755. Ma hanno davvero "bucato" Immuni?

Recentemente, è emersa una vulnerabilità nel framework di contact tracing sviluppato congiuntamente da Google e Apple, che compromette la privacy degli utenti. Questa vulnerabilità, scoperta da due ricercatori analizzando l'app svizzera SwissCovid, è stata denominata "Pollicino", in riferimento alla capacità di tracciare gli utenti come se si seguissero le briciole di pane lasciate lungo il percorso.

Il problema principale risiede nel modo in cui gli identificativi univoci dei dispositivi, necessari per il funzionamento delle app di tracciamento, vengono gestiti. Ogni dispositivo dovrebbe cambiare il proprio identificativo ogni 15 minuti per garantire l'anonimato degli utenti. Tuttavia, è stato scoperto che c'è un breve intervallo in cui l'indirizzo hardware (BDAddress) cambia, mentre l'identificativo software (proximity ID) rimane invariato. Questa discrepanza temporale permette a un attaccante di tracciare un dispositivo ascoltando continuamente i segnali Bluetooth, collegando gli identificativi vecchi e nuovi.

Nonostante la gravità del problema, l'impatto pratico è limitato, poiché richiede che l'attaccante si trovi a breve distanza dal dispositivo bersaglio e sia in grado di monitorare continuamente il segnale. Inoltre, sebbene il problema possa essere risolto con un aggiornamento che sincronizzi meglio il cambio degli identificativi, la scoperta evidenzia la necessità di maggiore trasparenza e collaborazione nella sicurezza delle app di tracciamento. Un approccio più aperto avrebbe probabilmente permesso di individuare e correggere la vulnerabilità prima del suo sfruttamento.

In conclusione, mentre la vulnerabilità rappresenta un colpo alla reputazione delle app di tracciamento, come Immuni, il rischio effettivo per gli utenti rimane basso. Tuttavia, è cruciale che le aziende coinvolte prendano provvedimenti per risolvere il problema e migliorare la fiducia del pubblico in questi strumenti essenziali nella lotta contro le epidemie.