Sono state scoperte una serie di gravi violazioni della sicurezza nell’app di tracciamento dei contatti che il servizio sanitario nazionale sta attualmente testando per fermare la diffusione di Covid-19. Un team di ricercatori esperti in sicurezza ha scoperto diversi problemi che possono influire sulla privacy dell'utente e persino sabotare l'applicazione stessa. L’app è attualmente in fase di sperimentazione sull’Isola di Wight prima del potenziale lancio a livello nazionale ed è stata pubblicizzata dal governo britannico come un’arma chiave per aiutare a fermare l’epidemia.
NHS coronavirus app
Il team dietro il rapporto comprendeva il ricercatore e relatore indipendente Dr Chris Culnane e Vanessa Teague, CEO di Thinking Cybersecurity. Tra i "vari" problemi scoperti dai due, ci sono diversi punti deboli nel processo di registrazione che potrebbero consentire agli aggressori di rubare le chiavi di crittografia. Ciò potrebbe consentire agli intrusi di impedire che gli utenti vengano avvisati se uno dei loro contatti risultasse positivo al Covid-19 o addirittura di inviare avvisi falsi. È stato anche scoperto che l'app memorizza dati non crittografati sui telefoni che possono essere utilizzati dalla polizia per determinare quando due o più persone si incontrano. Il team ha inoltre scoperto che l’app generava un nuovo codice ID casuale per gli utenti una volta al giorno, a differenza di un’app rivale sviluppata da Apple e Google che generava un nuovo codice ogni 15 minuti per una maggiore sicurezza. L'app Apple e Google sembra funzionare su dispositivi Android e iOS che utilizzano segnali Bluetooth a bassa potenza per creare una mappa delle persone con cui un utente è stato in contatto. Teague e Culnane raccomandano che il servizio sanitario nazionale passi dall'approccio "centralizzato" che utilizza attualmente, in cui i dati vengono condivisi e i contatti vengono tracciati su un sistema server centrale, a un approccio "decentralizzato", in cui avviene la corrispondenza tra i dispositivi degli utenti. "Possono sempre esserci bug e buchi di sicurezza nei modelli decentralizzati o centralizzati", ha affermato Teague. "Ma la grande differenza è che una soluzione decentralizzata non avrebbe un server centrale con i recenti contatti faccia a faccia di ogni persona infetta." "Pertanto, esiste un rischio molto inferiore che questo database venga divulgato o utilizzato in modo improprio."
Allarme
Il team ha affermato di aver condiviso i risultati con il National Cyber Security Center (NCSC), che a sua volta ha dichiarato alla BBC di essere già a conoscenza della maggior parte dei problemi sollevati e di essere in procinto di cercare di risolverli. sperava che misure come la pubblicazione del codice e la spiegazione delle decisioni alla base dell'applicazione potessero generare discussioni costruttive con la comunità della sicurezza e della privacy", ha detto in una nota un portavoce dell'NCSC. . "Non vediamo l'ora di continuare a lavorare con i ricercatori di sicurezza e crittografia per rendere l'app la migliore possibile." "Questa app non sarebbe mai stata perfetta fin dall'inizio, ma è piacevole sapere che il governo sta ascoltando ricerche indipendenti e accettando suggerimenti con revisioni future", ha affermato Jake Moore, specialista di sicurezza informatica presso ESET. "Come per molte app, la prima versione è raramente utile, ma è disponibile sui telefoni degli utenti, dove possono facilmente implementare nuove versioni. "Una volta che la maggior parte delle persone avrà l'app, le loro intenzioni avranno chiaramente effetti migliori. Tuttavia, il problema più grande è l’evidente mancanza di una legislazione che protegga questi dati. Non sapere se e come i dati potranno essere utilizzati per loro. Il futuro, o anche se verranno cancellati, è importante per gli utenti. È fondamentale che la privacy del pubblico abbia a cuore. Altrimenti il pubblico può restituirti alla app prima che avesse il tempo di essere distribuita al giusto numero di persone e di produrre qualche effetto." Tramite BBC