Sono centinaia gli italiani che sono stati spiati, per errore, da uno spyware commissionato dalla Polizia di Stato a eSurv, una softwarehouse di Catanzaro, che lo ha poi divulgato tramite il PlayStore di Google

Sono centinaia gli italiani che sono stati spiati, per errore, da uno spyware commissionato dalla Polizia di Stato a eSurv, una softwarehouse di Catanzaro, che lo ha poi divulgato tramite il PlayStore di un ignaro Google. 

Exodus, questo il nome dello spyware, è un “sistema di intercettazione attiva e passiva”, cioè un software usato dagli organismi statali per intercettare gli smartphone dei criminali, che viene inserito dentro una comune app, come quelle che servono ad esempio per migliorare le performance dei telefoni o gli aggregatori di sconti e che, se installato, permette a chi lo amministra di prendere un controllo quasi completo dell’apparecchio.

Solitamente questi programmi sono settati in modo da attivarsi solo se il codice IMEI (un codice composto da 15 cifre che consente di identificare in maniera univoca i telefoni cellulari) inserito dalla Polizia corrisponde a quello di chi ha scaricato l’applicazione, in modo da spiare solo la persona su cui si sta indagando.

Secondo quanto riporta La Repubblica, Exodus viene usato dalle procure esclusivamente su autorizzazione di un giudice. Solo dopo questo via libera sull’indagato vengono usate delle tecniche di ingegneria sociale per indurlo a scaricare il malware, che era presente in una ventina di versioni su Google PlayStore (a quanto pare a sua insaputa).

A causa di un errore nel codice, scoperto dall’organizzazione no profit Security Without Borders, il controllo del codice IMEI non era attivo e questo ha consentito a eSurv di poter controllare tutti gli smartphone su cui sono state scaricate le app infette.

Non appena scoperto lo sbaglio Security Without Borders ha provveduto a informare Google che ha rimosso tutte le applicazioni dal suo store, lasciando però forti dubbi sui controlli che vengono fatti dallo stesso Big G su quanto proposto.

Non abbiamo purtroppo un dato certo sul numero di download effettuati ma i ricercatori hanno stimato che siano poco più di un migliaio.

Ovviamente tra questi ci sono gli indagati delle procure ed è quindi impossibile sapere quante persone comuni siano cadute in questo sistema.

Questi spyware sono strumenti molto potenti ed è quindi preoccupante che le stesse forze dell’ordine che hanno commissionato alla società calabrese il software non abbiano fatto dei controlli approfonditi sul codice. Come se non bastasse tutti i dati raccolti da Exodus venivano riportati direttamente a eSurv, senza quindi che si sapesse con certezza cosa la società facesse di queste informazioni.

Ad oggi non sono stati diffusi i nomi delle applicazioni infette, tuttavia è stata pubblicata la lista di quello che lo spyware poteva fare ai telefoni intercettati:

  • Recuperare un elenco delle applicazioni installate
  • Registrare l’ambiente circostante utilizzando il microfono incorporato in formato 3gp
  • Recupera la cronologia di navigazione e i segnalibri da Chrome e SBrowser (il browser fornito con i telefoni Samsung)
  • Estrarre gli eventi dall’app Calendario
  • Estrai il registro delle chiamate
  • Registrare le chiamate telefoniche audio in formato 3gp
  • Scattare foto con la fotocamera incorporata
  • Raccogliere informazioni sulle torri cellulari circostanti (BTS)
  • Estrarre la rubrica e l’elenco dei contatti dall’applicazione Facebook
  • Estrarre i log dalle conversazioni di Facebook Messenger
  • Prendere uno screenshot di qualsiasi applicazione in primo piano
  • Estrarre informazioni sulle immagini dalla Galleria
  • Estrarre informazioni dall’applicazione GMail
  • Scaricare i dati dall’app Messenger dell’IMO
  • Estrai registri chiamate, contatti e messaggi dall’app Skype
  • Recupera tutti i messaggi SMS
  • Estrarre i messaggi e la chiave di crittografia dall’app Telegram
  • Scaricare i dati dall’app Viber messenger
  • Estrai i log e recuperare i media scambiati tramite WhatsApp
  • Estrarre la password della rete Wi-Fi
  • Estrarre i dati dall’applicazione WeChat
  • Estrarre le coordinate GPS correnti del telefono

Exodus, costato alla polizia ben 300.000€, rischia di alzare un polverone internazionale nonostante, come detto, Google abbia provveduto a rimuovere tutte le applicazioni infette.

Al momento il sito e tutti i canali social di eSurv risultano irraggiungibili ma la Procura di Napoli ha avviato le indagini per capire le potenziali ripercussioni per la privacy dei cittadini ignari di essere “intercettati”.