Trojan per Android e iOS: quello legale è un made in Italy.
Trojan per Android e iOS: quello legale è un made in Italy.
C'è un software prodotto da un'azienda italiana e venduto alle autorità di tutto il mondo, che serve per spiare smartphone e altri dispositivi, eventualmente anche aggirando la protezione crittografica. La società è la milanese Hacking Team (HT), e il prodotto in questione è il Remote Control System (RCS).
Dovrebbe essere una cosa segreta, ma la canadese CitizenLab (Università di Toronto) e Kaspersky hanno individuato e analizzato questo software. La società di sicurezza russa, tra l'altro, se ne era già occupata nell'aprile del 2013. È un software legale, che tuttavia gli analisti trattano come malware; in effetti la differenza è piuttosto sottile. Le due analisi ci danno l'occasione più unica che rara di osservare un software di spionaggio tra i più avanzati in circolazione.
Lo possiamo definire un trojan che si nasconde dentro ad applicazioni apparentemente innocue; esiste in diverse forme a seconda del sistema operativo bersaglio - Android e iOS sono quelli principali. "I trojan per Android e iOS", scrive "GReAT" per Kaspersky, "non erano mai stati identificati prima e rappresentavano una delle ultime lacune (riguardo a RCS, NdR)".
Parliamo comunque di iOS con Jailbreak e file APK installati da fonti non attendibili. Pare però che per almeno un'app, Quatif Today, RCS sia riuscito a farsi strada nel Play Store. Non si tratta comunque di una minaccia "di massa", ma piuttosto di uno strumento per colpire con precisione bersagli specifici, magari aggiungendo un po' di social engineering.
A questo riguardo tuttavia è bene essere dubbiosi, perché in genere le informazioni che emergono non sono che la punta dell'iceberg. GReAT fa notare ad esempio che sarebbe possibile infettare prima un mac con OS X, e poi usarlo per un jailbreak non autorizzato sui dispositivi iOS collegati. A quel punto si potrebbe installare RCS, e prendendo le dovute precauzioni si potrebbe evitare che la vittima se ne accorga. Sembra fantascienza, ma non è un'ipotesi da cestinare con troppa disinvoltura.
Distribuzione dei server C2
Il trojan, che sfrutta anche firme e certificati digitali relative a Java a Sun Microsystems, dopo l'installazione si mette in contatto con il server di controllo (C2), tenta di "uscire dalla sandbox" di Android e di ottenere privilegi di root. Questo è possibile solo con alcuni dispositivi con versioni non aggiornate del sistema operativo, ma è comunque una minaccia.
"Il Trojan cerca successivamante di accedere a file locali archiviati da diversi social media", spiega poi Dan Goodin su Ars Technica, come Faceook, Viber, WhatsApp, Skype e altri. L'applicazione spia è anche in grado di registrare suoni, video e immagini, oltre che di tracciare ciò che viene digitato con la tastiera a schermo. Può anche prendere degli screenshot del telefono e registrarne la posizione geografica.
Tutte le informazioni raccolte vengono poi trasmesse ai server C2, e gli autori hanno anche pensato alla bolletta: l'applicazione può trasmettere i dati solo quando il Wi-Fi è disponibile, per evitare che la vittima s'insospettisca per un traffico dati eccessivo.
Ancora più interessante è il kit che HackingTeam metterebbe a disposizione dei propri clienti. Questi potrebbero contare su un'incredibile flessibilità nella scelta della piattaforma da colpire e delle informazioni da esfiltrare. Una volta che il sistema è pronto, le informazioni si estraggono in un solo click.
Insomma, gli smartphone (e i PC) infettati con RCS mettono completamente a nudo il proprietario e i suoi contatti. Il che non sarebbe nemmeno un problema visto che si tratta di un software legale indirizzato alle forze di polizia. Se si rispetta la teoria e si spiano solo i cattivi, dopotutto, pochi avrebbero di cui lamentarsi. È tuttavia impossibile sapere se le cose stanno davvero così.
Siamo infatti obbligati a supporre che ci sia buona fede, che tra le persone che hanno legalmente accesso a RCS non ci sia nessuno che potrebbe abusarne in alcun modo. E anche se fosse verificata questa condizione – non lo è – bisognerebbe poi assicurarsi che RCS non finisca nelle mani sbagliate. Se dovesse succedere infatti sarebbe un malware vero e proprio.
E anche questo è un bel problema: come fa notare lo stesso Citizen Lab, linee guida riguardo a questi strumenti sono ambigue o del tutto assenti in gran parte del mondo, ed è molto facile che nasca un mercato clandestino di software come RCS.
Considerato quanto abbiamo scoperto negli ultimi mesi riguardo ad NSA e HGHQ, e ai potenti mezzi di spionaggi messi in campo da queste agenzie, RCS potrebbe in effetti sembrare poco più di un giocattolo. È senz'altro così, ma solo se appunto lo mettiamo a confronto con certi "pezzi da novanta".
Fatte le dovute proporzioni, invece, il prodotto di HackingTeam è allo stesso tempo utile, intelligente e incredibilmente pericoloso – e non sorprende che qualcuno lo tratti apertamente come un malware di cui liberarsi. Tom's Hardware Italia ha contattato HackingTeam per ottenere dichiarazioni riguardo a queste notizie. Aggiorneremo questo articolo non appena la società ci darà una risposta – ma è un'eventualità piuttosto remota.
C'è un software prodotto da un'azienda italiana e venduto alle autorità di tutto il mondo, che serve per spiare smartphone e altri dispositivi, eventualmente anche aggirando la protezione crittografica. La società è la milanese Hacking Team (HT), e il prodotto in questione è il Remote Control System (RCS).
Dovrebbe essere una cosa segreta, ma la canadese CitizenLab (Università di Toronto) e Kaspersky hanno individuato e analizzato questo software. La società di sicurezza russa, tra l'altro, se ne era già occupata nell'aprile del 2013. È un software legale, che tuttavia gli analisti trattano come malware; in effetti la differenza è piuttosto sottile. Le due analisi ci danno l'occasione più unica che rara di osservare un software di spionaggio tra i più avanzati in circolazione.
Lo possiamo definire un trojan che si nasconde dentro ad applicazioni apparentemente innocue; esiste in diverse forme a seconda del sistema operativo bersaglio - Android e iOS sono quelli principali. "I trojan per Android e iOS", scrive "GReAT" per Kaspersky, "non erano mai stati identificati prima e rappresentavano una delle ultime lacune (riguardo a RCS, NdR)".
Parliamo comunque di iOS con Jailbreak e file APK installati da fonti non attendibili. Pare però che per almeno un'app, Quatif Today, RCS sia riuscito a farsi strada nel Play Store. Non si tratta comunque di una minaccia "di massa", ma piuttosto di uno strumento per colpire con precisione bersagli specifici, magari aggiungendo un po' di social engineering.
A questo riguardo tuttavia è bene essere dubbiosi, perché in genere le informazioni che emergono non sono che la punta dell'iceberg. GReAT fa notare ad esempio che sarebbe possibile infettare prima un mac con OS X, e poi usarlo per un jailbreak non autorizzato sui dispositivi iOS collegati. A quel punto si potrebbe installare RCS, e prendendo le dovute precauzioni si potrebbe evitare che la vittima se ne accorga. Sembra fantascienza, ma non è un'ipotesi da cestinare con troppa disinvoltura.
Distribuzione dei server C2
Il trojan, che sfrutta anche firme e certificati digitali relative a Java a Sun Microsystems, dopo l'installazione si mette in contatto con il server di controllo (C2), tenta di "uscire dalla sandbox" di Android e di ottenere privilegi di root. Questo è possibile solo con alcuni dispositivi con versioni non aggiornate del sistema operativo, ma è comunque una minaccia.
"Il Trojan cerca successivamante di accedere a file locali archiviati da diversi social media", spiega poi Dan Goodin su Ars Technica, come Faceook, Viber, WhatsApp, Skype e altri. L'applicazione spia è anche in grado di registrare suoni, video e immagini, oltre che di tracciare ciò che viene digitato con la tastiera a schermo. Può anche prendere degli screenshot del telefono e registrarne la posizione geografica.
Tutte le informazioni raccolte vengono poi trasmesse ai server C2, e gli autori hanno anche pensato alla bolletta: l'applicazione può trasmettere i dati solo quando il Wi-Fi è disponibile, per evitare che la vittima s'insospettisca per un traffico dati eccessivo.
Ancora più interessante è il kit che HackingTeam metterebbe a disposizione dei propri clienti. Questi potrebbero contare su un'incredibile flessibilità nella scelta della piattaforma da colpire e delle informazioni da esfiltrare. Una volta che il sistema è pronto, le informazioni si estraggono in un solo click.
Insomma, gli smartphone (e i PC) infettati con RCS mettono completamente a nudo il proprietario e i suoi contatti. Il che non sarebbe nemmeno un problema visto che si tratta di un software legale indirizzato alle forze di polizia. Se si rispetta la teoria e si spiano solo i cattivi, dopotutto, pochi avrebbero di cui lamentarsi. È tuttavia impossibile sapere se le cose stanno davvero così.
Siamo infatti obbligati a supporre che ci sia buona fede, che tra le persone che hanno legalmente accesso a RCS non ci sia nessuno che potrebbe abusarne in alcun modo. E anche se fosse verificata questa condizione – non lo è – bisognerebbe poi assicurarsi che RCS non finisca nelle mani sbagliate. Se dovesse succedere infatti sarebbe un malware vero e proprio.
E anche questo è un bel problema: come fa notare lo stesso Citizen Lab, linee guida riguardo a questi strumenti sono ambigue o del tutto assenti in gran parte del mondo, ed è molto facile che nasca un mercato clandestino di software come RCS.
Considerato quanto abbiamo scoperto negli ultimi mesi riguardo ad NSA e HGHQ, e ai potenti mezzi di spionaggi messi in campo da queste agenzie, RCS potrebbe in effetti sembrare poco più di un giocattolo. È senz'altro così, ma solo se appunto lo mettiamo a confronto con certi "pezzi da novanta".
Fatte le dovute proporzioni, invece, il prodotto di HackingTeam è allo stesso tempo utile, intelligente e incredibilmente pericoloso – e non sorprende che qualcuno lo tratti apertamente come un malware di cui liberarsi. Tom's Hardware Italia ha contattato HackingTeam per ottenere dichiarazioni riguardo a queste notizie. Aggiorneremo questo articolo non appena la società ci darà una risposta – ma è un'eventualità piuttosto remota.