- Alcune centinaia di utenti italiani, forse oltre un migliaio, sono stati infettati per errore da un software pensato per intercettazioni di Stato, tramite una ventina di app inserite su Google Play Store. Lo spyware, il cui nome è Exodus, è stato scoperto dalla società no profit Security Without Borders , in un'inchiesta fatta in collaborazione con la rivista Motherboard . A quanto si legge nel rapporto, come poi confermato da molti esperti a Repubblica, Exodus è usato dalle principali procure per intercettare criminali (le loro telefonate, registrare i suoni ambientali, copiare la rubrica, il registro telefonico, la posizione gps, le conversazioni Facebook e via di questo passo). Il problema è che per un errore nel codice questo software finiva per intercettare in modo indiscriminato chiunque scaricasse queste app con lo spyware, presenti liberamente sullo store di Google (prima che Big G le rimuovesse proprio nei giorni scorsi). Perlopiù si trattava di app (ovviamente all'apparenza normali) che si presentavano come strumenti per migliorare le prestazioni del cellulare oppure per ricevere offerte promozionali del proprio operatore e quindi esclusive per chi le installava.Una volta installata l'app, lo spyware permette, a chiunque lo controlli, di gestire a distanza il cellulare dell'utente. Il controllore può essere la società che ha sviluppato il software o chiunque ci abbia poi messo le mani e sia riuscito a farlo installare all'utente. Il rapporto pubblica una lunga lista delle cose che lo spyware permette di fare. In sostanza è possibile sapere non solo tutto quello che l'utente sta facendo con il cellulare; ma anche le cose che fa - di persona, fisicamente - quando ha il cellulare con sé. Oltre alle chiamate, le chat (anche quelle in teoria criptate), gli indirizzi web visitati, la rubrica dei contatti, le foto scattate, i suoi appuntamenti messi in agenda, rivela anche la sua posizione fisica momento per momento (registrata dal gps e dalle antenne degli operatori). La password del Wi-Fi, poi, permette di entrare nella rete domestica dell'utente e fare ulteriori intercettazioni. Il controllore dello spyware può aprire il microfono del cellulare e quindi ascoltare tutti i rumori circostanti, quindi le conversazioni fatte di persona dall'utente. Può far scattare foto e così vedere i volti delle persone vicine allo smartphone.

Le cyber intercettazioni di Stato funzionano così. "Dopo l'autorizzazione del giudice, l'intercettato viene indotto a scaricare lo spyware, che in gergo si chiama captatore informatico", spiega, co-fondatore in Italia dell'associazione internazionale IISFA - International Information Systems Forensics Association, ceo di DeepCyber, un passato nella Guardia di Finanza e in Poste Italiane. Per esempio, si fa mandare dall'operatore all'indagato un sms per scaricare l'app contenente lo spyware, con la promessa di uno sconto (gli operatori sono tenuti a collaborare con le forze dell'ordine) o si usano altre tecniche di ingegneria sociale per indurre al download. Uno spyware può essere nascosto, dagli hacker al soldo delle forze dell'ordine, anche in un aggiornamento del firmware del cellulare. "Il problema è che queste app con lo spyware erano scaricabile da chiunque e potevano intercettare chiunque; non funzionava infatti il filtro per limitare l'intercettazione solo ai cellulari degli indagati (identificabili dal trojan tramite il codice Imei del dispositivo)", spiega Costabile, come riportato anche da Security Without Borders. Non solo: secondo il rapporto, l'intercettazione di per sé era fatta in modo poco sicuro, quindi persone fisicamente vicine all'intercettato avrebbero potuto - via Wi-Fi - a loro volta spiarlo.Il software Exodus Il rapporto identifica la società calabrese eSurv come autrice del sistema di intercettazione. Il primo indizio in tal senso - poi corroborato da una indagine tecnica approfondita - viene da alcune parole nascoste nel codice del programma. Mundizza e Rino Gattuso, l'ex calciatore calabrese del Milan e della nazionale e ora allenatore dei rossoneri.Come spiegano i ricercatori, "Mundizza" è una parola dialettale, derivata dalla parola Italiana "immondizia". È interessante notare che "mundizza" è una parola tipica della Calabria e più precisamente sembra essere nativa della città di Catanzaro, sede di eSurv.Da Security Without Borders aggiungono a Repubblica di ritenere le responsabilità delle società siano più gravi rispetto a un semplice errore di programmazione: "Il caricamento delle app sul Play Store è ovviamente una scelta deliberata. La società sarebbe stata inoltre a conoscenza del fatto che c'erano vittime innocenti: loro le usavano come 'caviè per il software, a quanto riporterebbe a Motherboard una fonte anonima vicina all'azienda". "Il problema di fondo - spiega spiega Costabile - è che le procure si affidano a società di persone anche molto competenti - tanto che in questo caso sono riusciti a superare i filtri di sicurezza di Google - ma piccole. E quindi l'errore è spesso in agguato". Nel frattempo, la società eSurv sembra essersi cancellata da internet. Il sito (segnalato come "non sicuro" dai browser perché con connessione non protetta, cosa che invece è ormai lo standard sulla rete) è diventato una pagina bianca con solo il logo della società. Tutte le pagine e account social (Facebook, Twitter, Linkedin...) risultano cancellati, eccetto Google Plus, comunque non aggiornato dal 2017; dalle notizie segnalate risulta che (almeno all'epoca) il presidente della società è, calabrese, il cui account Twitter pure risulta cancellato. Su Linkedin si definisce "startupper seriale", non indica il suo lavoro su eSurv ma ne condivide le notizie."In ogni caso, gli utenti avrebbero potuto difendersi: usando un po' di cautela, non sarebbero stati intercettati; perché sono stati loro, direttamente, a installare quelle app", dice, Osservatorio Nazionale Informatica Forense. "Il primo consiglio è di non considerare sicura un'app solo perché si trova su uno store ufficiale, di Google o di App. Il secondo è non farsi venire la febbre da applicazione: gli utenti ne installano troppe, senza nemmeno pensarci, solo attirati dalla pubblicità su Facebook; senza nemmeno averne bisogno o usarle davvero", aggiunge. "Ecco quello che faccio io, sul mio iPhone: tengo su cellulare 10-15 app al massimo, solo quelle che mi servono davvero; metto firewall e antivirus. E una volta al mese faccio reset di fabbrica del cellulare, così eventuali spy software sono cancellati; ma conosco persone che lo fanno tutte le settimane"."E' un fatto gravissimo", dice il Garante della privacy. "La notizia dell'avvenuta intercettazione di centinaia di cittadini del tutto estranei ad indagini giudiziarie, per un mero errore nel funzionamento di un captatore informatico utilizzato a fini investigativi, desta grande preoccupazione e sarà oggetto dei dovuti approfondimenti, anche da parte del Garante, per le proprie competenze. La vicenda presenta contorni ancora assai incerti ed è indispensabile chiarirne l'esatta dinamica"."Le intercettazioni cyber in Italia sono una sorta di Far West", spiega l'avvocato specializzato in queste materie, ricordando che abbiamo dal 2017 una legge sui "captatori informatici" già bacchettata dal Garante Privacy per eccessiva vaghezza. "Bisogna rivedere le regole per obbligare queste società (come eSurv, ndr.) a adottare misure tecniche di sicurezza più stringenti, per esempio obbligando a usare cifratura con chiavi solo in possesso della magistratura". Molti esperti ricordano la proposta di legge di, quando era parlamentare (nella scorsa legislatura), per regolamentare il settore. Proposta mai passata. "Durante la mia fase parlamentare ho lavorato molto approfonditamente con molti esperti giuristi, tecnologi, inquirenti, giudici e abbiamo consolidato una proposta di legge che regolamentava l'uso di questi strumenti nel rispetto delle garanzie costituzionali, di cui oggi sono carenti", dice Quintarelli, noto anche per essere tra i padri dell'internet commerciale italiana. "C'è un vuoto normativo che è importante colmare a vantaggio dei cittadini e degli inquirenti. Nella legislatura precedente non ci fu tempo per affrontare la questione. Speriamo che in questa la maggioranza trovi il tempo per sanare questo vulnus".