nei giorni scorsi). Perlopiù si trattava di app (ovviamente all'apparenza normali) che si presentavano come strumenti per migliorare le prestazioni del cellulare oppure per ricevere offerte promozionali del proprio operatore e quindi esclusive per chi le installava.

Che cosa è successo a chi ha scaricato l'app
Una volta installata l'app, lo spyware permette, a chiunque lo controlli, di gestire a distanza il cellulare dell'utente. Il controllore può essere la società che ha sviluppato il software o chiunque ci abbia poi messo le mani e sia riuscito a farlo installare all'utente. Il rapporto pubblica una lunga lista delle cose che lo spyware permette di fare. In sostanza è possibile sapere non solo tutto quello che l'utente sta facendo con il cellulare; ma anche le cose che fa - di persona, fisicamente - quando ha il cellulare con sé. Oltre alle chiamate, le chat (anche quelle in teoria criptate), gli indirizzi web visitati, la rubrica dei contatti, le foto scattate, i suoi appuntamenti messi in agenda, rivela anche la sua posizione fisica momento per momento (registrata dal gps e dalle antenne degli operatori). La password del Wi-Fi, poi, permette di entrare nella rete domestica dell'utente e fare ulteriori intercettazioni. Il controllore dello spyware può aprire il microfono del cellulare e quindi ascoltare tutti i rumori circostanti, quindi le conversazioni fatte di persona dall'utente. Può far scattare foto e così vedere i volti delle persone vicine allo smartphone.

Il sistema delle intercettazioni di Stato
Le cyber intercettazioni di Stato funzionano così. "Dopo l'autorizzazione del giudice, l'intercettato viene indotto a scaricare lo spyware, che in gergo si chiama captatore informatico", spiega Gerardo Costabile, co-fondatore in Italia dell'associazione internazionale IISFA - International Information Systems Forensics Association, ceo di DeepCyber, un passato nella Guardia di Finanza e in Poste Italiane. Per esempio, si fa mandare dall'operatore all'indagato un sms per scaricare l'app contenente lo spyware, con la promessa di uno sconto (gli operatori sono tenuti a collaborare con le forze dell'ordine) o si usano altre tecniche di ingegneria sociale per indurre al download. Uno spyware può essere nascosto, dagli hacker al soldo delle forze dell'ordine, anche in un aggiornamento del firmware del cellulare. "Il problema è che queste app con lo spyware erano scaricabile da chiunque e potevano intercettare chiunque; non funzionava infatti il filtro per limitare l'intercettazione solo ai cellulari degli indagati (identificabili dal trojan tramite il codice Imei del dispositivo)", spiega Costabile, come riportato anche da Security No Borders. Non solo: secondo il rapporto, l'intercettazione di per sé era fatta in modo poco sicuro, quindi persone fisicamente vicine all'intercettato avrebbero potuto - via Wi-Fi - a loro volta spiarlo.
Più di mille italiani intercettati su cellulare per errore da hacker di Stato
Condividi

Il software Exodus
Il rapporto identifica la società calabrese eSurv come autrice del sistema di intercettazione "Sono gli stessi - molto apprezzati da diverse procure italiane - dietro una vicenda del 2017, quando è stata scoperta l'app 3 Mobile Updater pensata per intercettare legalmente clienti dell'operatore 3", dice Costabile. In quel caso l'app non era finita sul Play Store, ma comunque era circolata in rete (e quindi di per sé ha costituito un pericolo, perché poteva essere usata da criminali per intercettazioni illegali). "Il problema di fondo è che le procure si affidano a società di persone anche molto competenti - tanto che in questo caso sono riusciti a superare i filtri di sicurezza di Google - ma piccole. E quindi l'errore è spesso in agguato", spiega Costabile.
Più di mille italiani intercettati su cellulare per errore da hacker di Stato
Condividi

La legge sui captatori informatici
Conferma l'avvocato specializzato in queste materie Stefano Aterno, ricordando che abbiamo dal 2017 una legge sui "captatori informatici" già bacchettata dal Garante Privacy per eccessiva vaghezza. "Le intercettazioni cyber in Italia sono una sorta di Far West. Bisogna rivedere le regole per obbligare queste società (come eSurv, ndr.) a adottare misure tecniche di sicurezza più stringenti, per esempio obbligando a usare cifratura con chiavi solo in possesso della magistratura". Molti esperti ricordano la proposta di legge di Stefano Quintarelli, quando era parlamentare (nella scorsa legislatura), per regolamentare il settore. Proposta mai passata. "Durante la mia fase parlamentare ho lavorato molto approfonditamente con molti esperti giuristi, tecnologi, inquirenti, giudici e abbiamo consolidato una proposta di legge che regolamentava l'uso di questi strumenti nel rispetto delle garanzie costituzionali, di cui oggi sono carenti", dice Quintarelli, noto anche per essere tra i padri dell'internet commerciale italiana. "C'è un vuoto normativo che è importante colmare a vantaggio dei cittadini e degli inquirenti. Nella legislatura precedente non ci fu tempo per affrontare la questione. Speriamo che in questa la maggioranza trovi il tempo per sanare questo vulnus".


www.repubblica.it/tecnologia/sicurezza/2019/03/30/news/molte_centinaia_di_italiani_intercettati_su_cellulare_per_errore_da_hacker_di_stato-222865990/?ref=RHPPLF-BH-I0-C8-P1...

Cybersicurezza, mille italiani spiati sul cellulare. “Software creato da società di Catanzaro”. Indaga la procura di Napoli
Cybersicurezza, mille italiani spiati sul cellulare. “Software creato da società di Catanzaro”. Indaga la procura di Napoli
Secondo "Security without borders" e "Motherboard", lo spyware "Exodus" sarebbe stato prodotto dalla eSurv, azienda che "ha vinto un bando della Polizia di Stato per lo sviluppo di un 'sistema di intercettazione passiva e attiva'" ed è stato diffuso per errore sul Play Store di Google

di F. Q. | 30 Marzo 2019
23
307
Più informazioni su: Cybersicurezza
Un migliaio di cittadini italiani sono stati intercettati per errore da uno spyware creato da un’azienda italiana, che sarebbe stato venduto alla Polizia di Stato e poi sarebbe finito su Google Play. Lo scrive, nel suo blog ufficiale, la società Security without borders, che in collaborazione con Motherboard ha effettuato la scoperta. Sotto accusa c’è un malware, dal nome Exodus, che è stato programmato dalla società calabrese eSurv che produce soluzioni per la sorveglianza e che, con tutta probabilità, è stato diffuso per errore sul Play Store di Google. Circa un migliaio di persone lo hanno scaricato, perché contenuto in applicazioni ottenibili gratuitamente. Exodus è in grado di effettuare numerosissime operazioni sul telefono della vittima, perché studiato appositamente per spiare i criminali. Può registrare le telefonate, l’audio ambientale, così come copiare gli sms e i numeri di telefono in rubrica e leggere la posizione attraverso il gps.

“Riteniamo – spiegano gli autori della ricerca – che questa piattaforma spyware sia stata sviluppata da una società italiana chiamata eSurv, di Catanzaro, che opera principalmente nel settore della videosorveglianza. Secondo informazioni disponibili pubblicamente sembra che eSurv abbia iniziato a sviluppare spyware dal 2016”. Secondo l’analisi effettuata sul malware, “Exodus è dotato di ampie capacità di raccolta e di intercettazione. È particolarmente preoccupante che alcune delle modifiche effettuate dallo spyware potrebbero esporre i dispositivi infetti a ulteriori compromissioni o a manomissioni dei dati”. Motherboard scrive che “eSurv ha vinto un bando della Polizia di Stato per lo sviluppo di un ‘sistema di intercettazione passiva e attiva’, come emerge da un documento pubblicato online nel rispetto della legge italiana sulla trasparenza. Il documento rivela che eSurv ha ricevuto un pagamento di 307.439,90 € il 6 novembre 2017“.

Sulla vicenda la procura di Napoli ha aperto un fascicolo d’indagine: a coordinare l’attività investigativa, che interessa tutto il territorio nazionale, è il procuratore capo Giovanni Melillo. Secondo quanto si apprende, il fascicolo è stato aperto tempo fa: la prima individuazione del malware è infatti avvenuta proprio nel capoluogo partenopeo. Anche il Copasir, il comitato di controllo sui servizi segreti, approfondirà la vicenda del software spia prodotto da un’azienda italiana per che avrebbe infettato i telefoni di centinaia di italiani. Secondo quanto si apprende, nei prossimi giorni il Comitato chiederà al Dis, il dipartimento che coordina l’attività delle agenzie di intelligence, notizie e aggiornamenti sulla vicenda.

“È un fatto gravissimo. La notizia dell’avvenuta intercettazione di centinaia di cittadini del tutto estranei ad indagini giudiziarie, per un mero errore nel funzionamento di un captatore informatico utilizzato a fini investigativi, desta grande preoccupazione e sarà oggetto dei dovuti approfondimenti, anche da parte del Garante, per le proprie competenze. La vicenda presenta contorni ancora assai incerti ed è indispensabile chiarirne l’esatta dinamica”, dice il Garante della privacy Antonello Soro.

In seguito alla scoperta, Security without borders ha segnalato a Google la presenza dello spyware, che è stato rimosso in tutte le sue varianti, circa 25. Una volta eliminate dallo store le app, la società americana ha dichiarato in una comunicazione via email che “grazie a modelli di rilevamento avanzati, Google Play Protect sarà ora in grado di rilevare meglio le future varianti di queste applicazioni”.

Al contrario, però, Google non ha condiviso con i ricercatori il numero totale di dispositivi infetti, ma ha confermato che una di queste applicazioni malevole ha raccolto oltre 350 installazioni attraverso il Play Store, mentre altre varianti hanno raccolto poche decine ciascuna, e che tutte le infezioni sono state localizzate in Italia. “Abbiamo direttamente osservato molteplici copie di Exodus con più di 50 installazioni e possiamo stimare approssimativamente che il numero totale di infezioni ammonti a diverse centinaia, se non un migliaio o più”, si legge nella ricerca.

Alcuni esperti hanno riferito a Motherboard che l’operazione potrebbe aver colpito vittime innocenti “dal momento che lo spyware sembrerebbe essere difettoso e mal direzionato. Esperti legali e delle forze dell’ordine hanno riferito al sito che lo spyware potrebbe essere illegale”. Il software spia agiva in due step. Exodus One raccoglieva informazioni base di identificazione del dispositivo infetto (in particolare il codice Imiei che consente di identificare in maniera unica uno telefono ed il numero del cellulare). Una volta individuate queste informazioni si passava alla fase Exodus Two, veniva installato un file che raccoglieva dati e informazioni sensibili dell’utente infettato come la cronologia dei browser, le informazioni del calendario, la geolocalizzazione, i log di Facebook Messenger, le chat di WhatsApp.


www.ilfattoquotidiano.it/2019/03/30/cybersicurezza-mille-italiani-spiati-sul-cellulare-software-creato-da-societa-di-catanzaro/...