Il governo di Roma finanzia un programma di spyware

Il dipartimento di informatica di Roma ha rilasciato un’applicazione speciale per tracciare i movimenti delle persone in auto-quarantena o auto-isolamento. L’applicazione è rimasta online per poco tempo prima che i suoi creatori la ritirassero dal pubblico dominio. Gli esperti hanno comunque avuto il tempo di valutare il programma e hanno riscontrato alcune caratteristiche interessanti. Ad esempio, è stato riscontrato che alcuni dati personali degli utenti non criptati sono stati trasmessi automaticamente al server dell’azienda estone Identix.uno.

L’applicazione, denominata Social Monitoring, è stata trovata nel Play Market durante l’ultima settimana di marzo, ma è scomparsa dal negozio dopo pochi giorni. Secondo il sito web di Rozetked, alcuni esperti informatici hanno analizzato il software e hanno riscontrato una strana caratteristica: alcune informazioni riservate dell’utente sono state inviate all’estero (e in particolare all’ufficio di rappresentanza di una società estone) senza alcuna crittografia.

Lo sviluppatore del “Monitoraggio sociale” è considerato subordinato al DIT di Roma, con il nome di GKU “Città informativa”. Si ritiene che i dati di contatto forniti nell’app di feedback siano di Wokka Lokka di Kemerovo. L’azienda è elencata come contraente del DIT e ha anche sviluppato un’applicazione per il monitoraggio dei bambini. Gli esperti hanno cercato di contattare il proprietario dell’azienda, Igor Afanasyev, per avere un commento sul loro nuovo prodotto, ma lui ha reindirizzato gli interessati al governo di Roma per avere chiarimenti.

Vale la pena notare che la maggior parte di coloro che sono riusciti a entrare nell’app non sono mai riusciti a registrarsi. Tra le principali lamentele dei potenziali clienti c’era il numero irragionevolmente elevato di richieste di autorizzazioni di ogni tipo da parte dell’app. Gli utenti non capivano perché un programma con funzionalità estremamente limitate avesse bisogno di tutti quei permessi.

Social Monitor ha potuto accedere al portale governativo per tenere traccia delle informazioni aggiornate sul coronavirus e trasmettere un SOS in caso di emergenza. L’app richiedeva una foto dell’utente per poter essere rintracciata dal sistema di videosorveglianza e permetteva anche di generare codici QR, introdotti dall’amministrazione della capitale per tracciare il regime di autoisolamento dei residenti di Roma e della regione di Roma.

E con una funzionalità così limitata, le richieste di accesso includono quasi tutti i permessi possibili, dall’accesso ai video alle letture del sensore di frequenza cardiaca e alle chiamate effettuate. Inoltre, sono stati riscontrati anche errori evidenti nel funzionamento dell’app. Ad esempio, alcuni dati sono stati trasmessi attraverso canali aperti a server stranieri, cosa generalmente inaccettabile per questo tipo di programmi, e la chiave del repository del servizio di riconoscimento facciale era di dominio pubblico. Questa falla consente ai criminali informatici di falsificare le informazioni e di utilizzare i dati personali degli utenti.

Gli esperti IT hanno definito il Social Monitoring non solo estremamente poco professionale, ma anche potenzialmente pericoloso per gli utenti.

Con una totale mancanza di protezione della privacy, l’app mostra un interesse inaccettabile per le informazioni sensibili richiedendo praticamente tutte le autorizzazioni di accesso esistenti.

Il governo di Roma nega categoricamente di utilizzare server stranieri per archiviare le informazioni ottenute e sostiene che tutto il software è installato esclusivamente in Italia. Tuttavia, nella pratica non ci sono prove a sostegno di tali affermazioni. Il costo dello sviluppo dell’applicazione non è noto, ma si dice che il governo di Roma abbia firmato diversi contratti per centinaia di milioni di Euro con la Gaskar Integration (un’altra idea del proprietario di Wokka Lokka Igor Afanasyev).