Google accusa l'azienda italiana RCS Lab di aver preso di mira dispositivi Android e iOS con uno spyware

Google accusa l'azienda italiana RCS Lab di aver preso di mira dispositivi Android e iOS con uno spyware

Il TAG di Google ha ricostruito un articolato piano di sorveglianza che coinvolgerebbe una società italiana e avrebbe preso di mira una regione della Siria popolata prevalentemente da curdi

di pubblicata il , alle 15:50 nel canale Sicurezza
Google
 

Il Threat Analysis Group di Google ha notato la diffusione di uno spyware conosciuto con il nome di Hermit su una moltitudine di dispositivi Android e iOS. Responsabile di questo spyware sarebbe l'azienda italiana RCS Lab (non ha niente in comune con il gruppo che distribuisce Il Corriere della Sera e La Gazzetta dello Sport), secondo quanto indica il TAG di Google. RCS Lab è un'azienda di attività investigativa che lavora con le autorità giudiziarie e le forze dell'ordine, i corpi speciali e i servizi segreti e di intelligence, come si può leggere sul sito dell'azienda.

"Questi fornitori stanno consentendo la proliferazione di strumenti di hacking pericolosi e armando i governi che non sarebbero in grado di sviluppare tali capacità internamente", afferma Google nel suo resoconto. Non c'è una posizione ufficiale da parte del governo italiano, ma Apple ha fatto sapere di aver revocato gli account associabili alla campagna di hacking verso cui il TAG di Google punta il dito.

RCS Lab

Invece, è arrivata una risposta della stessa RCS Lab, inviata all'agenzia Reuters: "Il personale di RCS Lab non è esposto, né partecipa ad alcuna attività condotta dai clienti dell'azienda". Non sarebbe certamente il primo caso di spyware messo a disposizione dei governi, dopo che un numero crescente di aziende ha iniziato a sviluppare strumenti di intercettazione per le forze dell'ordine. Molti attivisti, però, denunciano pratiche del genere, soprattutto quando vengono realizzate a favore di governi che reprimono i diritti umani e civili.

Secondo i documenti di Google, RCS Lab si sarebbe servita della collaborazione di alcuni internet provider per bloccare momentaneamente i dati mobile sui dispositivi. Poi veniva inoltrato un SMS con un link per scaricare un'applicazione che avrebbe ripristinato il servizio. In alternativa, veniva mandato un messaggio che avvertiva sulla sospensione degli account social Facebook, WhatsApp o Instagram: seguendo le istruzioni inoltrate si sarebbe potuto sbloccare l'account, anche in questo caso previo il download di un'applicazione.

Quest'ultimo veniva effettuato con una modalità sideload, in quanto l'app, che su Android figurava come una legittima applicazione di Samsung che richiedeva diversi tipi di permessi e l'accesso ai dati personali, non è mai risieduta sugli store ufficiali App Store e Google Play. Una volta ottenute le autorizzazioni del caso, lo spyware poteva accedere ai messaggi e alle password memorizzate sul dispositivo.

L'analisi di Hermit, realizzata anche dalla società di sicurezza Lookout, giunta a risultati molto simili a quelli di Google, ha mostrato che lo spyware può essere impiegato per ottenere il controllo degli smartphone, registrare audio, reindirizzare le chiamate e raccogliere dati come contatti, messaggi, foto e posizioni. Secondo questi studi, Hermit sarebbe stato utilizzato soprattutto in Siria, in una regione popolata prevalentemente da curdi. Non c'è al momento alcuna notizia relativamente a presunti legami tra l'esecutivo siriano e quello italiano su questa operazione.

I ricercatori di Google hanno scoperto che RCS Lab ha precedentemente collaborato con la controversa e defunta società di spionaggio italiana Hacking Team, anch'essa accusata di aver creato software di sorveglianza per consentire ai governi di accedere a telefoni e computer personali.

Google ha affermato di aver avvertito gli utenti Android presi di mira dallo spyware e di aver potenziato le difese del software. Anche Apple ha adottato contromisure simili.

15 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
AlPaBo24 Giugno 2022, 16:23 #1
Originariamente inviato da: Redazione di Hardware Upgrade
Link alla notizia: https://www.hwupgrade.it/news/sicur...are_108121.html
Molti attivisti, però, denunciano pratiche del genere, soprattutto quando vengono realizzate a favore di governi che reprimono i diritti umani e civili.


La condanna va data indipendentemente dall'opinione che si ha sul governo. Quelli che usano tecniche del genere sono per definizione governi che reprimono i diritti umani e civili. Un attivista che condanna alcuni paesi e assolve altri per lo stesso comportamento non è un attivista, è uno che fa propaganda mascherandosi da attivista.
Dire che questi comportamenti siano ammissibili in base a chi li fa nega infatti un principio fondamentale dell'etica, ovvero quello per cui i comportamenti non vanno giudicati in base a chi li fa.
Unax24 Giugno 2022, 16:41 #2
ma le intercettazione dei telefoni le fanno sia governi democratici sia i governi dittatoriali, esattamente come i pedinamenti
AlPaBo24 Giugno 2022, 17:08 #3
Originariamente inviato da: Unax
ma le intercettazione dei telefoni le fanno sia governi democratici sia i governi dittatoriali, esattamente come i pedinamenti


Come ho scritto sopra, le azioni sono etiche o non etiche in base ai comportamenti effettivamente seguiti.
In questo caso la differenza sta nel fatto che l'intercettazione è autorizzata da un ente indipendente dal potere esecutivo (tipicamente la magistratura) oppure no. Il primo caso è accettabile, il secondo no.
Il primo caso è per esempio quello italiano, uno dei pochi paesi in cui la magistratura è effettivamente indipendente dal potere esecutivo (da qui tutti i tentativi, come il recente referendum, di legarla al governo per diminuirne l'indipendenza e rendere l'Italia uno stato più autoritario).
Il secondo caso, che io trovo non etico, è per esempio possibile negli USA, che da questo punto di vista non è diverso dai governi dittatoriali.
zappy24 Giugno 2022, 21:08 #4
Originariamente inviato da: AlPaBo
La condanna va data indipendentemente dall'opinione che si ha sul governo. Quelli che usano tecniche del genere sono per definizione governi che reprimono i diritti umani e civili. Un attivista che condanna alcuni paesi e assolve altri per lo stesso comportamento non è un attivista, è uno che fa propaganda mascherandosi da attivista.
Dire che questi comportamenti siano ammissibili in base a chi li fa nega infatti un principio fondamentale dell'etica, ovvero quello per cui i comportamenti non vanno giudicati in base a chi li fa.

ma che scemenza assoluta.

quindi intercettare un mafioso, un pedofilo o un assassino sarebbe non-etico?... ma per favore...

cmq sulla notizia... google accusa altre società di spiare... da che pulpito...
Takuya24 Giugno 2022, 21:43 #5
Sbaglio o è una roba rozzissima in confronto a Pegasus che sfrutta attacchi 0 click?
Qarboz24 Giugno 2022, 22:08 #6
Sono curioso di sapere come hanno fatto a far installare un'app su iPhone scaricata al di fuori dell'app store
biometallo25 Giugno 2022, 06:23 #7
Originariamente inviato da: Qarboz
Sono curioso di sapere come hanno fatto a far installare un'app su iPhone scaricata al di fuori dell'app store


In attesa che qualcuno più esperto di me ti risponda, ti consiglio di andare a leggere cosa riporta la fonte che ad una breve ricerca risulta essere questa pagina:

https://blog.google/threat-analysis...and-kazakhstan/


[B]

Panoramica della campagna
Tutte le campagne TAG osservate hanno avuto origine con un link univoco inviato al target. Una volta cliccata, la pagina ha tentato di convincere l'utente a scaricare e installare un'applicazione dannosa su Android o iOS. In alcuni casi, riteniamo che gli attori abbiano collaborato con l'ISP del target per disabilitare la connettività dati mobile del target. Una volta disabilitato, l'attaccante inviava un collegamento dannoso tramite SMS chiedendo al bersaglio di installare un'applicazione per recuperare la connettività dei dati. Riteniamo che questo sia il motivo per cui la maggior parte delle applicazioni è mascherata da applicazioni per operatori mobili. Quando il coinvolgimento dell'ISP non è possibile, le applicazioni vengono mascherate da applicazioni di messaggistica.

[...]
iOS Drive-By
Per distribuire l'applicazione iOS, gli aggressori hanno semplicemente seguito le istruzioni Apple su come distribuire app interne proprietarie ai dispositivi Apple e hanno utilizzato il protocollo itms-services con il seguente file manifest e utilizzando com.ios.Carrier come identificatore.

codice
L'applicazione risultante è firmata con un certificato di un'azienda denominata 3-1 Mobile SRL (ID sviluppatore: 58UP7GFWAA). Il certificato soddisfa tutti i requisiti di firma del codice iOS su qualsiasi dispositivo iOS poiché l'azienda è stata iscritta all'Apple Developer Enterprise Program .

Queste app vengono ancora eseguite all'interno della sandbox delle app iOS e sono soggette agli stessi meccanismi tecnici di tutela della privacy e della sicurezza (ad es. caricamento lato codice) di qualsiasi app dell'App Store. Possono, tuttavia, essere caricati lateralmente su qualsiasi dispositivo e non è necessario installarli tramite l'App Store. Non crediamo che le app siano mai state disponibili sull'App Store.

L'app è suddivisa in più parti. Contiene un wrapper di exploit di escalation dei privilegi generico che viene utilizzato da sei diversi exploit. Contiene anche un agente minimalista in grado di esfiltrare file interessanti dal dispositivo, come il database Whatsapp.

L'app che abbiamo analizzato conteneva i seguenti exploit:

CVE-2018-4344 denominato internamente e pubblicamente noto come LightSpeed.
CVE-2019-8605 internamente denominato SockPort2 e pubblicamente noto come SockPuppet
CVE-2020-3837 denominato internamente e pubblicamente noto come TimeWaste.
CVE-2020-9907 internamente denominato AveCesare.
CVE-2021-30883 internamente denominato Clicked2, contrassegnato come sfruttato in natura da Apple nell'ottobre 2021.
CVE-2021-30983 internamente denominato Clicked3, risolto da Apple nel dicembre 2021.
Tutti gli exploit utilizzati prima del 2021 si basano su exploit pubblici scritti da diverse comunità di jailbreak. Al momento della scoperta, riteniamo che CVE-2021-30883 e CVE-2021-30983 fossero due exploit di 0 giorni. In collaborazione con TAG, Project Zero ha pubblicato l'analisi tecnica di CVE-2021-30983.[/B]
Qarboz25 Giugno 2022, 07:50 #8
Originariamente inviato da: biometallo
In attesa che qualcuno più esperto di me ti risponda, ti consiglio di andare a leggere cosa riporta la fonte che ad una breve ricerca risulta essere questa pagina:

https://blog.google/threat-analysis...and-kazakhstan/
[...]


Interessante, grazie
AlPaBo25 Giugno 2022, 19:49 #9
Originariamente inviato da: zappy
ma che scemenza assoluta.

quindi intercettare un mafioso, un pedofilo o un assassino sarebbe non-etico?... ma per favore...


Spiare chiunque senza l'autorizzazione di un ente di controllo indipendente dal governo non è etico, perché aumenta esponenzialmente il rischio di deriva antidemocratica.
In Italia i mafiosi, i pedofili, gli assassini sono normalmente intercettati con l'autorizzazione della magistratura, che da noi è indipendente dal potere esecutivo, e quindi può controllare se si tratta presumibilmente davvero di un criminale o di un perseguitato politico fatto passare per tale.

Comunque questo l'avevo già scritto, evidentemente nella foga non hai letto con attenzione e non hai capito. Ti consiglio, la prossima volta, di leggere bene quello a cui vuoi rispondere.
zappy25 Giugno 2022, 21:07 #10
Originariamente inviato da: AlPaBo
Spiare chiunque senza l'autorizzazione di un ente di controllo indipendente dal governo non è etico, perché aumenta esponenzialmente il rischio di deriva antidemocratica.
In Italia i mafiosi, i pedofili, gli assassini sono normalmente intercettati con l'autorizzazione della magistratura, che da noi è indipendente dal potere esecutivo, e quindi può controllare se si tratta presumibilmente davvero di un criminale o di un perseguitato politico fatto passare per tale.

Comunque questo l'avevo già scritto, evidentemente nella foga non hai letto con attenzione e non hai capito. Ti consiglio, la prossima volta, di leggere bene quello a cui vuoi rispondere.

e dove sta scritto che spiano chiunque.
io leggo nell'articolo:
RCS Lab è un'azienda di attività investigativa che lavora con le autorità giudiziarie e le forze dell'ordine, i corpi speciali e i servizi segreti e di intelligence

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^