La presunta vulnerabilità di Immuni è un non-problema

Giuseppe Tripodi Little thumb, ossia la "falla" che coinvolge il sistema di notifica delle esposizioni di Apple e Google, non è nulla per cui preoccuparsi.

Nelle ultime ore è rimbalzata molto online la notizia di una possibile vulnerabilità di sicurezza relativa al sistema di notifica delle esposizioni di Apple e Google, ossia il framework su cui si basa Immuni e la maggior parte delle app europee per la prevenzione del coronavirus.

Con un video decisamente accattivante, due famosi ricercatori di sicurezza (Martin Vuagnoux e Serge Vaudenay) hanno spiegato come funziona Little Thumb (Pollicino), ossia il nome di questa possibile vulnerabilità.

Immuni e tutte le app per le notifiche di esposizione si basano sul continuo invio (e ricezione) via Bluetooth di un codice alfanumerico chiamato Rolling Proximity Identifier (RPI): quando vi trovate vicino ad altre persone, il vostro smartphone registra continuamente l’RPI di chi vista intorno.

L’RPI è un codice pensato per essere anonimo, che proprio per questo viene rinnovato ogni 15 minuti: in questo modo, ogni quarto d’ora c’è un nuovo codice che non può essere associato al precedente, né allo smartphone che li ha generati.

C’è però un piccolo problema: in tutte le trasmissioni Bluetooth viene inviato anche identificativo univoco chiamato Bluetooth Device Address (BD_ADDR) che identifica fisicamente il componente Bluetooth (in maniera simile al MAC address per le comunicazioni WiFi). Anche in questo caso, il Bluetooth Address viene rinnovato ogni 15 minuti.

I due codici in questione (RPI e BDR_ADDR) dovrebbero cambiare contemporaneamente, ma in alcuni casi su Android può capitare che il rinnovo non sia sincronizzato.

In questo caso, è possibile che lo smartphone trasmetta un pacchetto che contiene un nuovo indirizzo Bluetooth ma un vecchio RFI: così, se il rinnovo dei codici continua ad essere sfasato, teoricamente è possibile tracciare l’elenco dei Rolling Proximity Identifier appartenuti alla stessa persona, seguendo di volta in volta queste “tracce” in cui uno dei due codici non è stato rinnovato (come Pollicino che segue i sassolini per ritrovare la strada).

I due ricercatori hanno testato il problema su diverse app che utilizzano il framework di Apple e Google (SwissCovid, Immuni, Corona-Warn, StoppCorona) rilevando che tutte sono potenzialmente vulnerabili

Ora, al netto che questo genere di possibili vulnerabilità non fa mai piacere, in questo caso si tratta davvero di un non-problema: Google stessa, il 21 luglio, aveva pubblicato un documento in cui illustrava questa possibilità, spiegando però che i rischi in termini di privacy sono davvero minimi (praticamente inesistenti, aggiungiamo noi).

D’altra parte, perché un malintenzionato possa tracciare un elenco di tutti i Proximity ID di qualcuno, è necessario che si verifichi questo continuamente questo “sfasamento” nel rinnovo di RPI e Bluetooth Address (succede solo su alcuni device Android), ma soprattutto è necessario che il potenziale attaccante segua fisicamente e continuamente la vittima, a non più di un metro e mezzo di distanza. Una situazione piuttosto improbabile, insomma.

Per questo motivo, noi continuiamo a suggerire di installare Immuni: Little Thumb non è assolutamente nulla da temere.

  • Alan

    Grazie per la spiegazione, molto utile, e condivido che non posso immaginare un realistico scenario di attacco che potrebbe nascere da questa “vulnerabilità”. Se sistemano, meglio.

    Il vero problema é che a giorno d’oggi la gente vede “il diavolo” dietro una soluzione che veramente potrebbe aiutare molto, non si fida, ha paura di essere tracciato.

    non capirmi male, é giusto non fidarsi a occhi chiusi, ognuno che si informa fa bene. Purtroppo strisciano troppe notizie false o non spiegate bene, questo vostro articolo invece trovo scritto molto bene ed realistico.

    la stessa gente che non si fida di immuni utilizza la app facebook, giochi da sorgenti sospetti, app free, tutti con tutti i permission del mondo attivi (gps location, accesso al telefono e ai contatti etc..)

    li si dovrebbero farsi due pensieri e non sui app contro la pandemia 🙈

  • Thomas Lucchetti

    Il problema di Immuni è la facilità con cui segnala falsi positivi e molti non possono stare a casa in quarantena preventiva sennò non mangiano la sera. Capisco che la cosa possa essere di scarsa importanza per chi può mettersi in malattia, diverso è per una partita iva. È l’affidabilità dell’app nella sua funzione base a renderla poco usata, non la paura per la privacy.

    • Raffaele Castagno

      Non esistono “falsi positivi”, perché non è lo scopo dell’app dire positivo o negativo. Forse non ti è chiaro lo scopo ed il funzionamento dell’app…