Notizie sulla privacy

Sanchar Saathi & Max - Come l'India e la Russia stanno accendendo la sorveglianza per tutti

Solo tre mesi dopo l'introduzione forzata dell'app Max da parte della Russia, l'India sta ora obbligando i produttori di smartphone a fornire tutti i loro telefoni con l'app statale Sanchar Saathi. Sebbene mascherate da "app per la sicurezza", queste installazioni forzate di app possono essere facilmente utilizzate per la sorveglianza di massa.

Tweet about Indian mandate to preinstall Sanchar Saathi on all phones.

Negli ultimi mesi, due dei più grandi Paesi del mondo - India e Russia - hanno ordinato che le app di comunicazione controllate dallo Stato siano preinstallate sugli smartphone venduti in questi Paesi. L'India ha appena emesso un ordine che prevede che l'app Sanchar Saathi sia preinstallata su tutti i nuovi telefoni e resa disponibile su quelli più vecchi tramite un aggiornamento; un'app le cui "funzionalità non possono essere disabilitate o limitate". La Russia ha emesso un ordine simile ad agosto, imponendo che l'app per le comunicazioni Max, di proprietà dello Stato, sia preinstallata su tutti gli smartphone e i tablet venduti nel Paese.

Queste app di comunicazione si propongono come alternative “sovrane” a WhatsApp - ma per la privacy noi di Tuta consigliamo vivamente queste alternative - mentre in realtà le app controllate dallo Stato aprono la porta a una sorveglianza di massa illimitata e trasformano ogni telefono di questi Paesi in piccole macchine di sorveglianza - senza nemmeno richiedere una backdoor per la crittografia.

Turn ON Privacy in one click.

Strumenti di sorveglianza travestiti da “app per la sicurezza”.

App-Berechtigungen der Sanchar Saathi-App. App-Berechtigungen der Sanchar Saathi-App. Permessi dell’app Sanchar Saathi. Schermata: Reddit.

Sanchar Saathi è stata annunciata questa settimana dal governo indiano come un’app che deve essere preinstallata e che non può essere “disattivata o limitata”. Si suppone che l’applicazione aiuti a contrastare il furto e lo smarrimento degli smartphone. Pubblicata per la prima volta nel gennaio 2025, l’applicazione indiana consente agli utenti di controllare l’IMEI del proprio dispositivo, di denunciare lo smarrimento o il furto del telefono e di segnalare i messaggi che ritengono fraudolenti. Secondo fonti ufficiali, l’applicazione ha contribuito a individuare o bloccare più di 4,2 milioni di telefoni smarriti o rubati dal lancio, in un mercato di oltre 1 miliardo di telefoni.

L’International Mobile Equipment Identity (IMEI) è un codice di 15 cifre che identifica in modo univoco un dispositivo mobile e lo autentica su una rete cellulare. Il governo indiano afferma che uno dei motivi del lancio dell’applicazione è la volontà di reprimere gli smartphone con numeri IMEI duplicati o falsificati, in quanto questi rappresenterebbero un “serio pericolo” per la sicurezza informatica.

L’India ha un grande mercato di dispositivi mobili di seconda mano. Sono stati osservati anche casi di rivendita di dispositivi rubati o inseriti nella lista nera”, si legge nel comunicato governativo.

Una storia simile si è verificata tre mesi prima in Russia. Il governo russo ha pubblicato una politica simile con MAX, una nuova applicazione di messaggistica sviluppata dalla società statale VK. A partire dal 1° settembre 2025, tutti gli smartphone e i tablet venduti in Russia dovranno avere MAX preinstallato.

Ma Max non è una semplice app di messaggistica. Simile alla cinese WeChat, dovrebbe diventare una “super-app” che combina chat e messaggistica, pagamenti, identità digitali e accesso ai servizi governativi.

Ma sotto la superficie, gli esperti di sicurezza e privacy sostengono che entrambe le app - Sanchar Saathi e Max - sono progettate per la sorveglianza di massa. Entrambe le app non sono dotate di una forte crittografia Ende-zu-Ende e possono essere facilmente utilizzate per la sorveglianza.

Sanchaar Saathi ha una serie di permessi incredibilmente ampia: L’app indiana può effettuare e gestire telefonate, inviare messaggi di chat, accedere ai registri delle chiamate e dei messaggi e accedere a foto, file e alla fotocamera del telefono.

I difensori della privacy hanno descritto l’app Max come parte della cortina di ferro digitale della Russia: L’obiettivo è quello di sostituire le app di chat criptate straniere con Max, sviluppata e controllata da VKontake, una società con un filo diretto con il Cremlino.

Apple non si adeguerà

La nuova norma indiana obbligherebbe i produttori di smartphone (Apple, Samsung, Xiaomi, Oppo, Vivo e altri) a preinstallare l’app in modo che sia “facilmente visibile e accessibile” agli utenti quando configurano i loro telefoni; le funzionalità dell’app non devono essere disabilitate o limitate. Inoltre, i produttori di telefoni devono “adoperarsi” per installare l’app sui telefoni più vecchi attraverso aggiornamenti del software. Alle aziende è stato chiesto di inviare una relazione di conformità entro 120 giorni.

Mentre gli altri produttori di smartphone non hanno ancora commentato, Apple ha già dichiarato che non rispetterà l’ordine di preinstallare questa app di proprietà dello Stato sugli iPhone.

Come potrebbe funzionare lo spionaggio attraverso queste app governative

Sanchar Saathi e Max sono applicazioni closed source e nessuno può vedere cosa fanno esattamente queste applicazioni, ed è proprio per questo che sono così pericolose.

Ma prima di tutto: Le app crittografate Ende-zu-Ende come Signal e Tuta Mail rimarranno al sicuro perché queste app di proprietà dello Stato non sono in grado di rompere la crittografia. Quindi, se vi trovate in India, passate subito ad alternative private e crittografate, possibilmente dall’Europa, una regione con alcune delle migliori leggi sulla protezione dei dati, in particolare il GDPR.

Tuttavia, la cattiva notizia è che Un’app di questo tipo non ha bisogno di violare la crittografia per imparare molto su di voi. Può essere profondamente integrata nel dispositivo e imparare molto dai metadati. L’app di proprietà dello Stato può ottenere informazioni sull’attività del dispositivo, sulle informazioni di contatto, sui movimenti e sui modelli di comunicazione. Anche senza accedere ai contenuti criptati, può vedere con chi parlate, quando e per quanto tempo; dove vi trovavate in quel momento e quali app utilizzate regolarmente. Questi metadati spesso rivelano tanto quanto il contenuto dei messaggi, perché espongono i vostri social network, le vostre abitudini e la vostra posizione fisica.

Dato che le possibilità di monitoraggio sembrano essere infinite, è ancora più importante iniziare a utilizzare applicazioni di chat ed e-mail sicure e crittografate come Signal e Tuta Mail.

Turn ON Privacy in one click.

Riflessione finale

Il 2025 è un anno difficile per i diritti alla privacy in tutto il mondo. Mentre l’Unione Europea ha finalmente deciso di adottare una versione di Chat Control che non infrange la crittografia Ende-zu-Ende a causa del forte impatto pubblico, la Russia e l’India sembrano seguire la strada della Cina: Più sorveglianza, più controllo. Inserendo le loro app controllate dallo Stato direttamente nei dispositivi che i cittadini usano quotidianamente, creano gli strumenti perfetti per monitorare ogni passo dei loro cittadini.

Per noi di Tuta, questo è molto allarmante: Dobbiamo assicurarci che i nostri dispositivi appartengano a noi, non a Big Tech (come nel caso in cui Google sta cercando di limitare le app che si possono installare e Apple continua a non permettere di installare le app di propria scelta) e non al governo che vuole imporre app di sorveglianza di proprietà dello Stato sui telefoni degli utenti.

Insieme dobbiamo continuare a lottare per il nostro diritto alla privacy!

Illustration of a phone with Tuta logo on its screen, next to the phone is an enlarged shield with a check mark in it symbolizing the high level of security due to Tuta's encryption.