In evidenza
Sezioni
Magazine
Annunci
Quotidiani GNN
Comuni
      1. Aiello del Friuli
      2. Amaro
      3. Ampezzo
      4. Andreis
      5. Aquileia
      6. Arba
      7. Arta Terme
      8. Artegna
      9. Arzene
      10. Attimis
      11. Aviano
      12. Azzano Decimo
      1. Bagnaria d'Arsa
      2. Barcis
      3. Basiliano
      4. Bertiolo
      5. Bicinicco
      6. Bordano
      7. Brugnera
      8. Budoia
      9. Buia
      10. Buttrio
      1. Camino al Tagliamento
      2. Campoformido
      3. Campolongo al Torre
      4. Caneva
      5. Carlino
      6. Casarsa della Delizia
      7. Cassacco
      8. Castelnovo del Friuli
      9. Castions di Strada
      10. Cavasso Nuovo
      11. Cavazzo Carnico
      12. Cercivento
      13. Cervignano del Friuli
      14. Chions
      15. Chiopris-Viscone
      16. Chiusaforte
      17. Cimolais
      18. Cividale del Friuli
      19. Claut
      20. Clauzetto
      21. Codroipo
      22. Colloredo di Monte Albano
      23. Comeglians
      24. Cordenons
      25. Cordovado
      26. Corno di Rosazzo
      27. Coseano
      1. Dignano
      2. Dogna
      3. Drenchia
      4. Enemonzo
      5. Erto e Casso
      1. Faedis
      2. Fagagna
      3. Fanna
      4. Fiume Veneto
      5. Fiumicello
      6. Flaibano
      7. Fontanafredda
      8. Forgaria nel Friuli
      9. Forni Avoltri
      10. Forni di Sopra
      11. Forni di Sotto
      12. Frisanco
      1. Gemona del Friuli
      2. Gonars
      3. Grimacco
      1. Latisana
      2. Lauco
      3. Lestizza
      4. Lignano Sabbiadoro
      5. Ligosullo
      6. Lusevera
      1. Magnano in Riviera
      2. Majano
      3. Malborghetto Valbruna
      4. Maniago
      5. Manzano
      6. Marano Lagunare
      7. Martignacco
      8. Meduno
      9. Mereto di Tomba
      10. Moggio Udinese
      11. Moimacco
      12. Montenars
      13. Montereale Valcellina
      14. Morsano al Tagliamento
      15. Mortegliano
      16. Moruzzo
      17. Muzzana del Turgnano
      1. Nimis
      1. Osoppo
      2. Ovaro
      1. Pagnacco
      2. Palazzolo dello Stella
      3. Palmanova
      4. Paluzza
      5. Pasian di Prato
      6. Pasiano di Pordenone
      7. Paularo
      8. Pavia di Udine
      9. Pinzano al Tagliamento
      10. Pocenia
      11. Polcenigo
      12. Pontebba
      13. Porcia
      14. Pordenone
      15. Porpetto
      16. Povoletto
      17. Pozzuolo del Friuli
      18. Pradamano
      19. Prata di Pordenone
      20. Prato Carnico
      21. Pravisdomini
      22. Precenicco
      23. Premariacco
      24. Preone
      25. Prepotto
      26. Pulfero
      1. Ragogna
      2. Ravascletto
      3. Raveo
      4. Reana del Rojale
      5. Remanzacco
      6. Resia
      7. Resiutta
      8. Rigolato
      9. Rive d'Arcano
      10. Rivignano
      11. Ronchis
      12. Roveredo in Piano
      13. Ruda
      1. Sacile
      2. San Daniele del Friuli
      3. San Giorgio della Richinvelda
      4. San Giorgio di Nogaro
      5. San Giovanni al Natisone
      6. San Leonardo
      7. San Martino al Tagliamento
      8. San Pietro al Natisone
      9. San Quirino
      10. San Vito al Tagliamento
      11. San Vito al Torre
      12. San Vito di Fagagna
      13. Santa Maria La Longa
      14. Sauris
      15. Savogna
      16. Sedegliano
      17. Sequals
      18. Sesto al Reghena
      19. Socchieve
      20. Spilimbergo
      21. Stregna
      22. Sutrio
      1. Taipana
      2. Talmassons
      3. Tapogliano
      4. Tarcento
      5. Tarvisio
      6. Tavagnacco
      7. Teor
      8. Terzo d'Aquileia
      9. Tolmezzo
      10. Torreano
      11. Torviscosa
      12. Tramonti di Sopra
      13. Tramonti di Sotto
      14. Trasaghis
      15. Travesio
      16. Treppo Carnico
      17. Treppo Grande
      18. Tricesimo
      19. Trivignano Udinese
      1. Udine
      1. Vajont
      2. Valvasone
      3. Varmo
      4. Venzone
      5. Verzegnis
      6. Villa Santina
      7. Villa Vicentina
      8. Visco
      9. Vito d'Asio
      10. Vivaro
      1. Zoppola
      2. Zuglio
Sicurezza informatica

C'è un problema nel Green Pass: ecco come lo si può truccare

C'è un problema nel Green Pass: ecco come lo si può truccare
(ansa)
Aggiungendo una riga di codice è possibile realizzare un’applicazione perfettamente uguale a VerificaC19, quella che serve per controllare la validità dei Qr Code. Ma quella contraffatta permette di sottrarre dati personali o aggirare le misure di sicurezza
3 minuti di lettura

articolo modificato e aggiornato alle 13.10 dell'1 agosto 2021

Criminali e gestori di attività varie avranno gioco facile ad aggirare gli obblighi del Green Pass o addirittura utilizzarli a proprio vantaggio per fare incetta di dati personali. È possibile tramite una "modifica semplice al codice dell’app ufficiale VerificaC19 (come funziona?): chiunque può farla e poi usare o mettere in giro la versione modificata dell’app. Con l’effetto di poter fare truffe di vario tipo", spiega Pierguido Iezzi, fondatore della società di cybersecurity Swascan. Ha fatto un’analisi tecnica per dimostrare la fattibilità della truffa, possibile per le caratteristiche del Qr Code del Green Pass.

Ricordiamo che questo certificato è un lasciapassare che dal 6 agosto sarà obbligatorio per molte attività, come stare in un ristorante al chiuso, assistere a partite, spettacoli, andare in palestra; già in vigore l’obbligo di Pass per viaggiare in Europa e tornare in Italia senza dover sottostare a tamponi e quarantena.

Il problema è che questo sistema ha una criticità. E bella grossa, "che di sicuro criminali e verificatori (come i ristoratori, ndr) potrebbero affrettarsi a sfruttare. Capita sempre così quando qualcosa digitale di una certa rilevanza ha una falla”, aggiunge Iezzi.

La modifica dell’app
Intervenendo con una nuova riga nel codice dell’app (scaricabile pubblicamente da tutti), Swascan ha potuto creare un’app perfettamente uguale a quella ufficiale, ma con differenze importanti. L’azienda ha fornito un’immagine prova della modifica: l’app ha accettato il Pass di un fantomatico cittadino Topo Lino.

I rischi
L’app modificata può accettare qualsiasi Green Pass, anche fasullo: "In questo modo il gestore di una palestra o di un ristorante che ha scaricato la app fasulla (volontariamente o meno) può facilmente scampare ai controlli e risultare in regola con gli obblighi normativi, in realtà accettando Pass truccati”, spiega Iezzi. Inutile sottolineare i problemi che ne nascono per la salute pubblica e per chi (dotato di Pass leciti) frequenterebbe quel luogo ignaro della truffa in atto: "Si potrà creare un mercato clandestino di Pass illeciti e relative app che li accettano". C’è già un mercato di Pass tarocchi, in effetti. E, considerate le manifestazioni contro il Green Pass, con migliaia di persone in piazza, è facile immaginare i profitti di chi si dedicherà a questa truffa. L’altro rischio è il furto di dati personali. Chi usa l’app modificata può fare incetta di tutti quelli presenti nel Qr Code del Pass.

I dati nascosti all’interno del Qr Code sono i seguenti:

  • Data di nascita
  • Cognome
  • Codice Fiscale
  • Nome
  • ID Certificato
  • Paese di vaccinazione
  • Numero dosi effettuate
  • Data di vaccinazione
  • Emittente certificato
  • Azienda produttrice vaccino
  • Product ID vaccino
  • Numero totali di dosi (da effettuare)
  • Vaccino o Profilassi
  • JSON Schema Version
  • Emittente QR-Code
  • Scadenza QR-Code
  • Data Rilascio QR-Code

Dati utilizzabili per varie truffe, come succede normalmente con attacchi cyber mirati a rubare quelli degli utenti. A usare i dati potrebbero essere gli stessi gestori delle attività, ma non solo; anche i cyber criminali che potrebbero mettere in giro la versione modificata dell’app mirando a farla circolare al posto di quella autentica. È una tecnica truffaldina già in voga sugli store digitali di Google e Apple, con versioni alternative di app ufficiali e dotate di malware o finalizzate appunto a rubare dati personali.

Alcuni esperti, intervenuti nel dibattito aperto da Swascan, notano che “i criminali non hanno bisogno di modificare il codice originale per creare un'app che svolga attività fraudolente, gli basta clonare l'aspetto dell'originale e poi inserire ciò che preferiscono nel codice dell'app malevola - dice Luigi Gubello - È un po' come il phishing, non ho bisogno del codice sorgente di Facebook per farlo, mi basta clonare l'aspetto del sito e diffondere il mio sito malevolo”.

Ci sarebbero insomma altri modi per truccare le carte del Green Pass, in questo caso per rubare i dati degli utenti: “Ai gestori non serve utilizzare app contraffatte, basta fingere di aver scansionato il codice”, aggiunge Gubello. Tuttavia, a un controllo delle autorità la mancata verifica si noterebbe subito, mentre una verifica truccata con un’app modificata si nasconde meglio e se scaricata da uno store ufficale è presentabile anche alle autorità in piena buona fede.

Come risolvere
“Per evitare il problema sarebbe bastato crittografare il Qr Code, ma le autorità hanno preferito puntare più sulla semplicità per diffondere il Green Pass, mettendo in secondo piano i rischi - spiega Iezzi - ma i prerequisiti a livello Europeo, che richiedevano la possibilità di controllare i Pass anche non collegati online e la necessità di realizzare i software di lettura con codice libero e aperto, hanno comportato un abbassamento livello di riservatezza dei dati a vantaggio della usabilità degli stessi".

Come peraltro osservato, su Twitter, sia da Stefano Zanero (del Politecnico di Milano) sia dello stesso Gubello: “Ci sono due requisiti dell'app VerificaC19, che dev'essere open source e funzionare anche offline, previa archiviazione in locale delle chiavi pubbliche per controllare la firma del Qr Code - spiega Gubello - Se il Qr Code fosse cifrato, l'applicazione per leggerlo necessiterebbe di poterlo decifrare anche offline, e questo implica che l'algoritmo di decifratura deve essere contenuto nel codice sorgente dell'app stessa, che è un codice pubblico, quindi accessibile a chiunque. La cifratura del Qr Code quindi non aggiunge nessuna sicurezza".

La possibilità di truccare tutto il sistema alla base del Green Pass è insomma un rischio accettato da chi l’ha progettato. Non ci sarebbero soluzioni e probabilmente si convivrà con il problema. Resta il fatto che è importante essere al corrente di questo rischio irriducibile, da parte degli utenti e delle autorità. Bisognerà avvisare gli utenti di diffidare delle app VerificaC19 falsificate (dovranno stare attenti a prendere quella ufficiale); le autorità dovranno presidiare gli store digitali per verificare che qualche malintenzionato non se ne approfitti caricando versioni contraffatte, controllare se le attività stanno usando versioni modificate e se i Green Pass sono fasulli, sempre controllandoli con l’app ufficiale.