Sembra che ad averla sviluppata sia stata eSurv, società calabrese già salita sulla ribalta per Exodus, un software di intercettazione ambientale utilizzato da molte procure italiane per le indagini giudiziarie il quale però ha intercettato illegalmente ignari cittadini fino alla rimozione dello store di Google, due anni dopo.
Anche questa versione specifica per Apple, si presenta come un’applicazione di servizi per la telefonia in grado però di raccogliere dati sensibili come posizione, registro delle telefonate piuttosto che foto e video del dispositivo che la ospita, inviati poi ad un server remoto.
La differenza fra i due sistemi operativi sta nel fatto che per Android l’app malevola è più invasiva riuscendo a compromettere anche la posta elettronica, carpire password ed effettuare download di ulteriori componenti e, soprattutto, che si trovava liberamente sul play store di Google.
Il cofondatore del Centro Hermes per la trasparenza e i diritti umani digitali, Fabio Pietrosanti, ha spiegato come invece nel caso di Apple gli sviluppatori “Hanno sfruttato i certificati che Apple rilascia a chi vuole sviluppare delle applicazioni da diffondere a livello aziendale”.
Operazione estremamente semplice dato che per entrarne in possesso è sufficiente compilare un modulo in cui si dichiara che l’applicazione verrà utilizzata esclusivamente per la propria società e versare una quota di 299 dollari. Entrati in possesso del certificato che ha permesso di sviluppare l’applicazione, non potendola distribuire nell’Apple Store, eSurv ha sfruttato falsi siti creati ad hoc per diffonderla in Italia e in Turkmenistan sotto le mentite spoglie di operatori telefonici.
Lo scorso febbraio è emerso come questa stessa strada venne percorsa per distribuire applicazioni per il gioco d’azzardo e pornografia, vietate sullo store della mela. Dopo tale scoperta la stessa Apple dichiarò che avrebbe intensificato i controlli, cosa che però non sembra essere stata attuata e, come suggerito da Pietrosanti “Sia Apple che Google dovrebbero richiedere controlli e validazioni estese per tutte le applicazioni, online o offline rispetto ai loro negozi digitali, che acquisiscono dati in maniera invasiva”.