Come funziona Graphite, lanciato dalla società israeliana Paragon, per spiare gli smartphone?

Mentre Paragon, società di Tel Aviv, ha chiuso i contratti in essere a livello governativo in Italia, il Governo Meloni ha negato l’accusa di aver sfruttato le tecnologia per violare i profili WhatsApp delle vittime tra le quali ci sarebbero il direttore di Fanpage, Francesco Cancellato, e l’attivista Luca Casarini, capomissione e tra i fondatori dell’organizzazione non governativa Mediterranea. Restano ancora tanti gli aspetti da chiarire intorno a Graphite, il sistema fornito da Paragon Solutions, che ha interrotto i rapporti con il governo italiano proprio perchè sembra che sia incorso in una violazione delle clausole sull’uso etico dei propri sistemi.

Leggi anche: Paragon e le altre aziende israeliane della cybersecurity. L’ecosistema delle startup ha raccolto 4 miliardi di investimenti nel 2024

Come e con chi lavora Paragon?

Come altre società attive nel settore, Paragon lavora esclusivamente con i governi, ai quali offre diversi strumenti per ottenere l’accesso a smartphone e altri dispositivi elettronici e spiarne i contenuti e le comunicazioni. Servizi di questo tipo possono rivelarsi utili nelle attività antiterrorismo, per esempio, ma c’è sempre il rischio che gli stessi strumenti siano impiegati nei confronti di attivisti, oppositori politici, giornalisti e cittadini.

Per ottenere l’accesso non autorizzato a un dispositivo elettronico si possono seguire vari approcci, non solo in base alle esigenze di chi effettua l’attacco informatico, ma anche delle caratteristiche del dispositivo stesso e del software. Società come Paragon lavorano soprattutto sfruttando le cosiddette “falle di sicurezza” nei sistemi, cioè errori o imprecisioni nei codici informatici che possono essere sfruttati per far eseguire ai dispositivi certi compiti all’insaputa dei loro proprietari.

Nel caso italiano, che ha coinvolto un centinaio di persone in una decina di paesi, risulta che siano state spiate almeno sette persone, inclusi Francesco Cancellato e Luca Casarini. Entrambi hanno scoperto di essere stati spiati dopo avere ricevuto un messaggio da Meta, che li avvisava di attività sospette sull’applicazione WhatsApp di sua proprietà. Le falle che garantiscono maggiori probabilità di successo sono solitamente legate alle vulnerabilità chiamate “zero day“, cioè difetti in un software o in un sistema operativo che non sono stati ancora scoperti – o resi noti – da chi ha prodotto quei programmi. Spesso è lo sviluppatore stesso dei programmi o del sistema operativo a non esserne a conoscenza, e di conseguenza non ha ancora provveduto a diffondere aggiornamenti di sicurezza per correggere il problema.

Le zero day, una volta identificate, possono passare a lungo inosservate dai produttori e possono essere acquistate a prezzi molto alti sul mercato nero da gruppi di hacker e cracker che si occupano di cercarne di nuove. Questo è il motivo per cui sono gestite, soprattutto, da agenzie di intelligence o società di spionaggio che si possono permettere importanti investimenti economici. Il valore di una zero day si azzera non appena viene scoperta e sistemata da chi produce i sistemi operativi o i software interessati, rendendola inutilizzabile.

Aziende come Paragon o altri soggetti costruiscono sulle vulnerabilità di questo tipo degli strumenti per attaccare i dispositivi che ne sono affetti, in modo da ottenere l’accesso ai loro dati. Uno dei sistemi più efficaci per farlo è attraverso un attacco zero click, che come suggerisce il nome non richiede nessuna interazione da parte dell’utente come per esempio il click su un link o l’apertura di un file allegato. La falla viene quindi sfruttata automaticamente quando il dispositivo riceve i dati inviati dall’autore dell’attacco, che vengono poi elaborati producendo effetti invisibili al suo proprietario. Rispetto al caso di cui si parla in questi giorni, l’ipotesi è che sia avvenuto qualcosa di simile proprio in una chat di gruppo di WhatsApp, ma le informazioni sono ancora scarse.

A seconda dei casi e della gravità della zero day, l’autore dell’attacco ha comunque la possibilità di effettuare una “escalation dei privilegi”, cioè di partire da una singola funzionalità di una app o del sistema operativo per estendere poi il proprio accesso a funzionalità normalmente riservate. Può anche installare software aggiuntivo per spiare le attività svolte sul dispositivo, oppure compromettere altri dispositivi collegati alla stessa rete.

I sistemi operativi degli smartphone come iOS e Android utilizzano varie funzioni e livelli di sicurezza per ridurre i danni derivanti da un attacco zero day. Tra i tanti accorgimenti ci sono il “sandboxing”: la gestione delle applicazioni in modo separato per ridurre il rischio che una app compromessa possa costituire un pericolo per le altre app, e ancora la gestione separata della memoria e la crittografia dei dati per renderli decodificabili solo se in possesso di una certa chiave. Questi accorgimenti sono stratificati e intrecciati in modo da mitigare gli effetti di un attacco, ma non sono completamente immuni dagli errori di programmazione.

A seconda del tipo di accesso ottenuto, il dispositivo può poi essere sorvegliato a lungo a distanza da chi ha effettuato l’attacco. Le società come Paragon offrono servizi come Graphite per gestire i collegamenti con quei dispositivi, decidere che dati scaricare e come tenerli sotto controllo, sempre all’insaputa dei loro proprietari. Le modalità sono decise dai clienti di Paragon, quindi governi e agenzie di intelligenze, ma la società ha la possibilità di effettuare se necessario delle verifiche per assicurarsi che siano rispettate le clausole dei contratti.