Un team di ricercatori nocerini ritengono che l’App Immuni possa essere violata. L’applicazione consente di avvisarci sul telefonino se siamo stati a contatti con persone positive al Covid
“L’app Immuni non è immune”. Lo sostengono dopo alcuni studi e simulazioni due giovani nocerini, Vincenzo Iovino, ricercatore del Dipartimento di Ingegneria elettrica e matematica dell’Università di Salerno e Biagio Pepe, tecnico informatico -elettronico con il supporto dell’avvocato Mario Ianulardo, specializzato in Diritto penale dell’Informatica. Con una spesa di pochi euro hanno fatto le pulci all’applicazione italiana di “contact tracing” adottata dal Governo italiano per tracciare i positivi al Covid-19 e allertare le persone con cui sono state a contatto. Immuni, scaricata sul proprio telefonino, avverte con una notifica che ci si è trovati a stretto contatto con una persona risultata positiva al virus del Covid-19 e lo avverte del potenziale rischio di essere stato contagiato. “Questa tecnologia – spiegano gli ideatori dell’app – non consente di raccogliere dati sull’identità o la posizione dell’utente”.
Il rischio dei falsi allarmi
Per il team nocerino, invece, i rischi sono altri. Malintenzionati potrebbero generare falsi “alert” di contatto con soggetti infetto, ciò avrebbe ripercussioni sull’uso dei dati sanitari ai fini statistici e si assisterebbe a un errato aumento del numero dei “soggetti a rischio contagio” con conseguente, preoccupante, allarme sociale. C’è di più, l’attacco informatico, progettato ed eseguito in periodo di elezioni, potrebbe influire sulla decisione degli elettori di non recarsi al seggio oppure determinare la chiusura precauzionale di scuole, stadi, vasti luoghi di aggregazione sociale.
Ed ancora, il messaggio di“alert” del possibile contagio che appare sul cellulare, potrebbe essere utilizzato per giustificare assenze sul luogo di lavoro. La tecnologia che ha consentito a Iovino e Pepe di “evidenziare la vulnerabilità di Immuni”, si chiama “replay attack”. E l’applicazione italiana non è l’unica a correre questi rischi. “Le possibilità di attacco – ha detto Iovino – sono state testate con successo anche dai ricercatori svizzeri Serge Vaudenay e Martin Vuagnoux sull’App SwissCovid, basata anch’essa sulle stesse tecnologie di AppImmuni, cioè il sistema di exposure notification di Google e Apple”.
“La finalità della diffusione della ricerca portata a termine – ha spiegato l’avvocato Ianulardo – è solo quella di sensibilizzare i soggetti e le autorità competenti a prendere in seria considerazione la concreta possibilità che malintenzionati, grazie all’uso di replay attack, tra l’altro realizzabile con tecnologia a basso costo, generino falsi allarmi di contatto con soggetti infetti”. Per realizzare la simulazione dell’attacco informatico, sottolineano i ricercatori, non si è fatto alcun ricorso all’uso illecito delle tecnologie “ed è doveroso precisare che la simulazione non persegue finalità illecite né, tantomeno, la sua divulgazione dovrà essere considerata come un messaggio di istigazione a delinquere”.
“Così violano Immuni”
“Con molta franchezza – ha precisato Ianulardo – preme evidenziare che un’applicazione, utilizzata in una fase d’emergenza sanitaria pubblica di portata internazionale, dovrebbe risultare del tutto immune da attacchi informatici esterni e ciò proprio a tutela della salute pubblica e dell’interesse individuale. L’utilizzo improprio ed illecito di tali metodologie può portare a conseguenze molto gravi specie nel caso di attacco massivo verso un numero indeterminato di persone”.
“Gli studiosi del fenomeno – ha spiegato Iovino – attraverso articoli postati su canali scientifici e i media hanno, anche di recente, tentato invano di stimolare gli sviluppatori delle App di contact tracing a rivedere e apportare le dovute correzioni al sistema BLE (Bluetooth Low Energy) utilizzato”. Nella ricerca sono stati fatti anche delle simulazioni come un attacco informatico messo a segno tra i viaggiatori in transito in un aeroporto ed altri presenti in uno stadio.
