Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

il commento

Exodus, un disastro annunciato: l’Italia gestisce con superficialità il tema spy software

Un malware fatto in modo approssimativo, che poteva facilmente condurre alla infezione di vittime innocenti e al di fuori di attività autorizzate. Cosa che è successa in effetti. Tutta questa materia necessita ora regole più stringenti per evitare che riaccada un disastro simile

31 Mar 2019

Stefano Zanero

Organizing Committee Itasec, Politecnico di Milano


Exodus, lo spyware per intercettazioni di Stato dentro app poi finite su Google Play, mi pare un malware realizzato in modo molto approssimativo, e tutte le analisi fatte nel report tecnico di Security Without Borders – che ha rivelato il problema nei giorni scorsi – sono solide e condivisibili.

Utenti innocenti colpiti: errore o malizia

Il meccanismo di distribuzione in effetti poteva facilmente condurre alla infezione di vittime innocenti e al di fuori di attività autorizzate, e mancano tutti i meccanismi di controllo che dovrebbero essere presenti in un trojan di questo tipo.

Non mi avventurerei, come ho letto su alcune testate, a dire che questo sia “un errore”. Non ci sono elementi né per dire che sia stato fatto volontariamente così, né il contrario (Security Without Borders sospetta che ci sia stata malizia della società autrice del malware, eSurv, e che gli utenti innocenti siano stati usati come cavie, Ndr).

Normare meglio la materia

Rimane aperta la questione sull’utilizzo non normato di questi strumenti investigativi, e sui risvolti in tema di riservatezza e di diritto di difesa dei cittadini.

Bisognerebbe chiarire quale sia l’utilizzo di questi strumenti e con quali garanzie. Magari anche con dei requisiti stringenti in termini di controllo delle operazioni. È inaccettabile che un oggetto del genere, sviluppato per lo stato, finisca per infettare cittadini a caso

Tra l’altro questo malware pare compromettesse i dispositivi rendendoli successivamente aggredibili da terzi, il che può invalidare le evidenze raccolte

Sono d’accordo con altri commentatori come l’avvocato Stefano Aterno e Stefano Quintarelli, che pure aveva presentato una proposta di legge in questo senso, e lo stesso Garante Privacy: questa materia andrebbe regolata molto strettamente. Molto di più di quanto fatto dal regolamento del 2017 del ministero della Giustizia.

Mi sembra che l’utilizzo dei “captatori informatici” sia diventato molto ampio senza sufficiente riflessione

@RIPRODUZIONE RISERVATA

Articolo 1 di 4