Motherboard ha rilasciato parti del codice per l'app di messaggistica crittografata Anom, gestita segretamente dall'FBI per monitorare la criminalità organizzata su scala globale. I servizi segreti hanno intercettato messaggi da migliaia di telefoni crittografati in tutto il mondo.

L'anno scorso, l'FBI e i suoi partner internazionali hanno annunciato l'operazione Trojan Shield, in cui hanno gestito segretamente per anni l'app crittografata Anom per raccogliere decine di milioni di messaggi dagli utenti. Anom è caduto nelle mani di oltre 300 organizzazioni criminali in tutto il mondo. L'operazione ha portato all'arresto di più di mille persone, inclusi presunti grandi trafficanti di droga, nonché a massicci sequestri di armi, denaro contante, droga e automobili.

Il codice mostra che i messaggi sono stati segretamente duplicati e inviati a un contatto "fantasma" nascosto dagli elenchi di contatti degli utenti.

L'applicazione utilizza un protocollo per inviare messaggi istantanei XMPP con la propria crittografia. XMPP funziona in modo tale che ogni contatto utilizzi un handle, che è in qualche modo simile a un indirizzo e-mail. L'FBI implementato in Anom includeva un account XMPP per l'assistenza clienti, oltre a un bot. Quest'ultimo è stato nascosto dagli elenchi dei contatti degli utenti di Anom ed è stato eseguito in background. In pratica, l'applicazione scorrerà l'elenco dei contatti dell'utente e filtrerà l'account del bot.

Le autorità hanno in precedenza lanciato l'idea di utilizzare un contatto fantasma per infiltrarsi nei messaggi crittografati. In un articolo del novembre 2018 sul sito web di Lawfare, Ian Levy e Crispin Robinson, due membri senior dell'agenzia di intelligence britannica GCHQ, hanno scritto che "è relativamente facile per un fornitore di servizi aggiungere silenziosamente un agente delle forze dell'ordine a una chat di gruppo o a una chiamata .”

Il codice mostra anche che nella sezione che gestisce l'invio dei messaggi, l'app allegava informazioni sulla posizione a qualsiasi messaggio inviato al bot.

Inoltre, il file AndroidManifest.xml nell'app, che mostra a quali autorizzazioni accede, include l'autorizzazione "ACCESS_FINE_LOCATION". Ciò conferma che molti dei messaggi Anom intercettati includevano l'esatta posizione GPS del dispositivo al momento dell'invio.

In alcuni casi, la polizia ha riferito che il sistema Anom non è stato in grado di registrare correttamente le posizioni GPS, ma le autorità ritengono che le coordinate siano generalmente affidabili perché sono state confrontate con altre informazioni come le fotografie.

Ovviamente, la maggior parte del codice di messaggistica è stata copiata da un'app di messaggistica open source.

Il codice stesso è disordinato, blocchi di grandi dimensioni vengono commentati e l'app scrive costantemente messaggi di debug sul telefono stesso.

Cooper Quintin, tecnologo senior presso l'organizzazione attivista Electronic Frontier Foundation (EFF), dice che è "folle" che l'FBI abbia utilizzato sviluppatori ordinari per i propri scopi. "Sarebbe come se Raytheon assumesse una compagnia di fuochi d'artificio in fondo alla strada per creare primer per razzi, ma non dicesse loro che producono primer per razzi", ha detto. L'ingegnere credeva che l'FBI stesse lavorando con ingegneri informatici interni con autorizzazioni di sicurezza.

Nel frattempo, i tribunali in Europa e Australia stanno prendendo in considerazione casi contro presunti colpevoli, la cui prova principale sono i loro incarichi ad Anom. Gli avvocati difensori in Australia hanno presentato richieste legali per ottenere il codice per l'app stessa, sostenendo che l'accesso ad essa è importante per determinare l'accuratezza dei messaggi. Tuttavia, la polizia federale australiana ha rifiutato di rivelare il codice.

L'avvocato Jennifer Stefanak ritiene che qualsiasi imputato abbia il diritto di sapere "come funziona il dispositivo, come chiunque è stato in grado di accedere a questi messaggi e, soprattutto, se l'accesso iniziale e la successiva diffusione di questi messaggi alle autorità australiane fosse lecito". altri avvocati non ritengono necessario rivelare il codice.

L'FBI di San Diego ha dichiarato: "Abbiamo serie preoccupazioni che il rilascio di tutto il codice sorgente possa portare a una serie di situazioni che non sono nell'interesse pubblico, come la divulgazione di fonti e metodi, oltre a fornire uno script per includere criminali elementi, duplicando un'applicazione senza costi significativi di tempo e risorse."

Motherboard ha deciso di non rilasciare il codice completo per l'app, poiché contiene informazioni identificative su chi ci ha lavorato. La pubblicazione rileva di aver ricevuto il codice dalla fonte, che ha fornito una copia del file APK di Anom, e intende tutelarne la riservatezza.

bbabo.Net