Secondo un’inchiesta del New York Times, ToTok – applicazione di messaggistica che negli ultimi mesi ha guadagnato milioni di utenti – sarebbe uno strumento di sorveglianza diretto a tracciare ogni movimento di chi la installa sul proprio smartphone

VIENE pubblicizzata come un’applicazione di messaggistica sicura per condividere scatti e filmati con i propri amici e familiari. Ma, secondo un’inchiesta del New York Times, è in realtà una spia usata dal governo degli Emirati Arabi Uniti per tracciare “ogni conversazione, movimento, relazione, appuntamento, suono e immagine” di coloro che l’hanno installata sul proprio smartphone e il consiglio è di rimuoverla immediatamente. Si chiama ToTok e in poco tempo ha guadagnato milioni di download (almeno 600 mila solo nell’ultimo mese) in Europa, Asia, Africa e negli Stati Uniti, dove nelle ultime settimane è diventata una delle app più scaricate, in accordo ai dati forniti dalla compagnia di analisi App Annie.
La sponsorizzazione governativa
Ma è soprattutto tra gli emiratensi che ToTok sta spopolando, anche grazie alla sponsorizzazione del governo che, d’altra parte, limita l’utilizzo nel Paese di strumenti come WhatsApp e Signal. Paletti che hanno lasciato il campo aperto alla nuova app, promossa sulle pubblicazioni statali semi-ufficiali e presentata come “il servizio a lungo atteso” dai cittadini degli Emirati Arabi Uniti. Inoltre, il mese scorso gli utenti di Botim — un servizio di messaggistica degli Emirati a pagamento — hanno ricevuto l’invito a passare a ToTok con un messaggio in cui veniva persino fornito il link per installare l’applicazione. Un particolare che per Eva Galperin, hacker a capo della sicurezza informatica dell’Electronic Frontier Foundation e autrice di molti report sugli strumenti hi-tech sfruttati dai governi per spiare gli attivisti, rappresenta un “nuovo elemento di svolta” nella cybersorveglianza di Stato. “Non ho mai visto qualcosa di equivalente”, commenta Galperin a Repubblica. Anche se, sottolinea la ricercatrice, “ormai da molti anni rileviamo attori statali che rilasciano versioni con backdoor (delle ‘porte di servizio’ che permettono di accedere ai dispositivi, ndr) di applicazioni popolari, incluse Signal e WhatsApp. E non è inusuale neanche il fatto che queste app giochino sulla paura dei cittadini di essere sorvegliati, offrendo a parole un servizio veloce e sicuro”.
Come funziona
ToTok è stata rimossa da negozi digitali di Google e Apple, che stanno indagando sulla vicenda, ma si trova ancora su quelli di Samsung, Huawei, Xiaomi e Oppo. L’app si presenta come una sorta di clone di un servizio cinese, YeeCall, e Patrick Wardle, ricercatore di sicurezza informatica ed ex dipendente dell’agenzia per la sicurezza nazionale statunitense (Nsa) che l’ha analizzata, è sorpreso dalla sua semplicità. “Quando analizzi uno strumento del genere, ti aspetti di trovare delle backdoor”, dice Wardle. Niente di tutto questo, l’applicazione fa “semplicemente ciò che dice di fare”: traccia costantemente la posizione degli utenti con la scusa di offrire previsioni del tempo accurate; scarica i contatti presenti in rubrica con il pretesto di aiutare a trovare i propri amici; chiede il permesso di accedere alle foto, alla fotocamera e al microfono. Tutte informazioni che, come si legge nei termini di servizio, “potrebbero essere condivise con compagnie affiliate”. “C’è una bellezza in questo approccio — spiega Wardle —. Se puoi fare volontariamente installare questa applicazione, per spiare le persone non hai bisogno di compromettere i loro dispositivi. Caricando contatti, video, chat e posizione, di che altra intelligence hai bisogno?”. Il punto da sottolineare è che ToTok non fa molto di diverso rispetto ad altre app similari. Il problema è capire dove vanno a finire i dati raccolti e chi può avervi acceso. Un problema che in queste ore non riguarda solo ToTok, ma anche TikTok: app cinese diventata un fenomeno mondiale che è sotto scrutinio negli Stati Uniti per i potenziali legami con il governo cinese. “Domande a cui è molto difficile rispondere”, conclude il ricercatore.
La cybersorveglianza di Stato
Per quel che riguarda ToTok, secondo il New York Times, molte delle informazioni collezionate sarebbero state trasmesse ad analisti d’intelligence che lavorano per conto dello Stato emiratense. Breej Holdings, la compagnia dietro l’app, sarebbe infatti una costola di Dark Matter: azienda di cyber intelligence attualmente indagata dall’Fbi per crimini informatici. In questo contesto l’app sarebbe solo l’ultimo fiore all’occhiello del governo degli Emirati Arabi Uniti, da tempo impegnato a potenziare i propri strumenti di cybersorveglianza. Al Jazeera ricorda che il Paese è sotto scrutinio per attività di spionaggio condotte nei confronti dei propri critici. Una sistematica violazione dei diritti umani portata avanti grazie all’aiuto di compagnie di cybersicurezza ed esperti legati agli Stati Uniti e ad Israele. Per esempio, lo scorso anno il governo emiratense avrebbe chiesto all’azienda israeliana Nso — considerata la principale indiziata di una falla di WhatsApp che consente di installare uno spyware sui telefoni attraverso le chiamate vocali — di compromettere gli smartphone di alcuni rivali politici, nonché di un amico intimo di Jamal Khashoggi, il giornalista ucciso nell’ottobre del 2018.
Ma la ricostruzione del quotidiano statunitense riguardo a ToTok non convince tutti. Una fonte di Repubblica che lavora nel settore della cybersicurezza riduce il caso a una semplice questione commerciale: una guerra alla app del momento che rischia di minare l’egemonia statunitense nel settore. Dal canto suo, la stessa ToTok in un comunicato ufficiale pubblicato ieri punta l’accento sul fatto che conta milioni di utenti in tutto il mondo e spiega la rimozione dai negozi digitali di Apple e Google con “un problema tecnico”.
Fonte: repubblica.it