Gli Spyware: cosa sono e come difendersi

Sempre più spesso si sente parlare di Spyware, una minaccia oggi molto attuale che colpisce soprattutto gli smartphone. Questi nostri dispositivi contengono tante informazioni e ci accompagnano in ogni momento della nostra vita, quindi per il cybercrime (ma non solo!) può essere più utile spiarli piuttosto che rubarli.

Per fare questo si usano dei software appositamente realizzati e che sono chiamati appunto Spyware.

E nostro malgrado non possiamo più ignorarli, perché possono entrare – ospiti nascosti e non graditi – nella vita di chiunque. Se ne è parlato anche di recente quando, nel maggio scorso, è stata resa nota in anteprima dal Financial Times una grave vulnerabilità dell’applicazione WhatsApp, utilizzata nel mondo da oltre un miliardo e mezzo di persone. Questa vulnerabilità (classificata con il numero CVE-2019-3568) aveva un’efficacia devastante: bastava infatti una chiamata vocale via WhatsApp per installare uno spyware sul telefono del destinatario. Quello che la rendeva particolarmente grave era che si trattava di una vulnerabilità cosiddetta “zero-click”, cioè non era necessario che la vittima rispondesse, bastava la sola chiamata WhatsApp  per introdurre lo spyware. La chiamata infatti generava un “buffer overflow”, reso possibile dall’efficacia dell’arma messa a punto dall’attaccante.

Quindi un attacco perfetto e difficilmente contrastabile. Per due motivi: prima di tutto perché funzionava su tutti i sistemi operativi mobili (Android, iOS e Windows Phone). In secondo luogo perché prendeva di mira un’applicazione che, normalmente, ha accesso a tutte le funzionalità del telefono che possono interessare a un cyber-criminale (foto, contatti, messaggi, ecc.).

Il 13 maggio WhatsApp ha rilasciato un aggiornamento (per iOS è il 2.19.51, per Android è il 2.19.44) che chiudeva la vulnerabilità, anche se con discutibile “trasparenza” il changelog dell’aggiornamento dichiarava semplicemente che “Adesso puoi vedere gli sticker nelle dimensioni originali tenendo premuta la notifica”.

Sia l’arma che l’attaccante protagonisti di questa vicenda sono ormai noti: chi ha realizzato lo spyware di nome Pegasus è l’ormai famosa società israeliana NSO Group, leader mondiale dei software spia per dispositivi mobili.

Chi sono NSO Group e Pegasus

Questa azienda è stata fondata nel 2010 da ex membri della “mitica” Unit 8200 (parte dell’Israeli Intelligence Corps). L’Unità 8200 è ritenuta la responsabile anche dell’attacco Stuxnet, che nel 2010 ha infettato la centrale di arricchimento dell’uranio di Natanz, facendo esplodere – con un malware, appunto Stuxnet – oltre mille centrifughe e bloccato la centrale (ne parlo in questo mio articolo).

Inizialmente NSO Group, che ha sede ad Herzliya (Israele), realizzava software per collegarsi da remoto agli smartphone (per fare riparazioni a distanza…), ma da lì alla creazione di software spia il passo è stato breve.  Ed in pochi anni l’azienda israeliana è diventata il produttore dei migliori e più micidiali spyware del mondo 

Nel 2014 fu venduta al gruppo di private equity Francisco Partners per circa 120 milioni di dollari, poi nel febbraio 2019 è stata riacquistata dai due cofondatori dell’azienda, Shalev Hulio e Omri Lavie.

NSO Group si è sempre mantenuta nell’ombra e non se ne hanno molte informazioni (fino a pochi anni fa sembra non avesse neppure un sito web): le prime notizie significative sono emerse dal data breach che ha colpito nel luglio 2015 Hacking Team, il loro principale concorrente. Nel 2018 ha avuto ricavi per 250 milioni di dollari e “dozzine” di clienti (ufficialmente  Stati e governi).

Ma secondo Citizen Lab, associazione non-profit collegata all’Università di Toronto, che da tempo indaga su NSO Group, questa società  venderebbe i suoi prodotti anche a regimi autoritari che li usano per spiare giornalisti e dissidenti. Sembra che  il software spia di NSO fosse stato installato anche sull’iPhone di Jamal Khashoggi, il giornalista saudita scomparso nel consolato dell’Arabia Saudita ad Instanbul e con tutta probabilità ucciso.

In passato erano stati colpiti con lo spesso spyware di NSO altri dissidenti politici: tra questi Ahmed Mansoor,  un ingegnere e blogger degli Emirati Arabi Uniti, noto difensore dei diritti umani, critico verso le politiche del governo degli Emirati. Il suo caso accaduto nel 2016, è conosciuto come “The Million Dollar Dissident” (perché i prodotti di NSO sono molto costosi e probabilmente alla portata solo di governi e polizie di stato). Racconto la sua storia in questo articolo. Anche su questo caso ha indagato Citizen Lab, che analizzò due messaggi con link malevoli arrivati nell’iPhone 6 di Mansoor e che avrebbero portato all’installazione di Pegasus.

È proprio lo spyware Pegasus il prodotto che ha reso famosa NSO Group, valutata oggi 1 miliardo di dollari.  

Questo è solo il più famoso – e probabilmente il più micidiale – tra i software spia che si stanno diffondendo in modo preoccupante. 

Quando questi programmi vengono impiegati anche e soprattutto dalle polizie a scopo di spionaggio, si parla di “captatori informatici”, utilizzati a fine di indagine per l’intercettazione di comunicazioni o conversazioni in dispositivi elettronici portatili.

Questi strumenti, per quanto utili a fini investigativi, rischiano, se utilizzati in assenza delle necessarie garanzie, di determinare inaccettabili violazioni della libertà dei cittadini, fino ad arrivare a scenari da “sorveglianza di massa” e, conseguentemente, a potenziali indebite pratiche di spionaggio.

Ma il tema degli spyware non riguarda solo Pegasus, che per il suo costo molto elevato (centinaia di migliaia di dollari) è utilizzabile solo per obbiettivi mirati ed importanti. Si trovano in rete molte applicazioni che fanno la stessa cosa in modo più artigianale e con costi accessibili a tutti (dell’ordine delle decine di euro).

Non occorre cercarli nel Darkweb, perché sono distribuiti come applicazioni “legali” (o che vorrebbero far credere di esserlo). Molte di queste vengono vendute infatti con lo scopo ufficiale e dichiarato di “controllare lo smartphone dei propri figli”. In realtà si tratta di programmi la cui installazione nel dispositivo di un terzo (senza la sua autorizzazione) rappresenta un vero e proprio reato.

Ne cito qui alcuni (senza riportare i link dove trovarli), che chiunque potrebbe acquistare ed utilizzare per spiare qualcun altro (la moglie, il marito, il collega, ecc.):

  • FlexiSPY
  • Highster Mobile
  • Hoverwatch
  • Mobistealth
  • mSpy
  • TeenSafe
  • TheTruthSpy
  • Cerberus.

Citizen Lab ha da poco pubblicato un corposo rapporto dal titolo “The Predator in Your Pocket” che analizza questi spyware in modo dettagliato.

Per un ulteriore approfondimento sugli spyware rimando all’articolo Gli Spyware: cosa sono e come difendersiche ho scritto per la testata ICT Security Magazine.


© Copyright 2019 Giorgio Sbaraglia
All rights reserved.

Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Non opere derivate 4.0 Internazionale.

Lascia un commento