Le autorità russe hanno violato il telefono di un importante oppositore politico mentre era in custodia, utilizzando la tecnologia prodotta dalla società forense Cellebrite, anche dopo che la società aveva dichiarato di aver tagliato i legami con le agenzie governative di Putin, secondo un rapporto nuovo rapporto ciò solleva nuove domande sulla capacità delle aziende tecnologiche occidentali di controllare davvero il modo in cui i loro strumenti vengono utilizzati una volta che sono in circolazione.
Il caso è un ammonimento per qualsiasi azienda tecnologica che vende ai governi. Cellebrite, una società israeliana con un secondo quartier generale in Virginia che vende ai governi di tutto il mondo – compresi negli Stati Uniti – aveva annunciato che avrebbe smesso di fornire hardware e software alla Russia. Apparentemente non è riuscito o non è riuscito a portare a termine la cosa.
I ricercatori di The Citizen Lab, gruppo per i diritti digitali con sede presso l’Università di Toronto, hanno affermato di aver trovato prove che un’unità investigativa del governo russo ha utilizzato uno strumento di hacking telefonico creato da Cellebrite per entrare nell’iPhone del dissidente locale per i diritti umani e politico dell’opposizione Andrey Pivovarov nel giugno 2021.
Tre mesi prima di quell’hack, Cellebrite l’aveva fatto annunciato che avrebbe “immediatamente” smesso di vendere la sua tecnologia ai clienti del governo russo. Sul suo sito ufficiale, Cellebrite affermazioni che a partire da marzo 2021, quando taglierà i legami con il governo di Putin, la società “potrà impedire il funzionamento del dispositivo o la ricezione di aggiornamenti software”.
Non è chiaro il motivo per cui ciò non sia accaduto in questo caso, e l’episodio mette in luce una scomoda verità sulla tecnologia di sorveglianza, ovvero che una volta che potenti tecnologie di hacking e sorveglianza raggiungono il cliente sbagliato, recuperarlo non è così facile. Gli strumenti proliferano, vengono abusati e possono continuare a esserlo, spesso molto tempo dopo che l’azienda che li ha realizzati si è lavata le mani del cliente.
“Non è sorprendente, ed è il risultato delle politiche di Cellebrite”, ha affermato Eitay Mack, un avvocato israeliano per i diritti umani che da tempo conduce una campagna contro i produttori di tecnologie di sorveglianza come Cellebrite e il produttore di spyware NSO Group.
Contattaci
Hai maggiori informazioni su Cellebrite? O su come i clienti di Cellebrite abusano della sua tecnologia? Ci piacerebbe sentire la tua opinione. Da un dispositivo e da una rete non di lavoro, puoi contattare Lorenzo Franceschi-Bicchierai in modo sicuro su Signal al numero +1 917 257 1382, oppure tramite Telegram e Keybase @lorenzofb, o e-mail.
Mack ha sostenuto che la cessazione delle vendite, e anche la revoca di una licenza software, non impedisce a un ex cliente di Cellebrite di abusare della tecnologia dell’azienda, come dimostra questo caso. Mack ha anche sottolineato che Cellebrite si rifiuta di dire se chiede ai clienti di smantellare gli strumenti di hacking che ha venduto loro, una lacuna critica che i suoi stessi annunci non colmano.
Questo caso, ha aggiunto Mack, suggerisce che gli ex clienti possono ancora abusare dello strumento di sblocco del telefono di Cellebrite, soprannominato UFED, anche dopo che la società smette di supportare il cliente e presumibilmente revoca la licenza del software. In teoria, ciò dovrebbe rendere i dispositivi dell’azienda meno utili.
John Scott-Railton, ricercatore senior presso il Citizen Lab, ha dichiarato a TechCrunch che Cellebrite “dovrebbe anche disabilitare in remoto le implementazioni a seguito di segnalazioni credibili di abusi e porre fine all’era della negabilità plausibile implementando filigrane firmate crittograficamente su tutti i dispositivi sottoposti a immagine”. In parole povere, Cellebrite dovrebbe essere in grado di bloccare da remoto i propri strumenti quando vengono utilizzati in modo improprio e dovrebbe incorporare una sorta di impronta digitale in modo che tutti i dati estratti con la sua tecnologia possano essere ricondotti a quale dispositivo specifico è stato utilizzato.
Cellebrite vende dispositivi hardware progettati per sbloccare e hackerare i cellulari ad essi collegati. Nel corso degli anni, i ricercatori hanno documentato casi in cui i clienti dell’azienda hanno utilizzato la sua tecnologia contro dissidenti, attivisti per i diritti umani e giornalisti a Hong Kong, Kenya e Giordania. In risposta ad alcuni di questi risultati, Cellebrite ha tagliato i legami con Bangladesh, Cina e Hong Kong, Myanmare Serbia.
In un’e-mail al Citizen Lab, che ha condiviso con TechCrunch, David Gee, chief marketing officer di Cellebrite, ha affermato che la società “ha interrotto tutte le vendite e i servizi alla Federazione Russa nel marzo 2021, rescindendo le licenze esistenti e ha immediatamente iniziato a risolvere tutti i contratti legali. Qualsiasi utilizzo dell’hardware legacy di Cellebrite in Russia dopo marzo 2021 è del tutto non autorizzato”.
Gee, così come il portavoce di Cellebrite Victor Cooper, non hanno risposto a una serie di domande specifiche inviate da TechCrunch.
Nel caso di Pivovarov, i ricercatori del Citizen Lab hanno affermato di essere riusciti a trovare prove forensi sul suo telefono che era stato violato con Cellebrite UFED, dopo che le autorità russe lo avevano arrestato e confiscato il suo iPhone 12 e MacBook nel maggio 2021.
Pivovarov ha anche condiviso con i ricercatori un documento giudiziario ricevuto come parte del suo procedimento giudiziario. In esso, il Centro esperti criminalisti del governo russo descrive dettagliatamente l’uso di Cellebrite UFED per entrare nel suo telefono, affermando che le autorità hanno utilizzato UFED per estrarre dati, inclusi messaggi WhatsApp e Telegram. Hanno anche cercato nel telefono termini politici, così come i nomi di figure dell’opposizione, che includevano obiettivi di quelle che i ricercatori hanno descritto come presunte campagne di hacking del governo russo.
Pivovarov era il direttore dell’ormai defunto gruppo di opposizione Open Russia. Lui è stato successivamente condannato a quattro anni di carcere, prima di essere liberato nell’agosto 2024 come parte di uno scambio di prigionieri tra Russia e paesi occidentali che ha liberato anche il giornalista del Wall Street Journal Evan Gershkovich.
L’ambasciata russa a Washington DC non ha risposto a una richiesta di commento.
Quando acquisti tramite i link presenti nei nostri articoli, potremmo guadagnare una piccola commissione. Ciò non pregiudica la nostra indipendenza editoriale.
