App Immuni: tra sicurezza per la salute e insicurezza informatica
Articolo pubblicato su "www.isernianews.it" il 27-06-2020
Il Ministero della Salute ha messo a disposizione l’app Immuni, che permette di avvertire gli utenti se nelle loro vicinanze è presente un soggetto a rischio Covid.
Dopo l'avvio vengono mostrate alcune schermate introduttive di spiegazione, procedendo sempre con il tasto "avanti" viene richiesto di selezionare la regione di residenza, poi la provincia e infine di abilitare le ‘notifiche di esposizione Covid-19’. In pratica questa funzione consente di registrare i contatti con altri utenti usando il Bluetooth, così da poter informare l'utente in caso di esposizione. Un tocco sul tasto fa comparire un messaggio pop-up che richiede nuovamente di procedere con l'abilitazione della funzione. A questo punto Immuni richiede il consenso per la notifica, quindi la possibilità per la piattaforma di comunicare con il cittadino senza però metterne in gioco l'identità. In pratica ad ogni telefono viene associato un codice casuale, che cambia più volte ogni ora per tutelare la privacy. Anche in questo caso dopo un tocco sul tasto ‘abilita’ compare un pop-up che richiede nuovamente un tocco sul tasto ‘consenti’.
Come specificano le norme che trattano la sicurezza delle informazioni (per esempio ISO 31000 e ISO/IEC 27005), una App che accede in modo continuo a informazioni come dati di geolocalizzazione, ai dati personali e dati relativi alla salute, può essere considerata a rischio più elevato rispetto alle App che non accedono a dati sensibili. Inoltre, le App che dipendono dalle tecnologie di rete wireless (ad es. Wi-Fi, cellulare, Bluetooth) per la trasmissione dei dati possono anche esse essere ad alto rischio. Gli agenti portatori di minacce possono utilizzare diversi percorsi attraverso l’applicazione per nuocere l’utente. Alcune volte, questi percorsi sono facili da esplorare e da sfruttare; altre volte invece sono estremamente difficili. Allo stesso modo l’impatto causato può non avere conseguenze gravi.
Esistono diversi standard per la modellazione delle vulnerabilità e delle minacce. Nella top ten c’è OWASP che spesso effettua indagini per identificare i Security Risks che interessano una vasta gamma di organizzazioni. Le vulnerabilità più evidenti possono essere:
SIMJacker: grave falla di sicurezza presente nei dispositivi che adoperano per il loro funzionamento delle SIM card, per cui non solo telefoni, ma anche prodotti IoT. Come avviene l’attacco? Semplicemente attraverso un SMS creato ad hoc, inviato da un malintenzionato alla sua vittima la quale, non accorgendosi di nulla (l’SMS non appare!), si ritrova con un telefono che lo spia.
Sniffing BLE Long-Lived: vulnerabilità che sfrutta le trasmissioni Bluetooth. Tale vulnerabilità è presente nel protocollo BT, in particolare nell’implementazione di BLE (Bluetooth Low Energy) scelta per far funzionare l’App Immuni con tanto di indicazione del Garante Europeo. L’attacco permette di spiare la vittima aggirando la protezione impiegata dai device. In questo modo è possibile effettuare il tracking di una persona, raccogliendo dettagli in riferimento alla sua localizzazione e altre informazioni potenzialmente sensibili.
Knob: difetto nello standard Bluetooth, per cui in un sistema non aggiornato un malintenzionato può decifrare le informazioni scambiate dai due dispositivi e accedere ai nostri dati, o ascoltare le nostre conversazioni.
In definitiva, prima di considerare una app ‘sicura’, è necessario occuparsi di queste e altre vulnerabilità riguardanti il codice e una molteplicità di aspetti, tanto più se in campo ci sono dati sensibili, come quelli sulla salute, e diritti, come la privacy.
I-Forensics Team
Meglio tardi che mai: pronta per il download l’app Immuni, ma funziona solo in 4 regioni