In evidenza
Sezioni
Magazine
Annunci
Quotidiani GNN
Comuni
      1. Agordo
      2. Alano di Piave
      3. Alleghe
      4. Alpago
      5. Arsiè
      6. Auronzo di Cadore
      1. Belluno
      2. Borca di Cadore
      3. Borgo Valbelluna
      1. Calalzo di Cadore
      2. Canale d'Agordo
      3. Cencenighe Agordino
      4. Cesiomaggiore
      5. Chies d'Alpago
      6. Cibiana di Cadore
      7. Colle Santa Lucia
      8. Comelico Superiore
      9. Cortina d'Ampezzo
      1. Danta di Cadore
      2. Domegge di Cadore
      1. Falcade
      2. Feltre
      3. Fonzaso
      1. Gosaldo
      1. La Valle Agordina
      2. Lamon
      3. Limana
      4. Livinallongo del Col di Lana
      5. Longarone
      6. Lorenzago di Cadore
      7. Lozzo di Cadore
      1. Ospitale di Cadore
      1. Pedavena
      2. Perarolo di Cadore
      3. Pieve di Cadore
      4. Ponte nelle Alpi
      1. Quero Vas
      1. Rivamonte Agordino
      2. Rocca Pietore
      1. San Gregorio nelle Alpi
      2. San Nicolò di Comelico
      3. San Pietro di Cadore
      4. San Tomaso Agordino
      5. San Vito di Cadore
      6. Santa Giustina
      7. Santo Stefano di Cadore
      8. Sedico
      9. Selva di Cadore
      10. Seren del Grappa
      11. Sospirolo
      12. Soverzene
      13. Sovramonte
      1. Taibon Agordino
      2. Tambre
      1. Val di Zoldo
      2. Vallada Agordina
      3. Valle di Cadore
      4. Vigo di Cadore
      5. Vodo Cadore
      6. Voltago Agordino
      1. Zoppè di Cadore
Sicurezza informatica

C'è un problema nel Green Pass: ecco come lo si può truccare

di Alessandro Longo
C'è un problema nel Green Pass: ecco come lo si può truccare
(ansa)
Aggiungendo una riga di codice è possibile realizzare un’applicazione perfettamente uguale a VerificaC19, quella che serve per controllare la validità dei Qr Code. Ma quella contraffatta permette di sottrarre dati personali o aggirare le misure di sicurezza
Aggiornato 3 minuti di lettura

articolo modificato e aggiornato alle 13.10 dell'1 agosto 2021

Criminali e gestori di attività varie avranno gioco facile ad aggirare gli obblighi del Green Pass o addirittura utilizzarli a proprio vantaggio per fare incetta di dati personali. È possibile tramite una "modifica semplice al codice dell’app ufficiale VerificaC19 (come funziona?): chiunque può farla e poi usare o mettere in giro la versione modificata dell’app. Con l’effetto di poter fare truffe di vario tipo", spiega Pierguido Iezzi, fondatore della società di cybersecurity Swascan. Ha fatto un’analisi tecnica per dimostrare la fattibilità della truffa, possibile per le caratteristiche del Qr Code del Green Pass.

Ricordiamo che questo certificato è un lasciapassare che dal 6 agosto sarà obbligatorio per molte attività, come stare in un ristorante al chiuso, assistere a partite, spettacoli, andare in palestra; già in vigore l’obbligo di Pass per viaggiare in Europa e tornare in Italia senza dover sottostare a tamponi e quarantena.

Il problema è che questo sistema ha una criticità. E bella grossa, "che di sicuro criminali e verificatori (come i ristoratori, ndr) potrebbero affrettarsi a sfruttare. Capita sempre così quando qualcosa digitale di una certa rilevanza ha una falla”, aggiunge Iezzi.

La modifica dell’app
Intervenendo con una nuova riga nel codice dell’app (scaricabile pubblicamente da tutti), Swascan ha potuto creare un’app perfettamente uguale a quella ufficiale, ma con differenze importanti. L’azienda ha fornito un’immagine prova della modifica: l’app ha accettato il Pass di un fantomatico cittadino Topo Lino.

I rischi
L’app modificata può accettare qualsiasi Green Pass, anche fasullo: "In questo modo il gestore di una palestra o di un ristorante che ha scaricato la app fasulla (volontariamente o meno) può facilmente scampare ai controlli e risultare in regola con gli obblighi normativi, in realtà accettando Pass truccati”, spiega Iezzi. Inutile sottolineare i problemi che ne nascono per la salute pubblica e per chi (dotato di Pass leciti) frequenterebbe quel luogo ignaro della truffa in atto: "Si potrà creare un mercato clandestino di Pass illeciti e relative app che li accettano". C’è già un mercato di Pass tarocchi, in effetti. E, considerate le manifestazioni contro il Green Pass, con migliaia di persone in piazza, è facile immaginare i profitti di chi si dedicherà a questa truffa. L’altro rischio è il furto di dati personali. Chi usa l’app modificata può fare incetta di tutti quelli presenti nel Qr Code del Pass.

I dati nascosti all’interno del Qr Code sono i seguenti:

  • Data di nascita
  • Cognome
  • Codice Fiscale
  • Nome
  • ID Certificato
  • Paese di vaccinazione
  • Numero dosi effettuate
  • Data di vaccinazione
  • Emittente certificato
  • Azienda produttrice vaccino
  • Product ID vaccino
  • Numero totali di dosi (da effettuare)
  • Vaccino o Profilassi
  • JSON Schema Version
  • Emittente QR-Code
  • Scadenza QR-Code
  • Data Rilascio QR-Code

Dati utilizzabili per varie truffe, come succede normalmente con attacchi cyber mirati a rubare quelli degli utenti. A usare i dati potrebbero essere gli stessi gestori delle attività, ma non solo; anche i cyber criminali che potrebbero mettere in giro la versione modificata dell’app mirando a farla circolare al posto di quella autentica. È una tecnica truffaldina già in voga sugli store digitali di Google e Apple, con versioni alternative di app ufficiali e dotate di malware o finalizzate appunto a rubare dati personali.

Alcuni esperti, intervenuti nel dibattito aperto da Swascan, notano che “i criminali non hanno bisogno di modificare il codice originale per creare un'app che svolga attività fraudolente, gli basta clonare l'aspetto dell'originale e poi inserire ciò che preferiscono nel codice dell'app malevola - dice Luigi Gubello - È un po' come il phishing, non ho bisogno del codice sorgente di Facebook per farlo, mi basta clonare l'aspetto del sito e diffondere il mio sito malevolo”.

Ci sarebbero insomma altri modi per truccare le carte del Green Pass, in questo caso per rubare i dati degli utenti: “Ai gestori non serve utilizzare app contraffatte, basta fingere di aver scansionato il codice”, aggiunge Gubello. Tuttavia, a un controllo delle autorità la mancata verifica si noterebbe subito, mentre una verifica truccata con un’app modificata si nasconde meglio e se scaricata da uno store ufficale è presentabile anche alle autorità in piena buona fede.

Come risolvere
“Per evitare il problema sarebbe bastato crittografare il Qr Code, ma le autorità hanno preferito puntare più sulla semplicità per diffondere il Green Pass, mettendo in secondo piano i rischi - spiega Iezzi - ma i prerequisiti a livello Europeo, che richiedevano la possibilità di controllare i Pass anche non collegati online e la necessità di realizzare i software di lettura con codice libero e aperto, hanno comportato un abbassamento livello di riservatezza dei dati a vantaggio della usabilità degli stessi".

Come peraltro osservato, su Twitter, sia da Stefano Zanero (del Politecnico di Milano) sia dello stesso Gubello: “Ci sono due requisiti dell'app VerificaC19, che dev'essere open source e funzionare anche offline, previa archiviazione in locale delle chiavi pubbliche per controllare la firma del Qr Code - spiega Gubello - Se il Qr Code fosse cifrato, l'applicazione per leggerlo necessiterebbe di poterlo decifrare anche offline, e questo implica che l'algoritmo di decifratura deve essere contenuto nel codice sorgente dell'app stessa, che è un codice pubblico, quindi accessibile a chiunque. La cifratura del Qr Code quindi non aggiunge nessuna sicurezza".

La possibilità di truccare tutto il sistema alla base del Green Pass è insomma un rischio accettato da chi l’ha progettato. Non ci sarebbero soluzioni e probabilmente si convivrà con il problema. Resta il fatto che è importante essere al corrente di questo rischio irriducibile, da parte degli utenti e delle autorità. Bisognerà avvisare gli utenti di diffidare delle app VerificaC19 falsificate (dovranno stare attenti a prendere quella ufficiale); le autorità dovranno presidiare gli store digitali per verificare che qualche malintenzionato non se ne approfitti caricando versioni contraffatte, controllare se le attività stanno usando versioni modificate e se i Green Pass sono fasulli, sempre controllandoli con l’app ufficiale.

Leggi anche

© Riproduzione riservata