Articoli

Ma davvero il cellulare ci ascolta? I dubbi sull’inchiesta del Garante Privacy

Parlare delle vacanze e ritrovarsi in mail proposte di viaggio verso mete esotiche, raccontare agli amici di desiderare un capo d’abbigliamento e poi ricevere sul cellulare (e non solo) pubblicità proprio su quelle cose. Situazioni che da anni, in Italia e nel resto del mondo, hanno fatto gridare molti al complotto. Il sospetto: lo smartphone ci spia ascoltando le nostre conversazioni? Ora il Garante privacy ha annunciato di aver aperto un’istruttoria proprio su ciò: relativamente, cioè, ai microfoni degli smartphone accesi con lo scopo di ottenere informazioni da rivendere a società e poi così fare proposte commerciali in linea con gli intenti degli interessati. Ma quanto è fondato questo pericolo? Finora tutti gli esperti, negli anni, hanno sempre detto che si tratta di un mito, di una bufala: ci arriva la pubblicità mirata ai nostri interessi non perché ne parliamo ma grazie a un’analisi e predizione algoritmica dei nostri interessi. Ne parliamo perché siamo interessati: il rapporto causa-effetto è l’inverso.

L’inchiesta del Garante Privacy dopo Striscia la Notizia

Adesso però c’è la prima inchiesta del Garante Privacy, con la Guardia di Finanza, sulle principali app per capire – anche guardando all’informativa privacy – se tengono il microfono aperto a scopo di profilazione pubblicitaria di ciò che diciamo. Tutto è cominciato con un’inchiesta di Striscia la Notizia, in due puntate. Ha detto agli ascoltatori di avvicinare lo smartphone alla tv e ha pronunciato parole chiave come “mi serve un’auto nuova”. Il giorno dopo ha mostrato messaggi di utenti che riferivano di avere ricevuto pubblicità su auto. Guido Scorza del Garante Privacy è intervenuto in trasmissione dicendo che tecnicamente sarebbe possibile tramite il microfono dello smartphone. Di qui l’inchiesta. I dubbi di sempre restano: “mi sembra improbabile”, conferma Stefano Zanero, noto esperto cyber, Politecnico di Milano.

I dubbi: non ha senso spiarci così

“Su grande scala non ha senso spiarci in questo modo. Ha senso – per attori malevoli – spiare le conversazioni di un manager. Le app e i servizi internet in genere non hanno bisogno di violare la legge – esponendosi a gravi rischi – per ascoltare i nostri interessi. Ci riescono già profilandoci in base alle nostre navigazioni e interazioni”. Di certo Facebook, Google non farebbero mai una cosa del genere: se si scoprisse, sarebbe la loro fine come azienda e il rischio non vale la candela anche perché, appunto, già fanno miliardi profilandoci così. Forse qualche app minore lo potrebbe fare; ma allora il fenomeno non sarebbe così su larga scala come chi sospetta questo spionaggio. “Per altro sarebbe molto complesso isolare dal contesto le parole che corrispondono un’interesse preciso come ‘mi serve un’auto nuova’, anche rispetto a tutte le volte in cui parliamo di auto ma non siamo interessati a comprarne una”, aggiunge Zanero. “E tutto per cosa? Per mandare poi un sms o mostrare un banner pubblicitario che ha un tasso di conversione ridottissimo?”, spiega Zanero. Zanero concorda che anche nel caso della pubblicità dell’auto si tratti insomma di una coincidenza dovuta al fatto che quel tipo di pubblicità è molto frequente. Magari i telespettatori la ricevano normalmente e l’hanno notata solo ora perché se l’aspettavano: in psicologia è un fenomeno di filtro cognitivo noto.

Bene comunque l’inchiesta del Garante

Ciò non implica che l’inchiesta del Garante sia insensata. “Per prima cosa, tutto è possibile: magari davvero si scopre che è in atto un ascolto su larga scala, per quanto improbabile”. “Al minimo, l’indagine del Garante Privacy servirà comunque anche solo per rassicurare gli utenti che no, non è in atto uno spionaggio di massa; è utile dare risposte sul tema, date le tante segnalazioni ricevute”. Serve anche per sensibilizzare sul tema della privacy – partendo da un caso di così grande risonanza – e ricordare a tutti di non dare con leggerezza (ad esempio) le autorizzazioni alle app. Non permettiamo di usare il microfono se all’app non serve. E poi, di nuovo, chissà magari alla fine il Garante scoprirà davvero l’impensabile.

 

Fonte: CyberSecurity360

Guerra ibrida e app spia: il ritorno di Pegasus e l’uso degli spyware nel cyberspionaggio

Si torna a parlare di Pegasus, l’app spia che può consentire ad un attaccante di compromettere i dispositivi mobile sfruttando una vulnerabilità zero-day presente in WhatsApp: a quanto pare, infatti, tra aprile e maggio del 2019 il Presidente del Parlamento catalano, Roger Torrent, ha subìto un attacco a causa di una falla nella sicurezza di WhatsApp creata da una società israeliana creatrice, appunto, del famigerato malware di spionaggio.

Amnesty International ha avviato una causa legale contro la piattaforma social tra le più usate al mondo per altri numerosi attacchi contro attivisti, politici e giornalisti. In questo caso il ricorso è stato respinto dal tribunale di Tel Aviv, nonostante secondo il gruppo di ricerca canadese Citizen Lab e testate giornalistiche come The Guardian, El País e il Washington Post, Pegasus sia stato usato nel settembre 2019 per entrare nel telefono di Omar Radi, giornalista investigativo marocchino, in quello di Bezos, di Jamal Khashoggi, Omar Abdulaziz e molti altri, tra cui un giornalista del New York Times, Ben Hubbard, e Osama Bin Laden.

Nuovi scenari

Tutti questi avvenimenti confermano che la maggior parte degli attacchi, oggi, si concentra sulla necessaria connessione degli oggetti con l’uomo e sui servizi che i device mobile di fatto ci “invitano” ad utilizzare. D’altronde, siamo nel pieno dell’epoca della IoT o meglio della Internet del Tutto. Ormai, come più volte detto, questa situazione è definita dai più guerra ibrida o ancora guerra informatica aperta.

Oggi non si rende necessario un attacco di tipo fisico per generare danni, ma sono possibili anche quelli informatici su PC, dispositivi e, in generale, sulle infrastrutture critiche. Questo perché, toccando anche un solo servizio da remoto, si ha il cosiddetto effetto a cascata che, nella maggior parte dei casi, ha lo scopo da una parte di creare disagi e mettere in ginocchio interi Paesi, dall’altra di fare attività di spionaggio, carpendo segreti e relazioni per anticipare le mosse o per diffamare taluni personaggi o Nazioni intere.

In tal senso la vera novità è che, attraverso i device, si possono fare indagini giudiziarie e ricostruire movimenti dei malintenzionati.

Queste grandi opportunità si stanno spostando sui dispositivi anche in termini negativi. Le app e i servizi di messaggistica, pur avendo paradossalmente la tanto decantata crittografia end-to-end, risultano essere i più prossimi ad essere “bucati” e spiati. Anche qui con attacchi asimmetrici: ovvero, basandosi sull’etimologia stessa della parola (a-syn-métron), “incommensurabile”, “non reciprocamente misurabile”.

Un mix di strategie e strumenti che punta alla debolezza della società e delle persone da attaccare. Lo sviluppo di nuovi software collima, senza precedenti, con l’analisi dei dati e la capacità di mappare, controllare e spiare le conversazioni. Qui, oggi, la faccenda torna prepotentemente in casi reali e sociali e si fa più delicata e chirurgica.

Pegasus: come funziona lo spyware e come avviene l’attacco?

Come si evince dalle notizie che si rincorrono in questo periodo, al di là della natura geopolitica e di riflessione più ampia dello spionaggio dei servizi segreti, la diversa natura degli attori si mescola con più mezzi impiegati, costruendo un puzzle e dei target precisi da attaccare.

Questi strumenti sembrano nascere per l’antiterrorismo e per capire come prevenire eventi di natura malevola. Ma, nel caso di Pegasus, la labile differenza tra legittimità o meno di capire le mosse di chi potrebbe fare delle azioni negative e lo spionaggio vero e proprio (per anticipare le mosse di qualsiasi avversario) o la violenza e prevaricazione della privacy, è davvero minima.

L’attività di spionaggio a fini benevoli, in realtà, non è stata mai contraddetta dalla NSO israeliana. Questi ultimi hanno sempre sostenuto che il software spia è nato per le agenzie governative e le forze dell’ordine per gestire e garantire la pubblica sicurezza e la lotta al terrorismo. Ma dopo questo scandalo qualcosa ci fa pensare che non sia così.

L’attacco viene avviato mediante un’esca. Ovvero l’intrusione, nel caso degli smartphone, avviene tramite una videochiamata (prevalentemente su WhatsApp) in cui non serve che la vittima risponda. Lo spyware entra in azione e, attraverso la finta chiamata, come detto, sfruttando tecniche di phishing, di social engineering e la navigazione Web, riesce ad “entrare” nel dispositivo e può attivare l’ascolto delle conversazioni, vedere i contenuti archiviati nella memoria interna, scattare foto e altro. Lo scopo dello spyware è spiare i movimenti della vittima, fino all’uso “discreto” del microfono per una sua costante geolocalizzazione.

Questa attività si unisce con un’attività molto più sofisticata: la cosiddetta spia silente. Ovvero, mentre stiamo navigando su un qualsiasi sito dal browser o da motori di ricerca, prevalentemente su siti HTTP, questa spia ha la capacità di reindirizzare la nostra ricerca su siti ulteriori che a loro volta aprono degli indirizzi mirati, a cui si aggancia automaticamente il software: può trattarsi di servizi degli operatori e quindi inviti a scaricare app, suonerie e offerte oppure dell’infrastruttura su cui poggia il device fisico, ossia antenne, ponti e ripetitore di aggancio.

Gli “injection attacks”

Questi attacchi si chiamano injection attacks e, appunto, reindirizzano le preferenze dell’utente ad un proprio database. Attraverso lo StingRay (International Mobile Subscriber Identity), in pochi secondi il telefono aggancia un ripetitore fittizio in cui viene “poggiato” il software spia o un intercettatore ad alto rendimento.

Lo StingRay è un apparato sviluppato già nei primi anni 90 per attività di intelligence. L’FBI ne fa un uso costante per la prevenzione del crimine a livello internazionale. L’apparecchio, quindi, consente di captare e rubare il traffico dei device abbinando i dati delle conversazioni con quelli degli spostamenti. Non a caso molti esperti sostengono che siano presenti in aerei militari USA.

Tale apparato fa da antenna tra il cellulare della vittima e i ripetitori delle compagnie telefoniche, interrompe il traffico per pochi secondi per installare il software e da qui può risalire anche all’IMEI, International Mobile Equipment Identity.

Facendo ciò, oltre che ascoltare e leggere tutti i tipi di comunicazione, il dispositivo fa anche da “router”. Ovvero riesce a “sniffare” per un certo numero di metri e chilometri altri device che, anche se non connessi direttamente con quello della persona presa in considerazione, vengono intercettati, con conseguente acquisizione di dati.

Il software interno utilizzato per l’operazione è FishHawk e permette anche di far funzionare l’apparato come “jammer”, ovvero un disturbatore che può “copiare”, “distruggere” e “sopprimere” le comunicazione tra i ripetitori e i device collegati.

Conclusioni

La partita si svolge sempre più verso lo studio delle reti. Ovvero di intrusione che sfrutta vulnerabilità sconosciute (zero-day) e, senza che ci sia un reale intervento dell’utente, viene iniettato uno spyware sui telefoni Android e iOS di alcuni target.

In questo caso, il ruolo delle intelligence internazionali si sta modificando ulteriormente: sta diventando, oltre che una fucina per attivare una serie di controlli per evitare attacchi, anche un monitoraggio incrociato sui propri software e sui fornitori di questi servizi perché questi stessi software in un attimo possono diventare, se non utilizzati in maniera consona, boomerang sulle vite delle persone.

 

Fonte: CyberSecurity360