Se speravate di assistere ai Mondiali di calcio in Qatar il mese prossimo, potreste rivedere i vostri piani una volta scoperto ciò che il Paese vi chiederà. Per entrare nel Paese, i viaggiatori devono scaricare due applicazioni. Entrambe funzionano come spyware e concedono alle autorità del Qatar permessi che gli esperti di sicurezza ritengono discutibili. Il Qatar è un piccolo Paese situato nella penisola araba, nell’Asia occidentale. Ospita la Coppa del Mondo FIFA di quest’anno, in programma dal 20 novembre al 18 dicembre. È la prima volta che la Coppa del Mondo viene ospitata da una nazione araba e solo la seconda che si svolge interamente in Asia. Si prevede che nei prossimi due mesi migliaia di appassionati di calcio si riverseranno nella regione per assistere dal vivo alla Coppa del Mondo. Tuttavia, il Paese ha sollevato serie preoccupazioni da parte dei ricercatori di sicurezza informatica “richiedendo” ai visitatori di scaricare applicazioni che danno ai funzionari diritti prepotenti sui dati contenuti nei loro telefoni. Øyvind Vasaasen, responsabile della sicurezza di NRK, afferma che per lui si tratta di una rottura. “Non è mio compito dare consigli di viaggio, ma personalmente non porterei mai il mio cellulare in visita in Qatar”, ha dichiarato Vasaasen. Le applicazioni in questione si chiamano “Ehteraz” e “Hayya”. Vasaasen e altri ricercatori, tra cui Bruce Schneier, le hanno equiparate a spyware. Ehteraz è un’applicazione di tracciamento covid-19 disponibile per iOS e Android. Il software è preoccupante perché chiede autorizzazioni che vanno ben oltre la norma. Non sorprende che voglia tracciare la posizione precisa degli utenti attraverso il Wi-Fi e il Bluetooth, il che sembra in qualche modo ragionevole. Dopotutto, si tratta di un’applicazione per il tracciamento dei covi. Tuttavia, dopo aver condotto un’analisi approfondita del software, Vasaasen ha scoperto che Ehteraz voleva molto di più delle capacità di tracciamento. L’app può anche “leggere, cancellare o modificare tutti i contenuti” del telefono dell’utente. Può ignorare qualsiasi altro software installato e impedire che il telefono entri in modalità sleep. Ulteriori autorizzazioni includono la possibilità di effettuare chiamate in uscita e di disabilitare la schermata di blocco del dispositivo. Hayya è disponibile anche su Apple App Store e Google Play. A prima vista, sembra essere un’applicazione molto più tranquilla, utilizzata principalmente per seguire le partite e accedere alla rete metropolitana gratuita del Qatar. Tuttavia, la richiesta ai visitatori di installare quello che sembra essere un utile software mobile ha fatto scattare l’allarme. Dopo un’ispezione, Vasaasen ha scoperto che Hayya presentava anche alcune condizioni sorprendenti. Ad esempio, ha il permesso di condividere le informazioni dal telefono senza praticamente alcuna restrizione. Inoltre, tiene traccia della posizione dell’utente, può impedire al dispositivo di entrare in modalità sleep e può visualizzare le connessioni di rete dell’utente. Vasaasen afferma che, grazie alle due applicazioni, il governo del Qatar ha il controllo completo dei dati memorizzati su un dispositivo, compresa la possibilità di alterare o cancellare le informazioni.
“Quando si scaricano queste due applicazioni, si accettano i termini del contratto, che sono molto generosi. In sostanza, si consegnano tutte le informazioni contenute nel telefono”, ha detto Vasaasen. “Si concede alle persone che controllano le app la possibilità di leggere e modificare le cose, e di ritoccarle. Hanno anche la possibilità di recuperare informazioni da altre app, se ne hanno la capacità, e noi crediamo che sia così”. Le app sono controllate in primo luogo dall’Istituto di sanità pubblica, che fa parte del Ministero degli Interni e che è sinceramente interessato a prevenire la diffusione del covide nel Paese. Tuttavia, le autorizzazioni richieste vanno ben oltre quanto necessario per farlo. Vasaasen sostiene che, accettando i termini, gli utenti danno alle autorità la “possibilità” di abusare dei diritti loro concessi. È come consegnare loro le chiavi di casa. “State dicendo che per le autorità va benissimo entrare in casa vostra”, spiega il responsabile della sicurezza. “Hanno una chiave e possono entrare. Non si sa cosa facciano lì. Dicono che potrebbero non sfruttare l’occasione, ma voi gliela state dando. E voi non lo fareste mai”. Sebbene Bruce Schneier trovi le app inquietanti e le autorizzazioni ridicole, afferma che non è chiaro come il Qatar possa far rispettare la regola e far scaricare lo spyware a migliaia di visitatori. “Non so quanto sia effettivamente obbligatorio”, ha commentato Schneier nel suo blog. “Conosco persone che hanno visitato l’Arabia Saudita quando quel Paese aveva un requisito di app altrettanto sommario. Alcuni di loro non si sono preoccupati di scaricare le app e non sono mai stati interpellati al confine”.
