L'app di verifica dei Green Pass sarebbe facilmente falsificabile
VerificaC19, con una lieve modifica, non solo potrebbe accettare Green Pass fasulli, ma anche sottrarre i dati degli utenti.Si chiama "VerificaC19" ed è l'app ufficiale del governo italiano per la verifica della validità e dell’autenticità delle Certificazioni verdi COVID-19. Il problema è che, in base a quanto dimostrato da Pierguido Iezzi, fondatore della società di cybersecurity Swascan, basta aggiungere una riga di codice all'app (i sorgenti sono open-source) per realizzarne una apparentemente identica, ma in grado non solo di sottrarre dati personali (quelli contenuti nel QR code del Green Pass, ci torneremo su a breve), ma anche di accettare Green Pass fasulli, come quello di un fantomatico Topo Lino, in base alla dimostrazione di Swascan.
Questo apre le porte ulteriormente al già fiorente mercato nero dei Green Pass, permettendo ad un ipotetico gestore di un locale di risultare in regola con gli obblighi normativi, accettando però anche Green Pass non validi, esponendo anche così al rischio gli ignari cittadini onesti, convinti di essere in un locale "sicuro". Oppure potrebbe facilmente esserci chi mette in circolazione versioni fasulle dell'app, che magari finiranno utilizzate anche da dei gestori che non l'abbiano scaricata dagli store ufficiali.
Nello specifico, i dati contenuti all'interno del QR Code che potrebbero quindi essere intercettati sono:
- Data di nascita
- Cognome
- Codice Fiscale
- Nome
- ID Certificato
- Paese di vaccinazione
- Numero dosi effettuate
- Data di vaccinazione
- Emittente certificato
- Azienda produttrice vaccino
- Product ID vaccino
- Numero totali di dosi (da effettuare)
- Malattie a cui si è soggetti
- Vaccino o Profilassi
- JSON Schema Version
- Emittente QR-Code
- Scadenza QR-Code
- Data Rilascio QR-Code
La soluzione al problema tra l'altro non sembra semplice: crittografare il codice QR, come proposto da Lezzi, probabilmente non sarebbe bastato, perché l'app è pensata per funzionare anche offline, quindi avrebbe dovuto contenere anche l'ipotetico algoritmo di decifratura. Controlli e onestà individuale sono sempre le armi migliori, ma, ammettendo la legittimità delle affermazioni di Lezzi, speriamo comunque che una soluzione possa essere trovata.