Google ha corretto in silenzio una serie di vulnerabilità di Android fino ad allora sconosciute, che permettevano agli strumenti forensi di sbloccare i telefoni senza il consenso dell’utente. La scoperta è stata fatta da Amnesty International, che ha rivelato che le autorità serbe hanno utilizzato questi exploit per accedere al telefono di uno studente manifestante.
Le vulnerabilità, identificate come una catena di tre falle zero-day, sono state rintracciate nel kernel USB di Linux, il che significa che non erano limitate a un singolo dispositivo Android o produttore. Secondo il rapporto di Amnesty, queste falle avrebbero potuto colpire oltre un miliardo di dispositivi Android in tutto il mondo.
Le vulnerabilità zero-day sono particolarmente pericolose perché rimangono sconosciute agli sviluppatori di software o hardware fino alla loro scoperta e al loro sfruttamento. Poiché al momento della scoperta non esistono ancora patch, gli hacker – sia gruppi criminali che agenzie governative – possono usarle per violare i sistemi senza attivare le difese di sicurezza.
>>>GQ6UU per Google G823-00345-01 GS35
Amnesty ha rilevato per la prima volta tracce di una di queste falle a metà del 2024, ma non ne ha compreso appieno la portata fino a più tardi nello stesso anno. Un’indagine più approfondita sull’hacking del telefono di un attivista studentesco in Serbia ha fornito ulteriori prove che le autorità avevano utilizzato gli strumenti forensi di Cellebrite per bypassare la sicurezza di Android. Amnesty ha poi condiviso le sue scoperte con il Threat Analysis Group di Google, il che ha portato all’identificazione e alla correzione di tre diverse falle di sicurezza.
Cellebrite, un’azienda israeliana nota per lo sviluppo di strumenti di sblocco dei telefoni per le forze dell’ordine, si è trovata al centro della controversia. Amnesty ha scoperto che le autorità serbe hanno utilizzato la tecnologia di Cellebrite per sbloccare il telefono dell’attivista senza il suo consenso. Il caso ha sollevato preoccupazioni su come questi strumenti vengano impiegati contro giornalisti, attivisti e difensori dei diritti umani.
Non è la prima volta che Amnesty denuncia l’uso improprio degli strumenti di Cellebrite. Nel dicembre 2024, l’organizzazione ha riferito che le autorità serbe avevano utilizzato la tecnologia forense di Cellebrite per sbloccare i telefoni di un attivista e di un giornalista. Il rapporto ha inoltre rivelato che, dopo aver sbloccato i dispositivi, le autorità hanno installato NoviSpy, uno spyware per Android progettato per la sorveglianza.
A seguito di queste accuse, Cellebrite ha annunciato all’inizio di questa settimana di aver interrotto i rapporti con i suoi clienti serbi, citando preoccupazioni etiche. L’azienda ha rilasciato una dichiarazione affermando di aver esaminato le scoperte di Amnesty e di aver deciso di sospendere la fornitura dei suoi prodotti al governo serbo per il momento.
L’ultimo rapporto di Amnesty descrive un altro caso in cui le autorità serbe hanno utilizzato gli strumenti di Cellebrite per accedere a un Samsung A32 appartenente a un giovane attivista. Quest’ultimo era stato arrestato alla fine del 2024 dall’Agenzia serba per la sicurezza e le informazioni (BIA). Amnesty ha riscontrato che le tattiche usate nel suo arresto erano molto simili a quelle documentate nel rapporto precedente, rafforzando i timori di una sorveglianza mirata contro i dissidenti politici.
Amnesty ha condannato con forza l’uso di strumenti forensi per reprimere la libertà di espressione e di manifestazione pacifica, sostenendo che tali azioni violano i diritti umani fondamentali. L’organizzazione ha sottolineato che l’uso del software di Cellebrite in questo modo non può essere giustificato da alcun quadro giuridico legittimo.
La scoperta di queste vulnerabilità ha riacceso il dibattito sulla sicurezza dei dispositivi Android, in particolare per le persone che rischiano di essere soggette a sorveglianza governativa o repressione digitale.
Bill Marczak, ricercatore senior presso il Citizen Lab, ha invitato attivisti, giornalisti e membri della società civile a valutare la possibilità di passare agli iPhone, che a suo avviso potrebbero offrire una protezione più efficace contro gli strumenti di sblocco forense.
Donncha Ó Cearbhaill, responsabile del Security Lab di Amnesty, ha avvertito che la tecnologia di Cellebrite è più diffusa di quanto si pensi. Ha espresso preoccupazione sul fatto che il problema potrebbe non limitarsi alla Serbia e potrebbe colpire attivisti in diversi paesi.
Ora che Google ha corretto le vulnerabilità, la minaccia immediata è stata mitigata. Tuttavia, per chi è preoccupato per la propria privacy digitale, mantenere i dispositivi aggiornati, utilizzare password sicure e affidarsi ad app di messaggistica con crittografia end-to-end rimangono misure di difesa fondamentali. Tuttavia, finché esisteranno strumenti forensi come quelli di Cellebrite, il rischio di accesso non autorizzato ai telefoni – soprattutto in contesti politicamente sensibili – rimarrà un problema preoccupante.
