sabato, Settembre 19, 2020

Trovato un Bug che viola la privacy nel Framework COVID-Tracing di Apple e Google

Tutte le APP europee (inclusa IMMUNI) che utilizzano il codice sono a rischio e possono essere attaccate per "tracciare continuamente" gli utenti, questo conferma lo stato di incertezza di molti utenti sulla affidabilità dell’ APP e le paure e i dubbi sul tracciamento di prossimità. Lo avevamo già annunciato in un nostro precedente articolo del 19 Giugno 2020 di Benito Mirra

Di Benito Mirra Chief Information Security Officer

Lo scorso aprile  Apple e Google hanno collaborato per rendere disponibile una più ampia piattaforma di “contact-tracing” basata su Bluetooth LE, integrando questa funzionalità nei sistemi operativi. La soluzione utilizza automaticamente gli smartphone delle persone per tenere sotto controllo la loro vicinanza ad altri telefoni e avvisa gli utenti se qualcuno a cui erano vicini ha una diagnosi confermata. Tuttavia, è stato scoperto un exploit nel progetto “closed-source” che potrebbe alimentare i timori che i telefoni Apple e Google  monitorano automaticamente la vicinanza di una persona ad altri su base costante.

Serge Vaudenay e Martin Vuagnoux hanno pubblicato questa settimana un video su Vimeo (tramite Hackaday: https://vimeo.com/453948863 ) che dimostra l’exploit nell’ APP di tracciamento svizzero SwissCovid, la quale si basa proprio sul codice fornito dal framework Apple / Google.

L’attacco, denominato “Little Thumb”, prende il nome dalla classica storia francese simile a Hansel e Gretel nella quale i protagonisti segnano il percorso con dei sassolini bianchi, e così, seguendo la scia, riescono a ritrovare la strada di casa. Questo perché i creatori del video hanno scoperto che il sistema basato su Bluetooth LE lascia quelli che chiamano piccoli “sassolini” di dati, che possono essere utilizzati per tracciare i movimenti di qualcuno e poterlo cosi potenzialmente identificare..

In sostanza, hanno scoperto che l’indirizzo numerico di Bluetooth LE e l’ID di prossimità mobile del framework non si aggiornano necessariamente contemporaneamente (mio articolo del 19 giugno), lasciando piccole finestre in cui l’indirizzo Bluetooth corrisponde al vecchio ID, un sassolino da tracciare. In questo modo, pare,  sono stati in grado di intercettare i messaggi fino a 50 metri utilizzando un’ “antenna economica e di base”.

Questa è un’acquisizione Bluetooth passiva e reale dello  SwissCovid. Un “malintenzionato” è in grado di correlare il precedente e il nuovo “BR_ADDR” e “RPI” grazie al messaggio con il “sassolino” al centro “, come si evince nel video. “In questo modo il “malintenzionato” può rintracciare continuamente l’utente dell’APP SwissCovid.

Scoperto per la prima volta il problema nell’APP svizzera SwissCovid (l’attacco ha funzionato su cinque degli otto telefoni compatibili testati), hanno confermato così che l’exploit funziona sulle altre APP create utilizzando il framework Apple / Google: CORONA-Warn in Germania, IMMUNI in Italia e STOPP-CORONA in Austria.

L’app SwissCovid è difatto open source, ma il framework GAEN (Google Apple Exposure Notification) e molte altre APP di questo tipo sono “closed-source”, cioè  non c’è modo per gli sviluppatori di correggerlo. Il video rileva che sebbene Apple e Google abbiano rilasciato uno “snippet” di codice incompleto per il framework, non si tratta di un progetto veramente open source, il che significa che la comunità non può controllare il codice e affrontare potenziali problemi come questi.

Alcuni sviluppatori stanno provando ad  utilizzare la blockchain per proteggere le APP di tracciamento. Sono state create APP su scala ridotta per cercare di aiutare gli utenti, come CORONA-Tracker, e i legislatori della California hanno proposto un sistema di tracciamento basato su blockchain in tutto lo Stato (cosi’ come suggerito nel mio  articolo del 19 giugno). Tuttavia, sia la Electronic Frontier Foundation (EFF) che l’American Civil Liberties Union (ACLU) si sono pronunciate contro un sistema basato su blockchain, citando non meglio specificati potenziali problemi.

Per concludere,  il COVID-Tracing è un problema che non sarà risolto così facilmente. O forse non sarà mai risolto.

Lo avevamo già annunciato in un nostro precedente articolo del 19
Giugno 2020 di Benito Mirra

- Advertisement -
- Advertisement -
- Advertisement -

More Articles Like This

- Advertisement -