Cerca nel sito

Social

Seguici su FacebookSeguici su InstagramSeguici su Twitter

È veramente sicura l'app Immuni?
Considerazioni sulla sicurezza di Immuni

VK LOGO

È veramente sicura l'app di Stato Immuni?

 

Da lunedì 15 giugno sarà possibile utilizzare la controversa app Immuni per il tracciamento dei contatti per l’emergenza CovId-19 su tutto il territorio nazionale.

L’annuncio è stato accompagnato da “Scaricate l’app Immuni e siate sereni”.

A prescindere dal fatto che oggigiorno è prassi comune che proposte di Governi di sinistra vengano osteggiate da forze di opposizione di destra e viceversa, talvolta anche senza una minima valutazione dei contenuti, vi sentite veramente sereni con Immuni?

La politica lasciamola ai politici, perché qui vorrei fare delle riflessioni che esulano da ogni discorso ideologico, fornendo anche delle fonti che mi hanno aiutato nell'analisi, dove potete approfondire l’argomento in maniera più esaustiva dal punto di vista tecnico e giuridico.

Il Garante ci assicura che l’app Immuni è “quasi” sicura per i nostri dati, ma dovranno essere soddisfatti 12 punti per renderla perfettamente in linea con la normativa sulla Privacy.

 

Immuni è osteggiata da più parti proprio per problemi legati alla privacy, ma secondo me è un pretesto, perché nell’era digitale i nostri dati sono ovunque.

Quante persone che installano un’app sullo smartphone oppure si iscrivono ad un servizio online leggono la politica per la Privacy? Penso quasi nessuno, perché puntualmente accettiamo ad occhi chiusi quello che ci viene proposto.

Vi è mai capitato di ricevere un messaggio da Google del tipo “L’altro giorno eri all’ipermercato …, com’era?“, “Sei stato al ristorante … , rispondi a qualche domanda per aiutare gli altri a decidere?”, ecc. Certamente si. Questo non riguarda la nostra sfera privata?

Di esempi se ne potrebbero fare a iosa.

Invece l’aspetto dell’app Immuni che maggiormente preoccupa molti esperti del settore non è la privacy fine a se stessa, ma la “sicurezza”.

La sicurezza non è legata solamente ad Immuni, ma anche al sistema che ospiterà l’app di Stato, perché tanto più sicuro sarà lo smartphone tanto più sicura sarà Immuni e meno rischi correranno i nostri dati.

La realtà però fa a cazzotti con il concetto di sicurezza, perché circolano ancora tanti smartphone obsoleti con sistemi operativi che non vengono più aggiornati, quindi totalmente esposti a rischi di sicurezza, oppure smartphone che gli utilizzatori non si preoccupano di aggiornare costantemente, considerando che la maggior parte degli aggiornamenti servono proprio per riparare le falle sulla sicurezza.

 

Già basterebbe questa realtà per esporre l’app Immuni ad eventuali attacchi hacker, ma non basta, perché esistono anche degli aspetti che riguardano la sicurezza propria di Immuni.

Quando parlo di hacker non mi riferisco al singolo soggetto o ad un gruppo di soggetti che si divertono a sfondare i sistemi di sicurezza informatici, ma a vere e proprie organizzazioni criminali con volumi di affari milionari dedite alla violazione di grossi sistemi informativi, professionisti dell'hackeraggio che lavorano 24 ore al giorno dotati delle più sofisticate apparecchiature. Molte di queste organizzazioni sono anche supportate da governi come Cina, Corea del Nord, Iran solo per citarne alcuni.

Le applicazioni per gli smartphone sono diventate il bersaglio preferito di questi cybercriminali e mi riferisco ad app blasonate come Camscanner con oltre 100 mln di download, Telegram, Zoom, per non parlare della blasonatissima WhatsApp con oltre 5 miliardi di download che per la sicurezza investe ingenti somme.

Se gli hacker facevano scrivere a Whatsapp cose che non hai scritto non sarà un’impresa per i criminali informatici generare false segnalazioni con l’app Immuni.

Se ciò dovesse accadere chi sarà responsabile?

L’utente hackerato potrebbe essere responsabile penalmente?

Immuni è un’app di Stato e non un’app commerciale per le quali vige un Codice dei Consumatori, però gli aspetti giuridici le lascio agli esperti.

 

Per l’utilizzo di Immuni è stato adottato un modello decentralizzato, cioè tutte le informazioni dei tracciamenti restano memorizzate sul dispositivo e non vengono inviate continuamente al server, ottima scelta, perché limita l’esposizione dell'utente ad attacchi esterni.

Per il tracciamento è stata scelta la tecnologia Bluetooth Low Energy (BLE) che è un modello di tracciamento meno invasivo, però già di per se ha diverse criticità.

Sono diverse le vulnerabilità che affliggono il Bluetooth, proprio la tecnologia utilizzata dall’app Immuni, come per esempio Sniffing BLE Long-Lived in grado di effettuare il tracking di una persona aggirando la protezione impiegata dal dispositivo oppure Knob capace di accedere ai nostri dati decifrando le informazioni scambiate fra due dispositivi o ascoltare le nostre conversazioni, inoltre le informazioni scambiate tra due dispositivi con BLE possono essere viste anche da altre app installate sul dispositivo.

Oltre alle vulnerabilità esistono anche altri problemi legati alla teconologia utilizzata, perché il BLE risente dei materiali e di altri elementi che possono interferire con il segnale, pertanto si potrebbero avere casi di mancato rilevamento di potenziali contagi o viceversa.

L’app Immuni diventerà una sorta di Passaporto Sanitario e quando sarà stata installata e utilizzata a pieno regime da milioni di utenti sarà allora che milioni di dati sanitari potrebbero far gola a industrie farmaceutiche, gruppi assicurativi, istituti bancari, ecc. che potrebbero acquistarli dai cybercriminali.

 

Lo Stato come protegge il Cittadino che installa l’app di Stato Immuni?

Quante volte lo Stato ha messo a disposizione dei Cittadini applicazioni già con falle evidenti? Chi utilizza i software dell’Agenzia delle Entrate ne sa qualcosa.

Vi fidate di utilizzare l’app “consigliata” dalla Presidenza del Consiglio dei Ministri che non rende sicure nemmeno la connessione al proprio sito?

immuni app della discordia 010

 

Vi fidate di utilizzare l’app “consigliata” da uno Stato che non garantisce sicurezza nella trasmissione dei dati personali sul sito del Ministero della Salute?

 immuni app della discordia 013

 

Lascio a voi le giuste considerazioni, ma i rischi per la privacy sono il male minore di Immuni.

Per eventuali approfondimenti vi cito le principali fonti:

CyberSecurity360: Immuni, l’app di stato tra bug e falle ancora aperte: quali rischi per i diritti di tutti

Agenda Digitale: Immuni e Garante Privacy, i 12 problemi da risolvere per un’app a norma

 Autore: Pasquale Romano  Linkedin

grazie visita

Ads