Sembra un titolo azzardato, ma devo premettere subito che non lo è per niente. La maggior parte delle persone nemmeno immaginano cosa possa fare un malintenzionato grazie alle immense potenzialità offerte dai dispositivi mobili di oggi. Infatti, ormai quasi tutti i cellulari, gli smartphone e i tablet sono equipaggiati di microfono, telecamera, GPS, tracciatura delle celle, tracciatura automatica delle operazioni, una serie svariata di sensori cinetici, termici e chissà cos’altro. Chi acquista questi dispositivi evoluti lo fa per godere delle numerose funzionalità offerte, come ad esempio l’utilizzo del navigatore, le numerose applicazioni, i social network, la rotazione automatica dello schermo, la geolocalizzazione e la contestualizzazione dei contenuti, ma non immagina neanche lontanamente quante opportunità queste funzioni possano offrire ad un malintenzionato per spiare la nostra vita e non solo.

Partiamo dalle cose più semplici: installando apposite applicazioni, alcune delle quali liberamente disponibili sul Google Play Store o sull’Apple App Store, è possibile tracciare in tempo reale gli spostamenti del possessore di un dispositivo mobile, controllandoli sulla mappa. È anche possibile ascoltare conversazioni, non solo durante una chiamata, oppure leggere i messaggi SMS e email in arrivo e in partenza, monitorare l’utilizzo dei social network o ancora scaricare i dati contenuti nel dispositivo: registrazioni delle chiamate, testi dei messaggi, contatti della rubrica, URL visitati, ricerche fatte sul web, transazioni e credenziali finanziarie, fotografie e filmati. Ci sarebbe già abbastanza materiale per inorridire!

Spy Bubble, Mobile Spy, FlexiSpy e StealthGenie sono solo alcune delle applicazioni che è possibile installare e che operano in modalità silente in background, completamente invisibili all’utente. Normalmente chi ricorre a queste applicazioni lo fa per tenere sotto controllo i propri figli o il partner, come ampiamente pubblicizzato dai rispettivi produttori. Ma se ad essere controllati siamo noi stessi e magari non da qualcuno che conosciamo?

Non tutte le applicazioni di spionaggio sono agevolmente installabili in remoto, perciò è quasi sempre indispensabile avere accesso fisico diretto al dispositivo della vittima, sebbene esistano diverse tecniche e meccanismi di social engineering che consentono di avere successo. Come con la tecniche denominate bluejacking e bluesnarfing, che sfruttano le vulnerabilità o la non corretta configurazione del Bluetooth per inviare falsi messaggi, ad esempio messaggi di errore, o specifici file confezionati con l’obiettivo di indurre la vittima a concedere temporaneamente l’accesso fisico o remoto al dispositivo. Oppure con la recente tecnologia NFC (Near Field Communication) che, coniugata con l’applicazione Android Beam, consente di inviare URL al dispositivo target e far scaricare software in maniera automatica e silente, senza necessità di accesso fisico. Malware e spyware di questo tipo sono disponibili online a prezzi relativamente bassi. Così, con una spesa di soli 50 dollari, è possibile ascoltare conversazioni private, leggere il testo dei messaggi scambiati, tracciare l’ubicazione e attivare microfono e telecamera per trasformare il dispositivo in un potente strumento di intercettazione ambientale e vestire i panni di uno Sherlock Holmes del ventunesimo secolo.

Il caso Carrier IQ

Difficile da credere? Allora voglio citare la recente notizia sulla scoperta di un’applicazione clandestina installata in modalità “built-in” (dalla fabbrica) sui sistemi operativi Google Android, Apple iOS, BlackBerry RIM e Nokia Symbian. L’applicazione incriminata, denominata “Carrier IQ“, traccia la posizione del dispositivo e raccoglie informazioni di vario tipo, ovvero, nuovamente, conversazioni, messaggi, fotografie, filmati e, udite udite, cattura tutti i tasti pigiati dall’utente, perciò è in grado di catturare anche password, PIN e codici segreti in genere.

Carrier IQ opera in background ed è completamente invisibile all’utente medio, poiché non è interattiva e non richiede alcuna conferma all’utente per agire sui vari contenuti e sensori del dispositivo. Solo un esperto di codice mobile può scoprirne l’esistenza, un esperto come Trevor Eckhart, sviluppatore Android che ha reso pubblica l’esistenza dell’applicazione in questione e che, per questo, ha ricevuto una lettera di diffida dall’azienda produttrice e minacce esplicite di azioni legali. Fortunatamente è giunta in suo aiuto la EFF (Electronic Frontier Foundation) che ha riconosciuto il diritto di Eckhart ad appellarsi al Primo Emendamento della Costituzione USA per la libertà di parola e di stampa, ma anche per il diritto di appellarsi al governo per correggere i torti.

L’azienda produttrice ha affermato che Carrier IQ sarebbe necessaria ai fornitori di telefonia cellulare per raccogliere preziose informazioni sui clienti e sulla loro esperienza di utilizzo dei servizi con l’obiettivo di migliorare i prodotti, precisando che essa non cattura i tasti premuti dall’utente. Precisazione smentita senza appello dallo stesso Eckhart in un video pubblicato su Wired nel quale ha dimostrato come l’applicazione incriminata registri svariati tipi di informazioni, tasti compresi, in palese violazione delle leggi federali statunitensi. Eckhart ha anche sviluppato un’applicazione off-market per rimuovere l’applicazione incriminata dai dispositivi Android; per maggiori informazioni su come rilevare e rimuovere Carrier IQ dal vostro dispositivo, vi consiglio di leggere questo interessante tutorial a riguardo.

Il caso PlaceRaider

Ho già accennato alla possibilità di catturare fotografie e filmati presenti sul dispositivo, così come alla possibilità di intercettazione ambientale attivando microfono e telecamera. Per far comprendere meglio a cosa si può arrivare con un utilizzo avanzato di questi e altri sensori di un dispositivo mobile moderno, voglio citare l’applicazione PlaceRaider, sviluppata inizialmente per il sistema operativo Android dagli esperti militari statunitensi nel Naval Surface Warfare Center di Crane, Indiana. Questa applicazione, analogamente alle altre dello stesso genere, è in grado di accendere la telecamera del dispositivo in maniera silente e catturare sia immagini in tempo reale che dati provenienti dai vari sensori, dall’orologio di sistema e dal GPS, ma con un obiettivo diverso, cioè quello di generare un modello tridimensionale dell’ambiente.

Attivandosi al rilevamento delle giuste condizioni, infatti, l’applicazione raccoglie informazioni, effettua una mappatura visiva e tridimensionale degli ambienti, registra valori ambientali e, inviando il tutto ai malintenzionati registi dell’operazione, consente addirittura di individuare con estrema precisione l’esatta ubicazione degli oggetti di valore e degli eventuali dispositivi di allarme, ma anche di rilevare scritte sul calendario (ad esempio per conoscere eventuali futuri spostamenti) o immagini ad alta risoluzione di carte di pagamento, blocchetti di assegni, badge di accesso fisico, cartellini di identificazione e documenti d’identità. Grazie a queste avanzate caratteristiche, un criminale può studiare con estrema tranquillità l’ambiente e le sue caratteristiche per allestire intrusioni, furti di valori o addirittura furti d’identità senza alzarsi dalla propria sedia. Sembra che sia in atto il porting dell’applicazione anche sui sistemi operativi Apple iOS e Windows Phone, con il risultato di riuscire a coprire l’intero parco dei dispositivi smartphone e tablet sul mercato.

Il sempre più arduo compromesso fra tecnologia e privacy

Con la rapida evoluzione dei dispositivi mobili, sia in termini di potenza hardware che di funzionalità applicative, diventa ogni giorno più difficile adeguarsi all’uso mobile senza dover rinunciare a parte della propria anonimia e della privacy individuale. Molte persone, la maggior parte delle quali in maniera inconsapevole, cedono porzioni considerevoli della propria riservatezza personale per abbracciare l’evoluzione tecnologica e sfoggiare l’ultimo ritrovato dall’industria mobile.

Sebbene personalmente non ne abbia scovato le prove, gira voce che diversi produttori abbiano da tempo introdotto funzionalità nascoste a livello hardware su processori e componenti elettronici dei dispositivi mobili per compiacere agenzie governative e grandi corporation multinazionali che, come si può facilmente immaginare, sono letteralmente avide di informazioni e non si fanno tanti scrupoli nel sottrarre libertà e riservatezza in nome della sicurezza nazionale e del profitto commerciale. Non sarebbe poi una novità, visto che da tempo le stesse agenzie e multinazionali sguazzano invisibili nei più grandi ricettacoli di informazione presenti sul Web, ovvero social network, forum e blog, dove le applicazioni diventano sempre più contestualizzate, fameliche di dati ed aggressive nei confronti degli utenti.

Questa impronta decisamente orwelliana dei moderni dispositivi mobili può e deve rendere vigili e giustamente nervosi coloro che hanno qualcosa da nascondere o che semplicemente tengono alla propria privacy. Pensandoci bene, chi di noi condividerebbe volentieri le proprie conversazioni, i propri messaggi, le fotografie, i filmati, le proprie credenziali di accesso, insomma, la propria intera vita ad uno sconosciuto?

Ripeto quindi quello che è da tempo un mio assunto: la tecnologia va abbracciata e utilizzata per motivi personali e privati solo quando si è in grado di dominarla con adeguata dimestichezza, pena l’inevitabile cessione di parti più o meno importanti della propria vita a qualcun’altro che non sempre potrebbe agire nel nostro interesse. Il medesimo concetto andrebbe applicato anche in ambito aziendale, dove il crescente fenomeno del BYOD (Bring Your Own Device) sta minando le già insufficienti misure di sicurezza delle informazioni. Ma questa è un’altra storia…

Ettore Guarnaccia