Dendroid, il lato oscuro della sicurezza informatica

Si dichiara colpevole il ventenne sviluppatore del malware: ha venduto codice per insidiare i dispositivi Android dopo aver svolto uno stage presso la security company FireEye
Si dichiara colpevole il ventenne sviluppatore del malware: ha venduto codice per insidiare i dispositivi Android dopo aver svolto uno stage presso la security company FireEye

20 anni, studente presso la Carnegie Mellon University, aveva militato per 4 mesi presso la security company FireEye e nel mese di luglio era stato arrestato dalle autorità statunitensi nel corso dell’operazione di smantellamento del forum Darkode, presso cui cracker e cybercriminali si assiepavano per condividere e commercializzare bug e il codice atto a sfruttarli. Morgan Culbertson si è dichiarato colpevole di aver attentato alla sicurezza di Android contribuendo a sviluppare il malware Dendroid.

Non è dato sapere quanti dispositivi siano stati infettati dal toolkit, ma Dendroid è stato individuato in almeno una app distribuita a mezzo Google Play Store: capace di monitorare conversazioni a mezzo messaggi di testo, registrare chiamate e scattare foto, Dendroid è frutto di un anno di sviluppo portato avanti da tre persone ed era venduto da Culbertson per 350 dollari, 65mila per il codice sorgente.

Ora, presso un tribunale di Pittsburgh, il giovane stagista della security company ha ammesso tutte le proprie responsabilità, ha riconosciuto i propri errori e ha promesso che nel futuro si impegnerà per sfruttare tutte le proprie capacità per proteggere gli utenti. Nel mese di dicembre verrà giudicato per le proprie malefatte: rischia fino a 10 anni di carcere e una sanzione di 250mila dollari.

Sul proprio curriculum Culbertson vantava l’esperienza presso FireEye, durante la quale si era adoperato nel “migliorare l’individuazione del malware per Android scoprendo nuove famiglie di software malevolo”: l’azienda ha già comunicato che il giovane non sarà più ammesso a collaborare. Il lato oscuro della ricerca nell’ambito della sicurezza informatica, sottolinea l’esperto Graham Cluley, rappresenta un’attrattiva per molti: le security company non possono permettersi di accogliere dipendenti che si lascino tentare dalle lusinghe del doppio gioco.

Gaia Bottà

Link copiato negli appunti

Ti potrebbe interessare

01 09 2015
Link copiato negli appunti