Non sappiamo ancora se la pandemia causata dal virus Covid 19 sia un problema che, almeno in Italia, ci stiamo lasciando alle spalle, o se magari tornerà a influenzare le nostre vite nel prossimo futuro. Fatto sta che non bisogna abbassare la guardia e continuare la lotta per contenere possibili nuovi focolai epidemici.
Una delle misure messe in campo è l’app Immuni, recentemente rilasciata e definita come uno “strumento in più contro l’epidemia”, creato per aiutarci a combattere il Covid-19. L’app per motivi di privacy utilizza la tecnologia Bluetooth (Bluetooth Low Energy) e ha la finalità di avvertire gli utenti che hanno avuto un’esposizione al virus, anche se sono asintomatici.
Immuni intercetta attraverso il Bluetooth i dispositivi aperti con il medesimo protocollo e, se il tempo di prossimità e la distanza sono adeguati, traccia il contatto.
APP Immuni: Rischi relativi alla cyber-security e alla salvaguardia della privacy
Non mancano naturalmente, come per qualsiasi dispositivo tecnologico in rete, i pericoli derivanti da un’intrusione nel sistema con conseguente sottrazione di dati personali. Per utilizzare l’app, infatti il Bluetooth del cellulare deve essere sempre acceso, soprattutto in luoghi di potenziale assembramento come mezzi di trasporto, centri commerciali e strade affollate. E per consentire la tracciabilità dell’APP, dispositivi sconosciuti e app casuali potranno tracciare gli smartphone e tentare di mettersi in comunicazione all’insaputa dell’utente e al di fuori del suo controllo in quanto il Bluetooth sarà sempre acceso, attivo e rintracciabile. Ecco quindi dove sorge il potenziale pericolo collegato all’utilizzo dell’app.
Gli attacchi informatici a cui è soggetta APP Immuni
È proprio quindi grazie alle sue caratteristiche di utilizzo che derivano i possibili rischi di pirateria informatica, il Bluetooth sempre abilitato, il raggio d’azione del dispositivo abilitato Bluetooth entro i 10 metri, la possibilità che l’attacco possa avvenire per qualsiasi sistema operativo mobile.
In particolare, è oggetto di attenzione la possibilità di tracciabilità dei dispositivi, di compromissione dei dati personali, di intercettazione del traffico delle applicazioni e di falsi rapporti sulla salute. Il GPS infatti può fornire informazioni sensibili, rivelando gli spostamenti e le posizioni degli utenti nei giorni o nelle settimane precedenti; la tecnologia Bluetooth Low Energy (BLE), inoltre, può essere utilizzata per tracciare il dispositivo di una persona; e soprattutto, proprio per salvaguardare l’anonimato di un utente, nessun identificativo personale (come numero di cellulare, nome, ID ecc.) dovrebbe essere associato con l’applicazione in alcun momento.
Le criticità del dispositivo contact tracing
Ci troviamo quindi in una situazione in cui i dispositivi trasmettono pacchetti handshake che facilitano l’identificazione del contatto attraverso altri dispositivi. Se non implementato correttamente, gli hacker possono tracciare il dispositivo di una persona mettendo in correlazione i dispositivi con i rispettivi pacchetti di identificazione.
Di conseguenza i dati personali possono essere compromessi. Le app infatti memorizzano sui dispositivi i login dei contatti, le chiavi di cifratura e altri dati sensibili. I dati sensibili dovrebbero essere criptati e memorizzati nell’applicazione sandbox e non in luoghi condivisi. Perfino all’interno di sandbox, ottenendo i privilegi root o l’accesso fisico al dispositivo, si potrebbero compromettere i dati, soprattutto se vi sono memorizzate informazioni sensibili, come le posizioni GPS.
Gli utenti quindi possono essere soggetti ad attacchi man-in-the-middle e all’intercettazione del traffico dell’app se tutte le comunicazioni salvate sul server dell’applicazione non sono adeguatamente criptate.
Oltre alla perdita dei dati non trascurabile è il rischio di una circolazione di falsi rapporti sanitari. I ricercatori affermano quanto sia importante che le applicazioni di contact tracing eseguano l’autenticazione nel momento in cui le informazioni vengono inviate ai propri server, come quando un utente pubblica le proprie diagnosi e i registri dei contatti. Senza un’adeguata autorizzazione, infatti, si potrebbero riempire i server con falsi rapporti sanitari, compromettendo l’affidabilità dell’intero sistema.
Usare l’APP Immuni in sicurezza
Per difendersi da questi rischi è importante, innanzitutto, scaricare app solo dagli store ufficiali. Installare le applicazioni di tracciamento solo dagli app store ufficiali, in quanto risultano i soli ad essere autorizzati dalle agenzie governative a pubblicare tali applicazioni, facendo attenzione anche ai link per scaricare l’app che ci arrivano da altri canali, come messaggi o e-mail.
L’aggiornamento del sistema operativo installato sullo smartphone aiuta a mitigare gli attacchi che possono essere eseguiti. Bisogna adottare le migliori pratiche per la sicurezza mobile, come introdurre password complesse e diverse per ogni tipo di accesso, introdurre un PIN per lo sblocco del telefono, utilizzare applicazioni di crittografia dei dati che vengono salvati sul device.
Importante anche utilizzare soluzioni per la sicurezza mobile. Scaricare e installare una soluzione di sicurezza mobile per la scansione delle applicazioni, al fine di proteggere i dispositivi contro malware e verificare che non siano stati compromessi.
È importante, inoltre, applicare politiche di gestione delle patch e se non abbiamo ancora patchato il nostro dispositivo, è consigliabile disattivare il Bluetooth e utilizzarlo solo quando è strettamente necessario.
CNS: L’impegno per il tracciamento
CNS offre una serie di soluzioni nel campo del monitoraggio e del tracciamento. Riguardo il Covid-19, il Consorzio Nazionale Sicurezza ha ideato un sistema completo per misure anticontagio. Diversi dispositivi di controllo e prevenzione fra cui sistemi di analisi video (per conteggio persone e dotati di visori termici per la temperatura corporea. Ma anche sistemi di sanificazione automatizzata, pannelli anticontatto.
Fra i suoi prodotti spicca anche vRONDA: un innovativo sistema di supporto e monitoraggio creato per le attività di ronda, ma di perfetto supporto durante questa crisi sanitaria. vRONDA unisce le tecnologie 4G e Bluetooth/RFID/NFC per implementare comunicazione audio/video e localizzazione indoor. L’app permette di tracciale lo spostamento di individui all’interno di un ambiente in maniera semplice e non invasiva. Le informazioni possono essere memorizzate in maniera anonima su server. Una soluzione valida per tenere sotto controllo i flussi e attuare metodi di tracciamento sicuri in luoghi come stazioni, treni, banche e così via.