Immuni, la tecnologia di Apple e Google è sicura?

Mentre l'app per il "contact tracing" italiana, Immuni, dovrebbe essere pronta per l'eventuale rilascio entro la seconda metà di maggio, ancor prima che venga messa in circolazione sorgono alcuni dubbi sulla tenuta, dal punto di vista della Cyber Security e della privacy, della tecnologia di Apple e Google che ne sta alla base.

Le preoccupazioni

Il sistema sviluppato dai due giganti californiani dell'IT ha lo scopo di aiutare le persone a sapere se sono entrate in contatto con qualcuno colpito da coronavirus, ma la Electronic Frontier Foundation (EFF) ha avvertito che, allo stato attuale, non c'è modo di verificare che il dispositivo che invia le informazioni di tracciamento dei contatti sia effettivamente quello che li ha generati.

Questa falla, secondo i ricercatori, potrebbe permettere ai Criminal Hacker di raccogliere i dati via etere e poi ritrasmetterli, minando completamente la validità del sistema.

L'ammonimento dell'EFF (l'organizzazione internazionale no profit di avvocati e legali rivolta alla tutela dei diritti digitali e della libertà di parola nel contesto dell'odierna era digitale) arriva sulla scia di un passo senza precedenti da parte di Apple e Google che hanno fatto squadra, in modo che gli sviluppatori possano costruire applicazioni di contact-tracing che funzionino su entrambe le piattaforme.

Come opera la tecnologia e i suoi rischi

Il piano si basa sull'uso della tecnologia Bluetooth decentralizzata negli smartphone. A qualsiasi utente Android o iOS che abbia optato per questa soluzione viene assegnato un identificatore anonimo che sarà trasmesso via Bluetooth ad altri dispositivi vicini. Si tratta di una tecnica di tracciamento del segnale Bluetooth simile a quella utilizzata a Singapore in un'applicazione di tracciamento dei coronavirus chiamata TraceTogether, lanciata a marzo.

Quando due persone che hanno optato per il tracciamento sono in stretto contatto per un certo periodo di tempo, i loro telefoni si scambieranno i loro identifier beacon anonimi, altrimenti noti come rolling proximity identifier (RPID). Se a uno dei due viene successivamente diagnosticato il coronavirus, la persona infetta può inserire il risultato del test in un'app.

In seguito, la persona infetta può acconsentire a caricare nel cloud gli ultimi 14 giorni dei suoi beacon di trasmissione. Qualsiasi altra persona che si è trovata nelle immediate vicinanze di una persona infetta sarà quindi informata per telefono che è stata esposta a qualcuno che è risultato positivo al test per il coronavirus.

Un problema di massima sicurezza è che attualmente non c'è modo di verificare che il dispositivo che invia un RPID sia effettivamente quello che lo ha generato, quindi un criminale informatico potrebbero raccogliere gli RPID dagli altri e ritrasmetterli come propri.

Immaginate una rete di RPID installata agli angoli delle strade trafficate che ritrasmettano tutti gli RPID che osservano. Questo porterebbe a moltissimi falsi positivi, che potrebbero minare la fiducia del pubblico nelle applicazioni di localizzazione di prossimità, o peggio, nel sistema sanitario pubblico nel suo complesso.

La salvaguardia dei dati

Idealmente gli sviluppatori, dovrebbero anche esercitare massima trasparenza con i loro utenti su quali dati l'applicazione sta raccogliendo e come fermarla se questi lo desiderano.

L'intero sistema si basa sulla fiducia reciproca, se gli utenti non credono che un'app funzioni nel loro interesse, non la useranno. Quindi gli sviluppatori devono essere il più trasparenti possibile su come funzionano le loro app e su quali rischi sono coinvolti.

Non c'è dubbio che le applicazioni di contact tracing per il COVID-19 siano state realizzate con le migliori intenzioni e in un periodo di tempo veramente breve, ma come la maggior parte delle app che raccolgono la nostra posizione e le informazioni personali degli utenti, hanno il potenziale per essere manipolate.

Anche se la velocità è fondamentale, un processo rapido di introduzione sul mercato potrebbe ridurre l'attenzione sulla sicurezza e la privacy, creando più problemi che soluzioni per gli utenti finali.

È imperativo, prima che queste applicazioni vengano lanciate, che il progetto venga attentamente analizzato dal punto di vista della Cyber Security.

Allo stesso modo, dopo il rilascio, gli sviluppatori devono costantemente testare le applicazioni per verificare la presenza di vulnerabilità e stare in allerta per distribuire le patch necessarie a salvaguardare gli utenti.

Vista la mole enorme di dati che andranno a gestire è molto probabile che saranno da subito in cima alla lista di obiettivi dei Criminal Hacker