Quante applicazioni scarichiamo sui nostri smartphone? Sono tutte necessarie? Ci siamo mai interrogati sulla loro reale natura e se, magari, possano rappresentare un pericolo per la nostra privacy e per la nostra stessa sicurezza? È da questa serie di domande che siamo partiti per cercare di capirci qualcosa di più. Per farlo, siamo riusciti a entrare in contatto con una persona – di cui manteniamo l’anonimato – che per molti anni ha collaborato come sviluppatore e hacker con diverse agenzie che, tra i propri clienti, avevano anche i servizi d’intelligence. Non solo quelli italiani.
Occhio alle App
Con questa persona abbiamo fatto una lunga chiacchierata sui temi generici della sicurezza informatica (che, ovviamente, non esiste) e sulla percezione che se ne ha qui in Italia (praticamente nulla). Abbiamo parlato soprattutto di spionaggio. E abbiamo scoperto come tutti potremmo essere finiti nel mirino di qualcuno intenzionato a scandagliare le nostre vite e i nostri più intimi segreti. Ovviamente senza mai accorgercene.
“Non è sicuro scaricare molte applicazioni – ci ha detto – soprattutto quelle che negli store presentano pochi downloads. Il rischio è che siano state create ad hoc e che contengano qualche brutta sorpresa. Io me ne intendo, perché lo facevo”.
La nostra fonte ci racconta di quando, tanto per i servizi segreti nostrani, quanto per alcuni clienti esteri, architettava metodi di spionaggio particolarmente aggressivi: “Parliamo di dieci, quindici anni fa. Oggi fare quello che facevo all’epoca è molto più difficile. Con le applicazioni di Google e con i sistemi Android è più semplice, mentre Apple è molto ben difesa”.
Ma cosa faceva nello specifico la nostra fonte? “Tra le tante cose, ho inserito un trojan in una famosa applicazione, un videogame online… ormai lo posso anche dire… era Angry Birds”.
Uccellini e spie
Il gioco di cui ci ha parlato la fonte, Angry Birds, appunto, è stato molto popolare tra il 2009 (l’anno di pubblicazione), fino almeno al 2015. Un successo enorme e un ancora più enorme numero di download in tutto il mondo fino al 2019, quando l’applicazione è stata rimossa da tutti gli App Store. Nessuna attinenza, sembra, c’è tra la rimozione e l’utilizzo che ne faceva il nostro hacker.
“Avevo reso questo gioco uno strumento di spionaggio. Se dovevamo intercettare un telefono in particolare, facevo in modo che il trojan si attivasse solo quando il gioco veniva scaricato su quello specifico telefono. Ma alcuni dei clienti che acquistavano il prodotto, che magari avevano la mania del controllo, volevano fare mass scanning, ovvero intercettare chiunque scaricasse il giochino. Sto parlando di paesi come il Messico o l’Arabia Saudita”.
La nostra vita in piazza
Uno scenario inquietante. Certamente ancorato a un passato in cui fare queste cose era più semplice. Ma viene da chiedersi quali siano oggi gli strumenti per portare a termine operazioni del genere.
“Un altro servizio che mi veniva richiesto da diversi clienti era quello di fare scanning massivo sui social… all’epoca soprattutto Facebook e Twitter. L’idiozia degli utenti era talmente standardizzata che spiarli era superfluo, fornivano le informazioni da soli”.
Ma non si parla solo di spionaggio. I servigi della nostra fonte erano richiesti spesso anche dalle forze dell’ordine nell’ambito di investigazioni particolarmente articolate: “Il metodo non era molto diverso, si fa sempre leva sulle manie di protagonismo dell’essere umano. Si faceva entrare nella cerchia delle sue amicizie digitali un agente sotto copertura, magari si iniziava a interagire. E sentendosi al sicuro dietro lo schermo e dietro un apparente anonimato, il soggetto attenzionato cominciava a parlare, a inviare foto, a postare cose d’interesse investigativo. Insomma, faceva tutto da solo. E credo che le cose non siano molto cambiate”.
Un nome, un programma: Stalker
Oltre all’interazione umana, già un decennio fa c’era la possibilità di automatizzare il processo di acquisizione delle informazioni: “Esisteva un tool molto efficace, si chiamava Stalker. Se dovevo monitorare il profilo social di una persona, Stalker mi scaricava tutti i post, le fotografie, i commenti. In questo modo si poteva mappare i contatti e le interazioni del soggetto attenzionato e aprire ulteriori piste investigative”.
Le cose, però, sono cambiate nel corso degli ultimi anni: “Le grandi aziende della Silicon Valley si sono accorte di questa attività di scraping e hanno messo in piedi delle contromisure per bloccare il funzionamento dei tool automatici”. Tradotto: spiare gli utenti sui social è diventato più difficile, ma ovviamente non impossibile.
Diffidare dalle App cinesi
Stesso discorso per quanto riguarda le applicazioni: oggi sarebbe molto complicato istallare un trojan su un gioco popolare. Anche in questo caso le contromisure dei produttori sono piuttosto efficaci. Resta tuttavia consigliabile, come più volte sottolineato dalla nostra fonte, diffidare da applicazioni sviluppate da case di produzioni sconosciute. In particolare, il nostro hacker sostiene sia meglio tenersi alla larga dalle applicazioni cinesi, in particolare quelle poco diffuse in occidente: “In generale, se proprio uno volesse vivere tranquillo e sereno, dovrebbe gettare lo smarphone nel WC e tornare all’analogico”. Più facile a dirsi che a farsi.