Chi è Cellebrite, la compagnia che può violare (forse) ogni iPhone al mondo
L’azienda partner dell’FBI afferma di avere gli strumenti adatti per valicare le difese di iOS e spiare i telefoni senza permesso
Fondata nel 1999, Cellebrite è l’agenzia di sicurezza informatica che ha aiutato l’FBI a ottenere i dati contenuti sull’iPhone 5C di Syed Rizwan Farook, il filo-jihadista ritenuto responsabile della strage terrorista di San Bernardino, il 2 dicembre del 2015.
Nei giorni scorsi, il team della compagnia sta sponsorizzando presso organi istituzionali e forze di polizie un chiavistello molto speciale, che promette di aprire le porte di ogni iPhone al mondo, anche di ultima generazione. Lo racconta Forbes, che è entrata in contatto con un collaboratore interno di cui, ovviamente, non sapremo mai l’identità.
iPhone X violato
Stando alle indiscrezioni emerse di recente, gli smanettoni di Cellebrite sarebbero riusciti a valicare anche il muro dell’iPhone X che, grazie al Face ID, ha aumentato le difese a beneficio della privacy dei possessori; a quanto pare non abbastanza. Tutto a causa di una serie di bug scovati dentro iOS 11, presente su oltre il 65% dei melafonini attivi a livello globale.
Nulla di casuale o caduto dal cielo, si intenda. Il Dipartimento di Sicurezza Nazionale, da fan di Apple, ha comprato un bel po’ di iPhone X per gli amici di Cellebrite subito dopo il lancio autunnale, permettendo che a novembre questi arrivassero già al risultato sperato: una violazione rapida e indolore.
iOS 11 sotto torchio
Alla prima pagina del documento di presentazione delle sue attività Cellebrite scrive: “I dispositivi supportati dall’Advanced Unlocking and Extraction Services (il nome del programma usato ndr.) includono iPhone, iPad, iPad Mini, iPad Pro e iPod Touch con versione di iOS dalla 5 alla 11”. Nessun riferimento all’iPhone X ma una certezza: il rivoluzionario telefonino monta proprio iOS 11 e, in assenza di smentite, sembra che gli hacker siano andati oltre il Face ID, infischiandone di quanto racconta Cupertino.
Meno allarmismo
Bisogna ricordare che per mettere in pratica le tecniche di Cellebrite, il cui motto è Intelligenza digitale per un mondo più sicuro, c’è la necessità di un intervento fisico sull’iPhone. Nessuno, da remoto, potrà mai rubarvi informazioni personali protette con Touch ID e Face ID. Peraltro Apple, proprio con la questione di San Bernardino, ha dimostrato di voler preservare a tutti i costi la privacy dei consumatori, a rischio di mettersi contro l’intero governo degli Stati Uniti.
Come opera Cellebrite
Il costo di un singolo sblocco, in media, varia tra i 1.000 e i 1.500 dollari. Chiunque, ma proprio chiunque, può inviare a Cellebrite un iPhone su cui è impostata una tipologia di codice (pin, segni, volto) per capire se i ragazzi sono davvero in grado di aggirare il recinto. A quel punto contattano il cliente e ricevono la somma, dopodiché rispediscono il telefonino, pronto a ogni sorta di monitoraggio.
Il prezzo per la libertà sembra elevato ma è decisamente meno di quanto paga Apple a chi scopre bug su iOS, tramite concorsi e gare periodiche. Per una vulnerabilità importante si arriva a premi di 1 milione di dollari. Forse troppi, ma il gioco per Tim Cook vale la candela, visto che ogni falla individuata è un lucchetto in più davanti agli occhi delle spie.
Business in crescita
L’approccio professionale della compagnia di Israele è forse troppo macchinoso ma non possiamo aspettarci un servizio di vendita diretta al pubblico dei vari software. In questo modo la stessa Apple potrebbe comprare i programmini e studiarli, intervenendo per chiudere le porte aperte in iOS. Meglio agire in presa diretta, tenendo per sé la proprietà individuale sviluppata negli anni e sfruttarla il più possibile.
Tra i clienti di Cellebrite ci sono il reparto Immigrazione e Dogana del Dipartimento di Sicurezza Nazionale, la già citata FBI, i Servizi Segreti, varie agenzie governative e stati esteri. È evidente che sia stata proprio la società di Israele a beneficiare più di tutti dalla diatriba di Apple con i federali; una campagna promozionale senza paragoni. Il problema è che non può un singolo soggetto concentrare nelle proprie mani un potere così grande. Se quanto affermato fosse vero, vorrebbe dire che la riservatezza della vita digitale di milioni di persone pende dalle disponibilità economiche di chi si affida a Cellebrite; anche un marito geloso o un padre possessivo.
Assenza di legislazione
La poca eticità dell’azienda partner dell’FBI si evince dal fatto che lavori per accumulare bug su bug, senza comunicarli alle produttrici (come fanno di solito gli hacker) e mettendo in pericolo la sicurezza di Apple come di Android, di Windows come di Linux. Certo non è plausibile escludere del tutto le capacità di indagine della polizia su apparecchi hi-tech che portiamo appresso ogni giorno ma questo non vuol dire giustificare la sensazione di essere, ogni momento, probabili bersagli di un occhio che non dorme mai. L’ago della bilancia può farlo solo una corretta legislazione. La stessa che negli States latita, o meglio, che ha confini poco chiari e spesso ingiustificati.