Un malware sul Play Store di Google ormai non fa più notizia, ma il caso "Exodus" in Italia sta alimentando un polverone senza precedenti perché si parla del possibile coinvolgimento di E-Surv, un fornitore della Polizia di Stato. L'intera indagine giornalistica è stata curata da Motherboard con il supporto della non-profit Security Without Borders e la specialista in cybersicurezza Trail of Bits. Proprio oggi, come riporta ANSA, la Procura di Napoli ha chiesto e ottenuto il sequestro preventivo della piattaforma informatica, nonché delle società sviluppatrice E-Surv e distributrice Stm. Vi sono quattro indagati.
Tutto è iniziato con la scoperta di un malware nascosto in una ventina di app Android che fornivano promozioni e offerte degli operatori telefonici italiani oppure un miglioramento delle prestazioni dello smartphone. Il problema, come hanno scoperto diversi esperti contattati da Motherboard, è che si trattava di un vero e proprio spyware che potrebbe aver compromesso la privacy di centinaia di utenti italiani – Google ha assicurato meno di un migliaio.
Nello specifico si parla della possibilità di ottenere "registrazioni audio ambientali, chiamate telefoniche, la cronologia dei browser, le informazioni del calendario, la geolocalizzazione, i log di Facebook Messenger, le chat di WhatsApp", come sottolineano i reporter. Insomma, uno strumento potentissimo che in verità persino gli inquirenti sarebbero costretti a maneggiare con "delicatezza" a causa del quadro normativo vigente.
Già, perché i captatori informatici regolamentati consentono la registrazione audio e video, ma non altre attività invasive, come ha ricordato l'avvocato Giuseppe Vaciago, specializzato privacy e sorveglianza. "Questo software, invece, è in grado di svolgere e, di fatto, sembra aver svolto, una serie di attività ben più invasive di quelle previste dalla legge,” ha confermato Vaciago a Motherboard.
La seconda criticità emersa è che lo spyware Exodus – il cui nome si deve al server di comando e controllo correlato – faceva riferimento alla calabrese E-Surv che in più si presume rientri fra i fornitori della Polizia. "Si presume" perché ufficialmente né la società né gli inquirenti hanno confermato rapporti, attività o contratti. Motherboard, Security Without Borders e Trail of Bits hanno però fatto emergere diverse coincidenze corroborate da indagini informatiche difficilmente giustificabili in altro modo. Fra tutte le prove la cosiddetta "pistola fumante" sarebbe legata al fatto che il server di comando e controllo impiegato da alcune app condivideva il certificato web TLS di altri server della piccola società italiana – che fra le attività si occupa di servizi di video-sorverglianza.
L'ultimo punto degno di nota riguarda un'altra presunta grave violazione delle norme. Ovvero il fatto che lo spyware non solo identificava numero di telefono e IMEI del terminale ma procedeva al successivo download di un malware capace potenzialmente di sottrarre ogni dato senza la cosiddetta "validazione del target". Insomma aperta una porta sul sistema questa di fatto diventava accessibile a "chiunque" anche via Wi-Fi senza stabilire un canale cifrato.
"Inevitabilmente, questo lascia il dispositivo esposto non solo a ulteriori compromissioni, ma anche a una potenziale manipolazione dei dati", hanno sottolineato i ricercatori.
In sintesi un malware nato probabilmente per indagini investigative è finito in una serie di app Android italiane e senza alcun apparente motivo ha consentito potenzialmente l'intercettazione di centinaia di utenti italiani. In barba a ogni norma o restrizione imposta dalla Legge e dal Garante della Privacy.