Exodus, lo spyware per intercettazioni di Stato dentro app poi finite su Google Play, mi pare un malware realizzato in modo molto approssimativo, e tutte le analisi fatte nel report tecnico di Security Without Borders – che ha rivelato il problema nei giorni scorsi – sono solide e condivisibili.
Utenti innocenti colpiti: errore o malizia
Il meccanismo di distribuzione in effetti poteva facilmente condurre alla infezione di vittime innocenti e al di fuori di attività autorizzate, e mancano tutti i meccanismi di controllo che dovrebbero essere presenti in un trojan di questo tipo.
Non mi avventurerei, come ho letto su alcune testate, a dire che questo sia “un errore”. Non ci sono elementi né per dire che sia stato fatto volontariamente così, né il contrario (Security Without Borders sospetta che ci sia stata malizia della società autrice del malware, eSurv, e che gli utenti innocenti siano stati usati come cavie, Ndr).
Normare meglio la materia
Rimane aperta la questione sull’utilizzo non normato di questi strumenti investigativi, e sui risvolti in tema di riservatezza e di diritto di difesa dei cittadini.
Bisognerebbe chiarire quale sia l’utilizzo di questi strumenti e con quali garanzie. Magari anche con dei requisiti stringenti in termini di controllo delle operazioni. È inaccettabile che un oggetto del genere, sviluppato per lo stato, finisca per infettare cittadini a caso
Tra l’altro questo malware pare compromettesse i dispositivi rendendoli successivamente aggredibili da terzi, il che può invalidare le evidenze raccolte
Sono d’accordo con altri commentatori come l’avvocato Stefano Aterno e Stefano Quintarelli, che pure aveva presentato una proposta di legge in questo senso, e lo stesso Garante Privacy: questa materia andrebbe regolata molto strettamente. Molto di più di quanto fatto dal regolamento del 2017 del ministero della Giustizia.
Mi sembra che l’utilizzo dei “captatori informatici” sia diventato molto ampio senza sufficiente riflessione
