Secondo Lookout lo spyware su Android consente di registrare audio, di effettuare e reindirizzare chiamate telefoniche, raccogliere i registri delle chiamate, i contatti, le foto, posizione del dispositivo e messaggi SMS. Secondo i ricercatori di Google lo spyware è distribuito tramite messaggi WhatsApp ed SMS che fingono di provenire da una fonte legittima come società di telecomunicazioni o produttori di smartphone con la scusa di risolvere un problema di connettività e li reindirizzano a pagine di supporto scritte in italiano.
Come viene distribuito il malware
Per distribuire il malware in grado di realizzare le intercettazioni sugli iPhone pare che sia stato usato il certificato digitale dell’azienda torinese 3-1 mobile che abbiamo contattato per un commento. Per adesso si fanno due ipotesi, tutte da verificare: il certificato gli è stato rubato oppure c’è una collaborazione tra queste aziende.
Secondo Luca Sambucci, esperto di cybersecurity e intelligenza artificiale: “I certificati digitali sono un metodo per firmare il software da parte degli sviluppatori, affinché sia chiara l’origine. Nei maggiori sistemi operativi, far partire un software sprovvisto di firma digitale causerebbe il blocco all’esecuzione del programma e un avvertimento del sistema, cosa che in genere mette in allarme gli utenti. Di solito un certificato digitale viene acquisito dallo sviluppatore o dall’azienda che per cui lavora. Mantenere riservata la chiave privata che consente di firmare il software è ovviamente un imperativo di sicurezza, poiché se venisse rubata potrebbe essere utilizzata per firmare software di terze parti, causando ai proprietari del certificato imbarazzi e problemi di responsabilità.
In passato già diverse volte gruppi di cyber criminali hanno usato certificati rubati per firmare del malware, come ad esempio nel famoso caso dello Stuxnet, dove parti del software furono distribuite usando le firme digitali di importanti produttori di hardware”.
L’allarme delle autorità europee
L’allarme arriva proprio nel momento in cui le autorità di regolamentazione europee e americane valutano potenziali nuove regole sulla vendita e l’importazione di spyware, sollecitate dal Catalangate (lo spionaggio dei deputati indipendentisti catalani e della sinistra politica) e dalla conferma che almeno 5 paesi europei hanno usato lo spyware israeliano Pegasus.
La denuncia di Google è dura: “Questi fornitori stanno consentendo la proliferazione di strumenti di hacking pericolosi e armando i governi che non sarebbero in grado di sviluppare queste capacità internamente”.
Secondo Bill Marczak, un ricercatore di sicurezza del Citizen Lab lo strumento individuato da Google può comunque leggere messaggi e visualizzare le password e, nonostante Google abbia affermato di aver adottato misure per proteggere gli utenti del suo sistema operativo Android, “C’è ancora molta strada da fare per proteggere gli utenti da questi potenti attacchi”.
Rcs Lab, l’azienda italiana finita sotto i riflettori
Abbiamo contattato RCS Lab per un commento esplicito sulla vicenda visto che hanno già detto alla Reuters di non essere coinvolti nelle attività dei loro clienti e di condannare qualsiasi abuso dei suoi prodotti. Sul suo sito web, la RCS Lab, presente nel Caldera Business Park di Milano, si presenta come un produttore di tecnologie e servizi di “intercettazione legale” tra cui voce, raccolta dati e “sistemi di tracciamento” con 10.000 obiettivi intercettati ogni giorno nella sola Europa.
I ricercatori di Google, come riporta anche The Guardian, hanno scoperto che RCS Lab aveva precedentemente collaborato con la controversa società di spionaggio italiana Hacking Team, che aveva creato software di sorveglianza per consentire ai governi stranieri di attingere a telefoni e computer. Hacking Team è fallito dopo essere rimasto vittima di un grave hack nel 2015 che ha portato alla divulgazione di numerosi documenti interni.
Google ha anche affermato di ritenere che gli hacker che utilizzavano lo spyware RCS Lab lavorassero con il provider di servizi Internet delle vittime, il che “suggerisce che avessero legami con attori sostenuti dal governo”, ha affermato Billy Leonard, ricercatore senior di Google.
“Questo è il motivo per cui quando Google scopre queste attività, non solo adottiamo misure per proteggere gli utenti, ma divulghiamo anche pubblicamente tali informazioni per aumentare la consapevolezza e aiutare l’intero ecosistema, in linea con il nostro impegno storico per l’apertura e i valori democratici”.
Il problema dei software spia
All’inizio di febbraio, il Garante europeo della protezione dei dati ha chiesto il divieto dello sviluppo e dell’uso di spyware commerciali in Europa, affermando che il “livello di intrusività senza precedenti” della tecnologia potrebbe mettere in pericolo il diritto degli utenti alla privacy.
Mentre alcuni osservatori e analisti come Lior Tabansky dell’Università di Tel Aviv ritengono che l’industria della sorveglianza sia necessaria a rendere le nostre società più sicure e che non è giusto scaricare la colpa di eventuali abusi sui produttori di tecnologia invece di interpellare la responsabilità delle agenzie governative che ne fanno uso, la posizione di Google è assai diversa:
“Questi fornitori stanno consentendo la proliferazione di strumenti di hacking pericolosi e armando i governi che non sarebbero in grado di sviluppare queste capacità internamente. Sebbene l’uso delle tecnologie di sorveglianza possa essere legale ai sensi delle leggi nazionali o internazionali, spesso vengono utilizzate dai governi per scopi antitetici ai valori democratici: prendere di mira dissidenti, giornalisti, operatori dei diritti umani e politici dei partiti di opposizione”.
Così dicono i due ricercatori nel rapporto secondo cui almeno 7 di 9 vulnerabilità 0 day trovate dal loro gruppo di ricerca nel 2021 hanno riguardato software spia. E fanno un importante ragionamento: “I fornitori che accumulano in segreto vulnerabilità zero-day rappresentano un grave rischio per Internet, soprattutto se il fornitore viene compromesso”.
Non viene detto, ma il riferimento è all’irruzione degli Shadow Brokers nell’arsenale informatico della Tao, Tailored Access Operation, il gruppo di hacking offensivo della Nsa che una volta divulgato ha consentito, tra le altre cose, di sfruttare l’exploit Eternal Blue per gli attacchi di Wannacry, il ransomware che nel 2017 ha messo in ginocchio circa 300mila computer in tutto il mondo.
Benoit e Lecigne terminano con un appello: “Affrontare le pratiche dannose del settore della sorveglianza commerciale richiederà un approccio solido e completo che includa la cooperazione tra i team di intelligence delle minacce, i difensori della rete, i ricercatori accademici, i governi e le piattaforme tecnologiche. Non vediamo l’ora di continuare il nostro lavoro in questo spazio e di promuovere la sicurezza e la protezione dei nostri utenti in tutto il mondo”.