Google potrebbe “invadere” da remoto tutti gli smartphone e i tablet basati sulle versioni Android più vecchie di Lollipop, anche se l’unica giustificazione per un comportamento del genere sarebbe quella giudiziaria. Secondo un documento stilato dall’ufficio del procuratore distrettuale di Manhattan (New York), infatti, le passcode dei cellulari del robottino verde dotati delle release Android Froyo, Gingerbread, Ice Cream Sandwich, Jelly Bean e Kitkat potrebbero essere aggirate da Big G, in modo da consegnare virtualmente il contenuto dei dispositivi nelle mani delle forze dell’ordine. Secondi gli ultimi dati disponibili sulla diffusione delle varie versioni dell’os, questo significa che circa il 74% dei device potrebbe subire exploit da remoto da parte dello stesso fornitore di software. Situazione all’apparenza paradossale, ma che va analizzata dal lato della legge: un controllo di questo genere consentirebbe agli organi giudiziari di ottenere file e prove schiaccianti a carico di indiziati e sospetti.
Certo, apre anche uno scenario inquietante su cosa potrebbe fare di nascosto un colosso come Google con i dispositivi Android. Ma non solo: l’eco del Datagate e dello scandalo della National Security Agency statunitense è ancora forte e un grimaldello di questo genere nascosto nel sistema operativo potrebbe anche essere sfruttato in modo poco onorevole, portando ad abusi di sorveglianza.
Il “trucco” per rendere smartphone e tablet inaccessibili risiede nella crittografia completa del disco: una funzionalità introdotta da Mountain View soltanto con Lollipop, che non è quindi presente fino alla versione 4.4 del sistema operativo. Va detto che nemmeno tutti i dispositivi con Lollipop sono teoricamente sempre al sicuro, perché molti Oem scelgono di non attivare di default la crittografia completa e lasciano agli utenti la libertà di farlo. È quindi lecito pensare che buona parte dei possessori di device Android basati su questa release non abbia implementato la funzionalità, attivabile nel menu Sicurezza.
Kitkat è l'ultima release di Android a non supportare la full disk encryption
La crittografia completa è stata aggiunta di default soltanto con l’arrivo dell’ultima versione dell’os, vale a dire Marshmallow, rilasciata lo scorso ottobre e diffusa al momento soltanto sullo 0,3% dei dispositivi. Se questo rappresenta un vantaggio innegabile per la privacy e per la sicurezza degli utenti, non lo è per le indagini. La decisione di Google, infatti, significa per le forze dell’ordine “l’impossibilità di accedere a prove di crimini conservate negli smartphone”, ha scritto l’ufficio del procuratore nel report, “anche nei casi in cui i titolari delle indagini dispongono di un mandato emesso da un giudice terzo”.
Il documento realizzato dall’ufficio dell’alto funzionario di New York cita in teoria anche Apple, che ha introdotto la full disk encryption come standard con l’arrivo di iOs 8. Ma il problema in questo caso sarebbe di minore portata, essenzialmente per due motivi: la limitata diffusione di iPhone e iPad rispetto ai dispositivi Android e la ridotta frammentazione delle release dei sistemi operativi mobili della Mela. Attualmente, si calcola che solo il 9% dei device di Cupertino non disponga di crittografia completa, in quanto basato ancora su iOs 7 (l’ultima major release è la iOs 9).
“Apple e Google non sono responsabili della sicurezza del pubblico. Quello è un compito delle forze dell’ordine”, aggiunge il procuratore, Cyrus Vance, Jr. “Ma le conseguenze delle azioni di queste aziende sulla sicurezza pubblica sono rilevanti. Ecco perché il mio ufficio sta lavorando con le forze dell’ordine di tutto il mondo per trovare una soluzione” che bilanci la necessità della privacy con la libertà di indagine.
Android Lollipop supporta la crittografia completa, ma non è detto che sia attivata di default
Il funzionario Usa non ha risparmiato forti bacchettate ai due colossi. “Apple e Google non hanno mai spiegato perché i sistemi precedenti avessero problemi di sicurezza o fossero vulnerabili e perché necessitassero di un cambiamento. È quindi ancora poco chiaro cosa ci sarebbe di insicuro per Apple e Google nel mantenere la possibilità di accedere ai dati dei dispositivi oggetto di indagini”. Contattata da The Next Web, Big G ha replicato di poter bypassare da remoto soltanto il segno di sblocco e non Pin o Password alfanumerici.