Il caso Paragon: analisi degli attacchi con spyware in Italia secondo il report di Citizen Lab - Socialmedialife.it
Il recente rapporto del gruppo di ricerca Citizen Lab ha rivelato dettagli preoccupanti riguardo all’uso di spyware nel nostro Paese. In particolare, uno dei capitoli più significativi del documento si concentra su analisi forensi condotte su smartphone di rilevanti figure italiane. Questa situazione solleva interrogativi cruciali sull’integrità dei dispositivi mobili e sulla sicurezza dei dati personali.
Il report di Citizen Lab rappresenta un contributo significativo nella comprensione del panorama degli attacchi informatici. Esso dedica un ampio capitolo all’analisi di tre dispositivi specifici: il cellulare di Francesco Cancellato, direttore di Fanpage.it, e quelli di Luca Casarini e Giuseppe Caccia, entrambi fondatori di Mediterranea Saving Humans. Le indagini condotte hanno cercato di tracciare la presenza di spyware all’interno di questi smartphone, utilizzando sofisticate tecniche di analisi forense.
I ricercatori, attraverso le loro investigation, hanno potuto confermare che tutti e tre i dispositivi analizzati presentavano segni di possibili attacchi. In particolare, Citizen Lab ha fatto riferimento a una notifica di WhatsApp ricevuta a fine gennaio 2025, in cui Meta avvisava gli utenti della possibilità che i loro account fossero stati compromessi da spyware. Questo messaggio ha gettato ulteriore luce sulla gravità della situazione, facendo emergere la seria possibilità di infezione.
Un aspetto chiave delle analisi forensi è stato l’uso dello strumento BIGPRETZEL, sviluppato per identificare la presenza dello spyware Graphite all’interno di dispositivi Android. Questo software ha fornito dati significativi, permettendo di risalire all’attività dell spyware Paragon sui dispositivi esaminati. Le informazioni ricavate da BIGPRETZEL sono state ulteriormente corroborate da WhatsApp, che ha confermato come tali indicatori possano essere riconducibili all’attività di Paragon.
Nelle indagini, è emerso che, sul dispositivo di Giuseppe Caccia, sono state rinvenute sette tracce di infezione, registrate tra il 22 dicembre 2024 e il 31 gennaio 2025. Al contrario, il dispositivo di Luca Casarini ha mostrato un’unica traccia il 23 dicembre 2024. Questi risultati hanno permesso ai ricercatori di esplorare la durata dell’infezione e il potenziale impatto sugli utenti coinvolti.
Un aspetto interessante emerso dal report riguarda il cellulare di Francesco Cancellato. Nonostante non siano state trovate tracce di spyware su questo dispositivo al momento dell’analisi, gli esperti avvertono che ciò non implica necessariamente che non ci sia stato un accesso indesiderato. Le spiegazioni fornite dai ricercatori suggeriscono che gli accessi potrebbero non essere stati registrati o che le tracce siano state sovrascritte da altri dati. Questo pone interrogativi aperti sullo stato di sicurezza del dispositivo e sulla necessità di ulteriori indagini.
Le future analisi forensi vorrebbero determinare se vi siano state infezioni precedenti o se le tracce siano state cancellate durante il periodo di osservazione. La situazione di Cancellato sottolinea la complessità del problema spyware e l’importanza di monitorare costantemente i dispositivi per garantire la loro sicurezza.
Il report non si limita ai tre dispositivi principali, ma include anche il caso di David Yambio, collaboratore di Casarini e Caccia. A differenza dei precedenti, il suo dispositivo è un iPhone e ha ricevuto un avviso da Apple il 13 novembre, informandolo di un’infezione da spyware. In questo caso, le analisi hanno effettivamente segnalato attività sospette legate a spyware, ma i risultati non hanno evidenziato collegamenti diretti con nessun tipo specifico di spyware, inclusi Graphite o Pegasus, noti per la loro diffusione nel mercato.
I ricercatori di Citizen Lab continuano a lavorare per chiarire eventuali legami tra i diversi casi e per approfondire le dinamiche osservate nei singoli incidenti. Questi sviluppi mettono in evidenza quanto sia cruciale garantire la sicurezza delle comunicazioni e dei dispositivi utilizzati da attivisti e giornalisti, che spesso operano in contesti di grande vulnerabilità.