Le Autorità possono attivare da remoto fotocamera e microfono dello smartphone

Sta facendo discutere, in Francia, una controversa disposizione che è contenuta nel disegno di legge Giustizia appena approvato dal Senato. Secondo quanto stabilito, le Autorità transalpine avranno la facoltà di disporre l’attivazione da remoto di telecamere e microfoni sugli smartphone degli utenti, all’insaputa degli interessati.

La nuova misura ha due obiettivi primari: geolocalizzare gli utenti in tempo reale (abbiamo recentemente parlato del posizionamento GPS) e abilitare l’acquisizione di immagini e suoni a distanza. Il legislatore ha previsto che questi strumenti siano eventualmente utilizzabili solo per il contrasto dei reati più gravi (ovvero quelli punibili con almeno 10 anni di reclusione). Ad esempio le indagini relative ad operazioni di antiterrorismo e nella lotta alla criminalità organizzata.

L’Observatory of digital and digital freedoms (OLN) ha stigmatizzato il provvedimento (che deve comunque ancora concludere l’iter di approvazione in sede parlamentare) osservando che qualsiasi dispositivo mobile diventa automaticamente un potenziale strumento di sorveglianza di massa.

Tanti osservatori ritengono la disposizione “sproporzionata”. Il rischio è di aprire le porte a un modus operandi che avrebbe un impatto fortemente negativo sulla privacy dei cittadini.

Il ministro della Giustizia francese ha difeso il provvedimento, sostenendo che le tecniche di attivazione remota di telecamere e microfoni sono già in uso oggi. Ha inoltre aggiunto che oggi è richiesta l’installazione fisica di dispositivi di monitoraggio, attività che può essere rischiosa per gli inquirenti. Si fa presente, poi, che il provvedimento sarebbe sostenuto da forti tutele e che  ogni eventuale attuazione pratica sarà subordinata all’approvazione di un giudice, figura chiamata ad assicurare la tutela dei diritti e della legalità.

È tecnicamente possibile attivare a distanza la fotocamera o il microfono dello smartphone all’insaputa del proprietario?

L’attivazione a distanza della fotocamera e del microfono dello smartphone senza il consenso o la conoscenza del proprietario è teoricamente possibile. Per eseguire un’azione del genere, un potenziale aggressore dovrebbe compromettere il dispositivo attraverso l’installazione di software spyware. Una volta in esecuzione sullo smartphone, l’app potrebbe effettivamente consentire a un utente remoto di assumere il controllo di un ampio ventaglio di funzionalità del dispositivo. Compreso l’utilizzo di fotocamera e microfono.

I malintenzionati possono sferrare un attacco che porta all’installazione e al caricamento di applicazioni spia in vari modi. Possono ad esempio sfruttare vulnerabilità del sistema operativo non risolte, applicazioni non sicure, tecniche di ingegneria sociale per indurre l’utente a installare il software malevolo.

Affinché un’applicazione installata sullo smartphone possa utilizzare fotocamera e microfono è necessario accordare i permessi corrispondenti. In un altro articolo abbiamo visto come sapere quali app installate usano il microfono. Lo stesso approccio può essere utilizzato per verificare quali applicazioni si servono della fotocamera.

Quali app potrebbero essere utilizzate per accedere da remoto a telecamera e microfono

Non è una novità: si sa che anche in Italia, almeno dal 2017, possono essere utilizzate applicazioni che monitorano le attività degli utenti sui loro dispositivi: si chiamano captatori informatici. Battezzate colloquialmente trojan di Stato, si tratta di app adoperate nelle ipotesi di reato più gravi che registrano le operazioni svolte dagli utenti condividendole con le forze di polizia. Il loro uso prevede l’installazione preventiva sui terminali personali appartenenti al soggetto destinatario del provvedimento.

Nella forma attuale, tuttavia, il disegno di legge francese va ben oltre e sembra prevedere una possibilità in più. Le Autorità avrebbero i poteri per richiedere ai gestori di applicazioni di terze parti la collaborazione al fine di acquisire foto, video e audio dai terminali degli utenti.

È davvero possibile ottenere l’abilitazione di fotocamera e microfono dalle app di terze parti?

Per ottenere tali informazioni, dovranno essere seguite procedure legali specifiche ma a questo punto pare proprio che la privacy degli utenti, proprio in quell’Europa che si è da sempre fatta paladina della tutela dei diritti personali, possa essere sacrificata sull’altare delle indagini di polizia.

Va detto, inoltre, che eventuali ordini giudiziari potrebbero cozzare con l’utilizzo della cifratura end-to-end e di altre misure di sicurezza che mirano proprio a impedire allo stesso gestore del servizio e a soggetti terzi, l’accesso alle informazioni personali degli utenti. Inoltre, la stragrande maggioranza degli sviluppatori di app risponderà, verosimilmente, che l’attivazione di fotocamera e microfono non è possibile a distanza ma solo su esplicita richiesta dell’utente. L’introduzione di un comportamento diverso porterebbe di fatto all’introduzione di una backdoor nelle singole app, che tra l’altro dovrebbero essere distribuite all’intera platea di utenti. Con tutto ciò che ne consegue. Si pensi ai potenziali problemi di sicurezza che ne deriverebbero se utenti non autorizzati scoprissero come sfruttare la backdoor o al giudizio negativo che le app otterrebbero in sede di audit.

Il provvedimento francese apre quindi un precedente importante destinato a far discutere ben oltre i confini del Paese.