L’applicazione di messaggistica ToTok ha guadagnato milioni di utenti.

Sarebbe uno strumento di sorveglianza diretto a tracciare ogni movimento di chi la installa sul proprio smartphone: si tratta dell’App ToTok e a svelarlo è un’inchiesta del New York Times. Viene pubblicizzata come un’applicazione di messaggistica sicura per condividere scatti e filmati con i propri amici e familiari. Ma, secondo un’inchiesta del tabloid americano, è in realtà una spia usata dal governo degli Emirati Arabi Uniti per tracciare “ogni conversazione, movimento, relazione, appuntamento, suono e immagine” di coloro che l’hanno installata sul proprio smartphone e il consiglio è di rimuoverla immediatamente. Si chiama ToTok e in poco tempo ha guadagnato milioni di download (almeno 600 mila solo nell’ultimo mese) in Europa, Asia, Africa e negli Stati Uniti, dove nelle ultime settimane è diventata una delle app più scaricate, in accordo ai dati forniti dalla compagnia di analisi App Annie. Ma è soprattutto tra gli emiratensi che ToTok sta spopolando, anche grazie alla sponsorizzazione del governo che, d’altra parte, limita l’utilizzo nel Paese di strumenti come WhatsApp e Signal. Paletti che hanno lasciato il campo aperto alla nuova app, promossa sulle pubblicazioni statali semi-ufficiali e presentata come “il servizio a lungo atteso” dai cittadini degli Emirati Arabi Uniti.

Inoltre, il mese scorso gli utenti di Botim — un servizio di messaggistica degli Emirati a pagamento — hanno ricevuto l’invito a passare a ToTok con un messaggio in cui veniva persino fornito il link per installare l’applicazione. Un particolare che per Eva Galperin, hacker a capo della sicurezza informatica dell’Electronic Frontier Foundation e autrice di molti report sugli strumenti hi-tech sfruttati dai governi per spiare gli attivisti, rappresenta un “nuovo elemento di svolta” nella cybersorveglianza di Stato. “Non ho mai visto qualcosa di equivalente”, commenta Galperin a Repubblica. Anche se, sottolinea la ricercatrice, “ormai da molti anni rileviamo attori statali che rilasciano versioni con backdoor (delle ‘porte di servizio’ che permettono di accedere ai dispositivi, ndr) di applicazioni popolari, incluse Signal e WhatsApp. E non è inusuale neanche il fatto che queste app giochino sulla paura dei cittadini di essere sorvegliati, offrendo a parole un servizio veloce e sicuro”.Come funzionaToTok è stata rimossa da negozi digitali di Google e Apple, che stanno indagando sulla vicenda, ma si trova ancora su quelli di Samsung, Huawei, Xiaomi e Oppo. L’app si presenta come una sorta di clone di un servizio cinese, YeeCall, e Patrick Wardle, ricercatore di sicurezza informatica ed ex dipendente dell’agenzia per la sicurezza nazionale statunitense (Nsa) che l’ha analizzata, è sorpreso dalla sua semplicità. “Quando analizzi uno strumento del genere, ti aspetti di trovare delle backdoor”, dice Wardle. Niente di tutto questo, l’applicazione fa “semplicemente ciò che dice di fare”: traccia costantemente la posizione degli utenti con la scusa di offrire previsioni del tempo accurate; scarica i contatti presenti in rubrica con il pretesto di aiutare a trovare i propri amici; chiede il permesso di accedere alle foto, alla fotocamera e al microfono. Tutte informazioni che, come si legge nei termini di servizio, “potrebbero essere condivise con compagnie affiliate”. “C’è una bellezza in questo approccio — spiega Wardle —. Se puoi fare volontariamente installare questa applicazione, per spiare le persone non hai bisogno di compromettere i loro dispositivi. Caricando contatti, video, chat e posizione, di che altra intelligence hai bisogno?”. Il punto da sottolineare è che ToTok non fa molto di diverso rispetto ad altre app similari. Il problema è capire dove vanno a finire i dati raccolti e chi può avervi acceso. Un problema che in queste ore non riguarda solo ToTok, ma anche TikTok: app cinese diventata un fenomeno mondiale che è sotto scrutinio negli Stati Uniti.