“Ti ricordi di Cosimo?” scriveva un magistrato poi divenuto politico ai suoi vecchi colleghi per annunciare loro che il figliolo – non più bimbetto – partecipava al concorso per seguire le orme paterne.
A guardare non a vecchi ricordi di qualche toga di un tempo, ma a volgere lo sguardo a fatti di cronaca recente la domanda che – come diceva Antonio Lubrano – viene spontanea è “Ti ricordi di Exodus”?
Lo scandalo del software spia si è rapidamente eclissato e, quasi non fosse successo nulla, non se ne parla quasi più.
Per fortuna qualche rottame torna a galla e le acque torbide del nostro vivere quotidiano restituiscono altri frammenti ad una brutta storia che dequalifica il nostro Paese.
La vicenda è quella dello spyware creato per finalità investigative e poi finito con l’esorbitare la missione primigenia e con il seminare il panico tra installatori compulsivi di app, possessori di code di paglia e sfortunati utilizzatori di smartphone.
Il programma spia sembrava aver messo a repentaglio la riservatezza solo degli utenti di cellulari con sistema operativo Android e quindi i proprietari di iPhone hanno guardato la circostanza con un certo sussiego. Il contegno altezzoso di chi ha sventolato la “mela morsicata” quasi fosse una testa d’aglio dinanzi ad un vampiro, deve seppellire la boria. Il rischio di “infezione” del proprio dispositivo mobile riguarda anche i presunti immuni.
Le venefiche istruzioni – tutte italiane – sono presenti anche in applicazioni per il sistema operativo iOS. Mentre quelle inserite in maniera occulta in app Android hanno avuto una spinta propulsiva dalla presenza nel Google Play Store, i software per l’ambiente iOS sono stati diffusi non dall’App Store ufficiale ma attraverso siti balordi che fraudolentemente imitano quelli di operatori telefonici, uno italiano (Wind Tre) e l’altro turkmeno (lo statale TMCell). Questo stratagemma ha evitato che le app “contaminate” passassero ai raggi x dei severi controlli che Apple esegue sui programmi di cui consente il download e la conseguente installazione.
In termini pratici chi ha predisposto le app avvelenate capaci di entrare in funzione sugli iPhone ha sfruttato le possibilità offerte dal cosiddetto Apple Developer Enterprise Program, piano operativo predisposto per chi vuole autonomamente procedere alla distribuzione di applicazioni per il sistema operativo iOS.
Al costo di 299 euro l’anno è possibile, infatti, comprare da Apple un servizio che, una volta sottoscritto, mette a disposizione uno specifico account, rende possibile la crazione di “certificati” necessari per la pubblicazione online dei propri programmi e consente quindi di distribuire app con un semplice indirizzo URL (Uniform Resource Locator, ovvero le coordinate di un qualunque web) e pertanto senza doversi appoggiare alla piattaforma dell’App Store.
Generata una pagina web per il download della app e informati i soggetti potenzialmente interessati (o target di attività di polizia giudiziaria oppure presi di mira da malintenzionati nella malaugurata ipotesi in cui ad operare sia una gang criminale), il destinatario finale deve solo fare clic sul link a disposizione, scaricando la app e avviando la procedura di installazione.
L’utente vedrà prima apparire una finestra pop-up che chiede la conferma ad iniziare il download, mentre al primo avvio del programma un analogo box si vedrà domandare se si fida del distributore di tale app (riversando su chi l’ha scaricata e installata ogni eventuale anche remota responsabilità). L’aspirante utilizzatore deve confermare l’attendibilità di chi ha creato la app, la cui utilizzabilità è vincolata al perfezionamento di una serie di rapidi passaggi di configurazione.
Ma la persona “bersaglio” come viene avvisata di questa micidiale opportunità? Semplice. Se una mail di phishing può essere il veicolo di maggiore ampiezza operativa e raggiungere una platea potenzialmente infinita di future vittime, un messaggio WhatsApp può arrivare al singolo obiettivo.
La variante iOS delle app farcite con Exodus risulta essere meno sofisticata della sua “sorella” Android, ma ugualmente assicura l’estrazione di dati interessanti come contatti, registrazioni audio, foto, video, posizione GPS e informazioni sul dispositivo. Quel che viene sgraffignato finisce su un server controllato dai malfattori digitali artefici di queste porcherie.
Exodus – secondo gli esperti di LookOut che ne hanno esaminato i dettagli tecnici – non è un prodotto amatoriale. Potrebbe invece essere il frutto di uno sviluppo professionale all’interno di un progetto ben finanziato (e le fonti originarie c’è da augurarsi possano essere solo “governative”, perché sarebbe una tragedia un eventuale “motore” a trazione criminale…).
Il ciclo biologico di Exodus, a quanto pare ormai forte di un quinquennio (la parola “lustro” potrebbe essere fraintesa) di esperienza sul campo, sarebbe articolato in tre distinte fasi operative. Il primo step consiste nella raccolta di informazioni identificative del dispositivo nel mirino, di cui vengono acquisiti l’IMEI e il numero dell’utenza telefonica. Il secondo round si traduce nel rilascio di istruzioni – quasi fossero bombe – che vanno a conficcare le loro terribili funzionalità nel sistema dello smartphone, radendo al suolo le difese e facilitando le attività di sorveglianza e controllo. Nel terzo stadio entra in gioco il famigerato exploit DirtyCOW, la “vacca zozza” che – classificata dagli addetti ai lavori con il codice CVE-2016-5195 – ottiene il controllo totale degli apparati inesorabilmente infettati. A quel punto Exodus è pronto e sarà in grado di fare “egregiamente” il proprio lavoro anche quando lo schermo dello smartphone è spento e l’utente è convinto che la sua condizione di stand-by non riservi sorprese.
Se gli utenti Android ad essere azzannati dallo spyware sono circa un migliaio, la particolare modalità di distribuzione (estranea a piattaforme o store che hanno “contatori” dei download avvenuti) non consente di quantificare l’entità del disastro tra gli utilizzatori di iPhone.
Fatta un po’ di luce sulle questioni prettamente tecniche (che non sempre sono “commestibili” da parte dei meno esperti o dai vegani dell’hi-tech), il giallo non perde certo di intensità.
Il software avrebbe mantenuto “etichette” riconducibili a Connexxa srl, azienda che avrebbe venduto Exodus e il marchio eSurv alla compagine oggi protagonista della vicenda. La circostanza, come avrebbe esclamato la grande Simona Marchini in “Quelli della notte”, “che avrà voluto dire”?
Per sapere qualcosa in proposito, forse dovremo solo aspettare. Si auspica solo di esser più fortunati rispetto a chi era incuriosito dallo spyware “SkiGoFree”, sempre di matrice italiana, apparso un anno fa e misteriosamente sparito dai radar e dalle pagine dei giornali…
@Umberto_Rapetto