Circa un migliaio di italiani sono stati intercettati sul proprio telefono cellulare, un errore dovuto all’infezione da parte di uno spyware creato per le intercettazioni di Stato.

Sul Play Store di Google esistono infatti più di 20 app create appositamente. Una volta scaricate esse infettano i cellulari con lo spyware Exodus, usato dalle principali procure per scovare i criminali.

Si tratta di app all’apparenza banali, per migliorare le prestazioni del telefono o per ricevere offerte esclusive dalle società di telefonia. Tramite Exodus, gli sviluppatori o chi lo controlla sono in grado di gestire in qualsiasi momento il cellulare degli utenti, intercettare le loro telefonate, registrare i suoni ambientali, copiare la rubrica, il registro telefonico, la posizione gps, le conversazioni Facebook e così via.

Un bel sistema, che purtroppo però contiene un errore. Un errore nel codice del software che finiva per intercettare chiunque scaricasse le applicazioni, senza fare distinzioni.

Gerardo Costabile, co-fondatore in Italia dell’associazione internazionale IISFA – International Information Systems Forensics Association, ceo di DeepCyber, ha spiegato che “Dopo l’autorizzazione del giudice, l’intercettato viene indotto a scaricare lo spyware, che in gergo si chiama captatore informatico” ad esempio tramite un messaggio dell’operatore, che deve collaborare con le autorità, o direttamente tramite aggiornamenti. Ha poi aggiunto “Il problema è che queste app con lo spyware erano scaricabili da chiunque e potevano intercettare chiunque; non funzionava infatti il filtro per limitare l’intercettazione solo ai cellulari degli indagati”.

Oltre a questo, per quanto risulterebbe dal rapporto, pare che le intercettazioni non fossero eseguite in modo sicuro, dando l’opportunità alle persone fisicamente vicine all’intercettato di spiarlo a loro volta tramite la rete Wi-Fi.

L’avvocato Stefano Aterno, specializzato in materia ha dichiarato “Le intercettazioni cyber in Italia sono una sorta di Far West. Bisogna rivedere le regole per obbligare queste società ad adottare misure tecniche di sicurezza più stringenti, per esempio obbligando a usare cifratura con chiavi solo in possesso della magistratura”.