La vicenda FBI vs. Apple, conclusa con i federali che hanno dichiarato di aver trovato un modo per scardinare la sicurezza di iPhone (per le indagini sugli attacchi di San Bernardino) senza l’aiuto di Apple, non è un caso isolato. Il Bureau ha inoltrato negli ultimi anni decine di richieste ai big del settore tecnologico chiedendo collaborazioni di questo tipo: secondo la American Civil Liberties Union sono state in tutto 63.
Nove di queste sono state indirizzate a Google, quasi tutte per il reset della password di dispositivi prodotti da Alcatel, Kyocera e Samsung. Si tratta in gran parte di smartphone sprovvisti del sistema di crittografia sviluppato dalla mela morsicata e che ha impedito agli investigatori di utilizzare i sistemi solitamente impiegati in ambito forense per l’accesso ai dati.
Il gruppo di Mountain View non ha accesso diretto al software in esecuzione su Android, ma può gestire i metodi impiegati dal servizio Android Device Manager (Gestione Dispositivi Android) per il blocco, la cancellazione o il reset da remoto, tutte operazioni utili in caso di furto o smarrimento dei terminali. Un portavoce di Google, intervenuto sulla questione, sottolinea comunque che in nessun caso all’azienda è stato richiesto di sviluppare un’utility ad hoc per compromettere la sicurezza dei device.
Analizziamo attentamente ingiunzioni e ordinanze dei tribunali per assicurarci che rispettino alla lettera lo spirito della legge. Tuttavia, non abbiamo mai ricevuto un atto come quello di recente respinto da Apple per la richiesta di realizzare nuovi strumenti che attivamente compromettano la sicurezza dei nostri prodotti. Come dimostrato, ci opporremmo fermamente ad un ordine simile.
American Civil Liberties Union sottolinea che la possibilità di effettuare il reset della password da remoto può essere sfruttata dagli enti governativi nel corso delle indagini. La procedura consiste solitamente nel chiedere a Google di effettuare l’operazione una prima volta, fornendo poi alle forze dell’ordine il nuovo codice segreto. In un secondo momento viene effettuato un backup di tutto quanto contenuto nel dispositivo, così da poterlo analizzare. Infine, bigG cambia nuovamente la password, per evitare che il dispositivo possa essere di nuovo “violato” in seguito al termine dell’indagine.