Prosegue l’inchiesta su Exodus, lo spyware che sarebbe stato distribuito negli ultimi due anni su dispositivi Android attraverso almeno una ventina di app scaricabili dalla piattaforma ufficiale Play Store di Google. Il programma, realizzato da una compagnia italiana, avrebbe infettato diverse centinaia di cittadini italiani, forse un migliaio, che non avevano nulla a che fare con inchieste e procedimenti penali.

LE ULTIME NOTIZIE

Secondo le ultime notizie, il pool cybercrime della Procura di Napoli (coordinato dal procuratore Giovanni Melillo e dal procuratore aggiunto Vincenzo Piscitelli) “ha chiesto e ottenuto l’arresto di due persone” (appartenenti a E-surv, società proprietaria della piattaforma), per le quali il gip di Napoli Rosa de Ruggero ha disposto i domiciliari.
Le misure cautelari, riportano fonti d’agenzia, sono state emesse dopo indagini che hanno visto impegnati esperti dei carabinieri del Ros, del Nucleo speciale tutela frodi tecnologiche della Guardia di Finanza e della Polizia Postale (Cnaipic). Gli indagati “sono accusati dei reati – continuati e in concorso – di accesso abusivo a sistemi informatici, intercettazioni illecite, trattamento illecito di dati e frode in pubbliche forniture”.
Le forze dell’ordine hanno eseguito numerose perquisizioni e sequestrato qualche decina di dispositivi informatici nelle sedi di alcune società per conto delle quali la E-surv avrebbe operato in subappalto. Le indagini sono ancora in corso.

I DATI NEGLI USA

A rendere più complessa la situazione è il fatto che i dati intercettati da Exodus – fino a qualche mese fa utilizzata da diversi uffici inquirenti italiani – sia che fossero frutto di delicate indagini delle Procure, e quindi segreti, o sia di attività mai autorizzate – sarebbero finiti nei cloud di Amazon, negli Stati Uniti.
I circa 80 terabyte di dati trovati sono riferibili a oltre 800 attività di intercettazione molte delle quali, ben 234, sarebbero state realizzate senza che gli inquirenti ne fossero a conoscenza, con un captatore informatico che ‘infettava’ computer e cellulari. Dati che sarebbero confluiti in unità di memorizzazione esterne alle Procure, insieme con quelli carpiti legalmente. Ora questi dati, grazie all’intervento della magistratura, sarebbero stati resi “inaccessibili”, disabilitando gli account. Si tratterebbe di informazioni che si sarebbero dovute trovare nelle unità di storage dei server delle Procure e che, invece, per motivi che sono ancora oggetto di indagine, finivano negli Usa.

COME FUNZIONA EXODUS

A scrivere per prima della vicenda è stata Motherboard (Vice), in un’inchiesta realizzata da Lorenzo Franceschi-Bicchierai e Riccardo Coluccini congiuntamente a Security Without Borders. I ricercatori di quest’ultima, una non profit, hanno pubblicato un report tecnico che analizza il software in modo dettagliato.
Secondo varie analisi effettuate nel tempo (Motherboard cita anche quelle di Eset e Trail of Bits), le app dello spyware sarebbero state progettate per assomigliare a innocue applicazioni per ricevere promozioni e offerte di marketing da operatori telefonici italiani, o per migliorare le performance del dispositivo. Una volta installata una di queste app, lo spyware in questione consentirebbe, a chiunque lo controlli, di monitorare e gestire a distanza lo smartphone dell’utente per effettuare registrazioni ambientali e delle chiamate, ottenere la rubrica o la posizione Gps, visionare i messaggi di testo, di WhatsApp o Messenger e altro ancora.
Inoltre, aggiunge Motherboard, “lo spyware apre anche una porta e una shell sul dispositivo: in altre parole, gli operatori del malware possono far eseguire direttamente dei comandi al telefono infetto. Secondo i ricercatori, questa shell non è programmata per usare la crittografia, e la porta è esposta e accessibile a chiunque sia connesso alla stessa rete Wi-Fi a cui è connesso il dispositivo infettato. Questo vuol dire che chiunque nelle vicinanze potrebbe hackerare il dispositivo infetto, secondo i ricercatori”.
Un’ulteriore problema, evidenzia la testata citando una fonte che ha chiesto di rimanere anonima, è che lo spyware mancherebbe “del giusto scopo e delle protezioni atte a garantire che non colpisca persone che non hanno nulla a che vedere” con potenziali indagini, qualora fosse stato ideato per questi scopi.

IL COMMENTO DI ATERNO

La vicenda in questione, della quale ha parlato anche il Garante Privacy – rilevano gli addetti ai lavori – è in definitiva ancora tutta da chiarire ed è per questo difficile commentarla. Ma, più in generale, il tema delle intercettazioni e dell’utilizzo dei trojan è da tempo al centro del dibattito tra gli esperti. Viene spesso ricordata, a questo proposito, la proposta di legge (mai passata) per regolamentare il settore realizzata da Stefano Quintarelli durante la scorsa legislatura, quando era parlamentare.
L’avvocato Stefano Aterno, professore presso i Laboratori di informazione e sicurezza dell’Università di Foggia, ha spiegato a Formiche.net che “per risolvere questi problemi sarebbe già sufficiente ripartire e migliorare il regolamento tecnico ministeriale (Giustizia) dell’aprile del 2018 e il provvedimento del Garante privacy di qualche anno fa sulle intercettazioni per vincolare tutte le società che vendono questi servizi – spesso non hanno misure di sicurezza adeguate né vi sono controlli adeguati – ad adottare misure tecniche di sicurezza più stringenti ed efficaci, con soluzioni tipiche secondo standard internazionali”.