Cosa c’è di più comodo di un’app per aiutare i ventimila partecipanti alla COP27 ad orientarsi tra le varie location in cui il megaevento si sviluppa nel resort egiziano di Sharm El-Sheikh? E cosa c’è di più comodo per un governo curioso di un’app per spiare tutti coloro i quali sono presenti all’iniziativa mondiale sul clima?
L’app di COP27: un cyberarma?
È Politico, con il supporto di quattro esperti di cybersicurezza, a sollevare dubbi sull’applicazione che i tabelloni sparsi per Sharm El-Sheikh invitano a scaricare attraverso un QR Code e che è già stata installata da politici di Paesi come Germania, Francia e Canada, come hanno riferito a Politico due funzionari occidentali al corrente della situazione.
Secondo un esponente di un esecutivo europeo sentito da Politico, altri governi occidentali intanto hanno dato istruzione ai loro rappresentanti alla COP27 di non scaricare l’app disponibile negli store Android e Apple.
Gli esperti di cybersicurezza contattati dal quotidiano sostengono che l’app sviluppata dal Ministero delle Comunicazioni e delle Tecnologie informatiche del Cairo rischia di concedere al governo egiziano l’accesso alle mail e ai messaggi, anche quelli crittografati come in WhatsApp. Di fatto, scaricare quell’app significa concedere tutti i privilegi di una backdoor, con accesso illimitato a tutti i contenuti e le funzioni di uno smartphone.
Secondo l’analisi condotta dallo stesso Politico, l’app concederebbe addirittura la possibilità di ascoltare le conversazioni di un utente e questo anche quando il telefono è in modalità “sleep”.
“L’applicazione è una cyberarma” è l’osservazione lapidaria di uno dei quattro esperti.
Come funziona l’app
Tre dei quattro esperti sostengono che l’app ponga rischi a causa dell’alto numero di permessi richiesti di accedere al dispositivo dell’utente in un’attività dall’intensità anomala.
Ma secondo Elias Koiwula, ricercatore presso la società di cybersicurezza WidSecure, che ha analizzato la app, molte di quelle richieste sembrano avere scopi benigni quali tenere le persone aggiornate con le più recenti informazioni sul summit.
La stessa Koiwula, tuttavia, si trova costretta ad ammettere che alcune richieste dell’app appaiono “strane” e potrebbero dunque essere preludio al tracciamento dei movimenti e delle comunicazioni degli utenti.
Una privacy policy discutibile
Il governo egiziano ha naturalmente reso nota la privacy policy dell’app, la quale afferma chiaramente il diritto del gestore a usare le informazioni fornite da chi ha scaricato l’app, incluse le coordinate GPS, le foto, gli accessi alla fotocamera e le informazioni sul Wi-Fi.
“La nostra applicazione”, si legge nella dichiarazione sulla privacy dell’app, “si riserva il diritto di accedere agli account del cliente per scopi tecnici e amministrativi e per ragioni di sicurezza”.
L’analisi di questa policy condotta da Politico e quella fatta dagli esperti concordano nel sottolineare che l’app in realtà si riserva diritti ben più ampi di quelli liberamente concessi dagli utenti: permessi che ovviamente non figurano nella privacy policy pubblicata dal governo egiziano.
Tra le varie facoltà concesse all’app c’è quella di monitorare ciò che gli utenti fanno con le altre app del telefono e anche quella di inserirsi in una connessione Bluetooth con un altro apparato, apparentemente per carpirne i dati.
Uno strumento di sorveglianza di massa
Come ha commentato Marwa Fatafta, capo dei diritti digitali dell’ente non profit Middle East and North Africa for Access Now, la app è di fatto “uno strumento di sorveglianza che potrebbe essere usato come un’arma dalle autorità egiziane per seguire attivisti, delegati di governo e chiunque partecipi alla COP27”.
Marwa Fatafta parla con la consapevolezza che a Sharm El-Sheikh arriveranno o sono già arrivati leader come Biden, Macron, Sunak, Scholz. I rischi sono enormi, e il governo egiziano, contattato da Politico per avere chiarimenti, decide di trincerarsi nel silenzio.
Le rassicurazioni dell’esperto di Lookout
Un altro esperto contattato da Politico, Paul Shunk, della società di cybersecurity Lookout, fornisce una versione più rassicurante. Dopo aver analizzato la app, è arrivato alla semplice conclusione che essa non assomiglia affatto agli spyware in circolazione. Non sembra avere accesso alle mail né appare in grado di captare conversazioni o di registrare audio.
“È completamente inadatta a fini di spionaggio”, afferma Shunk.
Lo stesso Shunk, tuttavia, ammette che l’app traccia “estensivamente” gli spostamenti delle persone, anche se apparentemente al solo fine di aiutare l’utente a orientarsi tra i vari siti. Inoltre, questa attività di tracciamento non funziona in background, requisito essenziale di uno spyware.
L’analisi dell’app condotta da Politico
Tra questi pareri discordanti c’è da segnalare anche quello dello stesso Politico, che ha condotto un’analisi autonoma dell’app utilizzando dei dispositivi di cybersicurezza.
Il responso di questi dispositivi è che l’app suscita preoccupazioni quanto alla possibilità di ascoltare le conversazioni, tracciare gli spostamenti e alterare il modo in cui funziona normalmente uno smartphone.
Articoli correlati
Le news su Bianca Berlinguer, Bima (Crt), Carrozza, Fassino, Open di Mentana, Palenzona e non solo
Ecco top manager e giornalisti alla corte di Meloni
Ecco come i conti in rosso di Boeing battono le attese
Tutti i sistemi di attacco e difesa aerea di Israele e Iran
