Proseguono gli sviluppi del caso Exodus, lo spyware che sarebbe stato distribuito negli ultimi due anni su dispositivi Android attraverso almeno una ventina di app scaricabili dalla piattaforma ufficiale Play Store di Google. Il programma, realizzato da una compagnia italiana, avrebbe infettato diverse centinaia di cittadini italiani, forse un migliaio, che non avevano nulla a che fare con inchieste e procedimenti penali.

LA NOTA DELLA PROCURA DI NAPOLI

Da tempo – ha spiegato una nota del procuratore della Repubblica del Tribunale di Napoli, Giovanni Melillo, in riferimento alla notizia emersa sui media dopo una inchiesta realizzata da Motherboard con la non profit Security Without Boarders – la Procura del capoluogo campano ha avviato un’indagine, partita 4 mesi fa, “finalizzata all’accertamento di gravi reati collegati alla gestione di software utilizzati per l’intercettazione di comunicazioni telematiche con captatore informatico”. Nell’ambito dell’inchiesta la Procura di Napoli ha iscritto nel registro degli indagati quattro persone. Le indagini impegnano congiuntamente le strutture specializzate dalla Polizia, dei Carabinieri e della Guardia di finanza. Su richiesta della procura, il gip ha adottato lo scorso 20 febbraio il decreto di sequestro preventivo della stessa infrastruttura e delle aziende di E-Surv, ideatrice dell’applicazione e la Stm che si occupava della commercializzazione. Come fanno sapere gli stessi inquirenti, “l’intervento, diretto e coordinato dalla procura, degli specialisti del Cnaipic della Polizia postale, del Ros dei Carabinieri, del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza” (che avrebbe scoperto l’utilizzo illecito del malware nel corso di una verifica ad un server della procura di Benevento), “ha portato al definitivo spegnimento, con cessazione di ogni attività, della piattaforma informatica Exodus”. Nell’ambito dell’inchiesta sono state effettuate perquisizioni, sequestri e acquisizioni informative.

LO STRUMENTO

Secondo le prime ricostruzioni, lo strumento sarebbe stato in dotazione agli uffici inquirenti di numerose Procure. Con il tool sarebbe stato possibile tenere sotto totale controllo le attività telematiche degli indagati. Le informazioni “giudiziarie”, però, secondo quanto emergerebbe dal decreto di sequestro, invece di essere stoccate nelle unità di storage installate delle Procure sarebbero state trasferite su un’area cloud di Amazon, a esclusivo appannaggio della compagnia. Sarebbero state proprio le ripetute interruzioni delle connessioni di rete tra client e server, qualche mese fa, durante un’intercettazione della Procura di Benevento, a dare il via agli accertamenti, dai quali sarebbe emerso che i dati stoccati sulla ‘nuvola’ non erano crittografati e soprattutto che su quella stessa area ci sarebbero state anche informazioni di altri soggetti non sottoposti a indagine. Non si esclude che possano essere quelli raccolti dalla già citata serie di app contenenti lo spyware.

COME FUNZIONA EXODUS

Secondo varie analisi effettuate nel tempo (Motherboard cita anche quelle di Eset e Trail of Bits), le app dello spyware sarebbero state progettate per assomigliare a innocue applicazioni per ricevere promozioni e offerte di marketing da operatori telefonici italiani, o per migliorare le performance del dispositivo. Una volta installata una di queste app, lo spyware in questione consentirebbe, a chiunque lo controlli, di monitorare e gestire a distanza lo smartphone dell’utente per effettuare registrazioni ambientali e delle chiamate, ottenere la rubrica o la posizione Gps, visionare i messaggi di testo, di WhatsApp o Messenger e altro ancora.
Inoltre, aggiunge Motherboard, “lo spyware apre anche una porta e una shell sul dispositivo: in altre parole, gli operatori del malware possono far eseguire direttamente dei comandi al telefono infetto. Secondo i ricercatori, questa shell non è programmata per usare la crittografia, e la porta è esposta e accessibile a chiunque sia connesso alla stessa rete Wi-Fi a cui è connesso il dispositivo infettato. Questo vuol dire che chiunque nelle vicinanze potrebbe hackerare il dispositivo infetto, secondo i ricercatori”.
Un’ulteriore problema, evidenzia la testata citando una fonte che ha chiesto di rimanere anonima, è che lo spyware mancherebbe “del giusto scopo e delle protezioni atte a garantire che non colpisca persone che non hanno nulla a che vedere” con potenziali indagini, qualora fosse stato ideato per questi scopi.

IL COMMENTO DI ATERNO

La vicenda in questione, rilevano gli addetti ai lavori, è in definitiva ancora tutta da chiarire ed è per questo difficile commentarla. Ma, più in generale, il tema delle intercettazioni e dell’utilizzo dei trojan è da tempo al centro del dibattito tra gli esperti. Viene spesso ricordata, a questo proposito, la proposta di legge (mai passata) per regolamentare il settore realizzata da Stefano Quintarelli durante la scorsa legislatura, quando era parlamentare.
L’avvocato Stefano Aterno, professore presso i Laboratori di informazione e sicurezza dell’Università di Foggia, ha spiegato a Formiche.net che “per risolvere questi problemi sarebbe già sufficiente ripartire e migliorare il regolamento tecnico ministeriale (Giustizia) dell’aprile del 2018 e il provvedimento del Garante privacy di qualche anno fa sulle intercettazioni per vincolare tutte le società che vendono questi servizi – spesso non hanno misure di sicurezza adeguate né vi sono controlli adeguati – ad adottare misure tecniche di sicurezza più stringenti ed efficaci, con soluzioni tipiche secondo standard internazionali”.