Inchiesta su Exodus, il software della Procura che spiava anche i cittadini: due arresti
Due persone sono state arrestate nell'inchiesta della Procura di Napoli su "Exodus", la piattaforma usata per le intercettazioni che avrebbe carpito dati e telefonate di centinaia di persone non coinvolte in procedimenti penali o inchieste. Le indagini sono condotte dal procuratore Giovanni Melillo, che coordina il lavoro del Ros dei carabinieri con l'aggiunto Vincenzo Piscitelli e il pm Cristina Curatoli. La falla era stata scoperta dal Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza nel corso di una verifica su un server della Procura di Benevento ed era partito da un presunto malfunzionamento che causava continui errori di connessione; controllando gli accessi, è stato poi scoperto che anche altri telefoni avevano effettuato il login. Un mese fa, agli inizi di aprile, quattro persone erano state iscritte nel registro degli indagati; la Procura aveva fatto scattare il sequestro preventivo per il software e per due aziende: la E-surv, che lo aveva sviluppato, e la Stm, che si era invece occupata della commercializzazione. I due arrestati, sottoposti ai domiciliari, sono Diego Fasano, amministratore della E-Surv, e Salvatore Ansani, direttore tecnico della stessa azienda e ideatore della piattaforma che inoculava il software spia; sono accusati di accesso abusivo a sistema informatico, intercettazioni illegali, frode pubbliche forniture
L'indagine era partita 5 mesi fa, sotto i riflettori ci era finito il software spia usato da forze di polizia e procure per le intercettazioni; per errore, però, erano state intercettate centinaia di italiani che non comparivano nei procedimenti penali né erano coinvolti in indagini, che a quanto sembra avevano scaricato del software infettato da malware nel Google Store. Altro problema scoperto in quella piattaforma, la conservazione dei dati: non finivano in un archivio digitale blindato della magistratura, ma erano in un "cloud", un hard disk virtuale accessibile anche dall'esterno a patto di conoscere le coordinate e le credenziali; e, in questo caso, secondo quanto appurato dagli inquirenti avevano accesso a quei dati anche telefonini che non erano collegati alla procura di Benevento, che avrebbe dovuto essere l'unica titolata alla consultazione.
Perché tra gli intercettati c'erano semplici cittadini
Un software spia, per raccogliere le informazioni da un determinato telefono, deve essere installato su quel terminale. Ed è un'azione che deve fare chi lo utilizza. Per arrivare a questo, per indurre la persona a scaricare e installare il programma, venivano usate tecniche di cosiddetta “ingegneria sociale”. È una variante di quei trucchi che si usano per diffondere i virus, che vengono spacciati come altri programmi. In questo caso il software era presente sullo store ufficiale di Google ed era camuffato da applicazioni per migliorare le prestazioni del cellulare. L'esca, su richiesta delle forze dell'ordine, poteva essere anche lanciata dagli stessi gestori telefonici con messaggi o comunicazioni in modo da essere più convincente. E qui c'era la falla. Una volta scaricata, l'applicazione invia al server il numero IMEI del telefono su cui è stata installata; se questo corrisponde a uno dei cellulari coinvolti in procedimenti, viene scaricato anche il software che permette di carpire i dati. Questo passaggio, però, sarebbe stato disabilitato: in questo modo chiunque scaricava l'applicazione finiva intercettato.
