App “Immuni” a rischio hacker: informatici salernitani simulano attacco

L'allarme: con una spesa minima, si può mandare una comunità in quarantena

Si chiamano Biagio Pepe e Vincenzo Iovino le menti che – tutelati dall’avv. Mario Ianulardo – portano avanti simulazioni di attacchi hacker all’app Immuni, il software lanciato dal Governo per tracciare i positivi al covid-19. Con una spesa davvero minima – in base a quanto affermano i tre – si potrebbero mandare in quarantena numerose persone. Ecco l’articolo di Salvatore De Napoli per La Città di Salerno.

Anche la risposta del ministero per l’Innovazione non è bastata ai due ricercatori e un avvocato nocerini che hanno provato la vulnerabilità della App “Immuni”, a loro avviso facilmente attaccabile da hacker. Con una spesa irrisoria, infatti, si potrebbe far finire in quarantena perfino un’intera comunità a causa di un falso contatto con un positivo al Covid 19. Per il ministero un «ipotetico attacco, chiamato nel gergo tecnico “relay”, è possibile in via teorica ma nella pratica è ritenuto particolarmente complicato da attuare in quanto necessiterebbe dell’installazione sul territorio di numerose antenne fisiche ad alta potenza, facilmente individuabili». Sulla stessa linea si è detta anche Google che per tali attacchi su larga scala parla di alti costi e di una preparazione tecnica. Anche il Garante sulla privacy li ha ritenuti attuabili ma altamente improbabili. Ma tre nocerini, il ricercatore informatico dell’Università di Salerno, Vincenzo Iovino e il tecnico informatico Biagio Pepe, coadiuvati giuridicamente dall’avvocato Mario Ianulardo, specializzato in Diritto penale dell’Informatica, hanno realizzato un esperimento che sembra contraddire con grande facilità le rassicurazioni ministeriali, di Google e del Garante.

Mezzi utilizzati per l’esperimento sono un pc di buona qualità, un telefono cellulare di media fascia e un circuito costruito da Biagio Pepe. Con questi mezzi la ricerca si è conclusa con la notifica di un falso contatto con una persona positiva alla Covid 19. «L’attacco “relay” (o replay) non è possibile solo in via teorica ma è stato testato con successo da noi e da diversi ricercatori – sottolinea Iovino – . Un attacco è possibile con attrezzature del costo di circa 10-20 euro, di dimensioni molto ridotte e con trasmettitori non ad alta potenza ». E Pepe aggiunge: «La tecnologia impiegata non ha fatto ricorso ad un’antenna ad alta potenza. Viceversa, è stato impiegato un chip, programmabile, dotato di un proprio sistema operativo multiprotocollo avente antenne integrate e operante nella gamma del Ble (Bluetooth low energy)».

Secondo il ministero, «a rendere (l’attacco) ancora più complesso è poi il fatto che andrebbe condotto entro una finestra temporale ristretta e limitata. Se tale eventuale attacco dovesse mai avvenire, sarebbe rilevato dal sistema di notifiche e dalle segnalazioni degli utenti, consentendo un intervento locale». Iovino replica: «Google afferma che essa è di due ore, e quindi non può considerarsi affatto ristretta. Si pensi che l’attacco si può effettuare a mezzo di due periferiche collegate tra loro via Internet e che per inviare ogni Rpi da una periferica all’altra sono necessari solo pochi millisecondi che potrebbero diventare, nel caso di grandi ritardi sulla linea, pochi secondi». Il ministero aggiunge: «Se tale eventuale attacco dovesse mai avvenire, sarebbe rilevato dal sistema di notifiche e dalle segnalazioni degli utenti, consentendo un intervento locale». Ma Iovino risponde: «Non ci risulta che il sistema di notifiche rilevi notifiche false, infatti, i ricercatori che hanno effettuato con successo i test dei replay attack sostengono di non aver mai ricevuto alcuna segnalazione di “rischio fake”. Ad oggi, non risulta che Google abbia implementato qualsiasi protezione per prevenire eventuali attacchi informatici».

«Con molta franchezza – afferma l’avvocato Ianulardo – , che l’unica cosa certa, fra tutte, è il risultato della ricerca scientifica al quale si è pervenuti: vale a dire, la possibilità, non certo remota, di realizzare replay attack. Questo è un dato scientifico, incontrovertibile sul quale non credo sia opportuno, né tantomeno giusto in un momento di grave emergenza, indugiare». Il legale aggiunge: «Quel che mi lascia perplesso è che gli “addetti ai lavori” avrebbero dovuto, sin da subito, provvedere ad apportare le misure di sicurezza necessarie a scongiurare eventuali attacchi informatici. Invece, le risposte di natura tecnica fornite dal Ministero lasciano intravedere che non si è ancora ben inquadrata la metodica replay attack e, quel che più preoccupa, è che non ci si è attivati ancora per correre ai ripari». Finora il gruppo di ricercatori non è stato contattato ancora dal ministero per venire a capo della vicenda.

Commenti

Translate »