Ciao Internet, sono Matteo Flora e oggi parliamo di una scoperta che ha attirato la mia attenzione durante il mio rientro al podcast. Dopo avervi consigliato di installare Immuni come strumento fondamentale nella lotta all'epidemia, molti di voi mi hanno segnalato un problema di privacy nel framework di contact tracing utilizzato da Immuni e da altre app simili. Questo problema è stato individuato dai ricercatori analizzando l'app SwissCovid e lo hanno chiamato "Pollicino", ispirandosi alla fiaba di Hansel e Gretel.
La vulnerabilità riguarda il modo in cui vengono gestiti gli identificativi casuali che dovrebbero garantire la privacy degli utenti. In teoria, per evitare il tracciamento continuo, ogni dispositivo cambia identificativo ogni 15 minuti. Tuttavia, Pollicino sfrutta un difetto in cui, durante il cambio, c'è un breve intervallo di tempo in cui l'indirizzo hardware cambia, ma il software mantiene ancora il vecchio identificativo. Questo permette, tramite un ascolto continuo del Bluetooth, di tracciare gli identificativi successivi e, potenzialmente, la posizione degli utenti.
Fortunatamente, questa vulnerabilità ha un impatto offensivo limitato. Non è possibile utilizzarla per tracciare milioni di persone, poiché richiede un ascolto continuo a breve distanza. Tuttavia, è fondamentale risolvere il problema per evitare qualsiasi disvelamento di informazioni di privacy, anche se il rischio percepito è maggiore del rischio reale.
Una maggiore trasparenza nel codice avrebbe potuto consentire di individuare questa vulnerabilità in anticipo. Purtroppo, il fatto che il sistema sia chiuso non facilita la creazione di un valore condiviso o l'analisi da parte di terze parti. È importante che i responsabili facciano il possibile per risolvere questo problema e per migliorare la fiducia degli utenti verso l'app.
Concludo questo episodio felice di essere tornato dopo una pausa. Vi invito a seguire la live di sabato per scoprire le novità della nuova stagione di Ciao Internet, tra cui la nostra nuova community e gli angel. Trovate tutto su www.matteoflora.com e sui miei canali social. Grazie per avermi ascoltato e ci sentiamo presto!
I contenuti dell'Episodio #755
In questo episodio di Ciao Internet, vi racconto di una vulnerabilità scoperta nel framework di contact tracing sviluppato da Apple e Google, utilizzato anche dall'app Immuni. Analizziamo quanto questa vulnerabilità, denominata "Pollicino", possa realmente compromettere la privacy degli utenti e cosa si può fare per mitigarla. Inoltre, vi aggiorno sulle novità della nuova stagione del podcast.