Non solo Android, un’app spia per iPhone dagli autori di Exodus –


NON SOLO Android, anche gli iPhone non sono immuni alle applicazioni spia capaci di collezionare i dati dei dispositivi su cui vengono installate. Anzi, stando a quanto riporta una ricerca dell’azienda di sicurezza Lookout, ce ne sarebbe una che prende di mira i proprietari di un telefonino Apple, abusando dei certificati che Cupertino rilascia alle imprese di sviluppo. Al momento non ci sono dati per stabilire quante siano state le vittime, ma la scoperta distrugge il mito che vuole i melafonini quasi invulnerabili e accende nuovamente i riflettori sull’Italia, popolo di navigatori e produttori di sofisticati strumenti di sorveglianza. 

 

La firma dell’azienda calabrese autrice di Exodus

A sviluppare l’app sarebbe stata la calabrese eSurv, la stessa società dietro lo scandalo Exodus: il software che permetteva di intercettare i telefonini su cui erano installate delle determinate applicazioni. Un programma che è stato svelato dall’organizzazione no profit Security Without Bordersin collaborazione con Motherboard, e che era usato da molte procure italiane per le indagini giudiziarie. Peccato che abbia intercettato illegalmente anche centinaia di cittadini inconsapevoli. Per circa due anni le app, infatti, sono rimaste disponibili direttamente su Play Store, il negozio digitale di Google, riuscendo ad oltrepassare qualsiasi filtro che dovrebbe garantire la sicurezza degli utenti di Big G. Come nel caso delle versioni per Android, anche la variante per iPhone sembra l’innocuo servizio di un operatore di telefonia. Una volta installata, però, l’applicazione diventa una cimice che silenziosamente riesce a collezionare dati dal dispositivo su cui si trova, per poi inviarli a un server remoto. Informazioni sensibili, come la posizione dello smartphone in tempo reale, le telefonate, i messaggi, le registrazioni audio, le foto, e i video. 

 

Il tallone d’Achille nella sicurezza di Apple

TechCrunch, sito specializzato nel mondo della tecnologia, suggerisce che l’app per iPhone abbia meno capacità di quelle confezionate per Android: in grado di accedere anche alle email e alle password, scaricando in automatico ulteriori componenti aggiuntive. Ma la principale differenza tra le due è che in questo caso l’app non è disponibile sull’Apple Store. Gli sviluppatori sono riusciti ad aggirare i severi controlli di Cupertino con un trucchetto. “Hanno sfruttato i certificati che Apple rilascia a chi vuole sviluppare delle applicazioni da diffondere a livello aziendale”, spiega Fabio Pietrosanti, cofondatore del Centro Hermes per la trasparenza e i diritti umani digitali. Per ottenerli, i programmatori devono semplicemente compilare un modulo in cui dichiarano di limitarsi a distribuire l’applicazione unicamente all’interno della propria impresa, e pagare una commissione di 299 dollari. Una volta avuto in pugno il certificato che gli ha permesso di sviluppare l’applicazione, eSurv ha veicolato il link per scaricarla attraverso falsi siti che si spacciano per operatori telefonici in Italia e in Turkmenistan.

 

Quella dei certificati per le aziende sembra essere un tallone d’Achille nella sicurezza di Apple. Lo scorso febbraio si è scoperto che la stessa procedura è stata sfruttata per distribuire applicazioni porno e per il gioco d’azzardo, entrambe vietate sull’Apple Store. Dopo la rivelazione, Cupertino promise di ricorrere a controlli più stringenti. Ma che non sono stati ancora applicati. “Sia Apple che Google dovrebbero richiedere controlli e validazioni estese per tutte le applicazioni, online o offline rispetto ai loro negozi digitali, che acquisiscono dati in maniera invasiva”, conclude Pietrosanti.

L’approfondimento quotidiano lo trovi su Rep: editoriali, analisi, interviste e reportage.
La selezione dei migliori articoli di Repubblica da leggere e ascoltare.

Rep

Saperne di più è una tua scelta

Sostieni il giornalismo!
Abbonati a Repubblica


https://www.youchannel.org/feed/

Cerchi un autonoleggio ?

Scegli ora: Autonoleggio Economico

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *