La ricerca di Vincenzo Iovino sull’app immuni alla più grande conferenza di hacker in Europa. Inoltre, presentate alcune novità.
La vulnerabilità della app immuni e di tutte le app di concact tracing, evidenziata dal ricercatore nocerino, sarà al vaglio di una conferenza internazionale europea di esperti del settore. Si tratta dei replay attack basati sul sistema di “Exposure Notification” di Google & Apple.
In un replay attack, un potenziale criminale informatico potrebbe generare false notifiche di rischio sui telefoni delle vittime, ossia fa credere a costoro di essere state a contatto con soggetti infetti, con conseguente allarme ingiustificato da parte di esse. Tali attacchi possono essere particolarmente insidiosi in periodi elettorali in cui i criminali possono tentare di generare un numero indeterminato di falsi alert sui telefoni dei cittadini allo scopo di costringere un gran numero di persone in quarantena, sopprimendo di fatto il loro diritto al voto.
Più dettagli sui replay attack in generale e sulle loro conseguenze possono essere trovate in questo podcast che Iovino ha realizzato in collaborazione con l’avvocato Fabrizio Gareggia, sindaco di Cannara (PG): LINK QUI.
Iovino ha scoperto con i colleghi Svizzeri S. Vaudenay e M. Vuagnoux, due studiosi di calibro mondiale, delle nuove modalità con cui si possono effettuare i replay attack, in particolare con le cosiddette “macchine del tempo”, ossia manomettendo remotamente la data dei telefoni delle vittime in modo da poter “iniettare” in essi identificativi di utenti infetti con conseguente ricezione delle notifiche di rischio.Il lavoro congiunto del nocerino e degli svizzeri verrà presentato al Chaos Communication Congress la più grande conferenza di hacker in Europa e, probabilmente, la più importante al mondo insieme al DefCon di Los Angeles.
Il Chaos Communication Congress è una conferenza annuale organizzata dal Chaos Computer Club che contiene al suo interno diversi workshop e sessioni di lavoro su questioni tecniche e politiche relative al mondo dell’hacking, della sicurezza informatica, della privacy e libertà digitale online. Ogni anno il congresso richiama decina di migliaia di esperti di sicurezza, hacker e autorità politiche da tutto il mondo e si svolge storicamente in Germania dal lontano 1984.
Quest’anno, a causa della pandemia, l’evento si svolgerà online e sono stati più di 40 mila gli iscritti. In esclusiva assoluta Vincenzo Iovino ci rivela una nuova scoperta. “Oltre ai replay attack classici e con macchina del tempo, – afferma il ricercatore nocerino – abbiamo identificato una nuova classe di attacchi che abbiamo definito Kiss (Keep It Stupid Simple). Il problema è particolarmente grave e riguarda 16 paesi al mondo e due stati americani, ma non possiamo escludere che anche altri paesi ne siano affetti. A causa della recente interoperabilità delle app di contact tracing introdotta dalla Commissione Europea, i problemi su un server di un paese si ripercuotono sui server degli altri paesi europei (ad eccezione della Francia che non ha adottato il sistema di Google&Apple).
In pratica, i problemi che abbiamo scoperto sul server italiano di Immuni possono essere usati da criminali informatici per sabotare anche gli utenti del’app polacca o olandese. Ed infatti i nostri test confermano ciò”. Abbiamo chiesto a Iovino se l’Italia ha reagito in qualche modo. “Ci siamo premurati di informare con una comunicazione ufficiale le autorità italiane ma, ahimè, non ci hanno ancora risposto. – ha evidenziato il ricercatore – Siamo invece già in contatto con le autorità tedesche.
Restiamo a disposizione delle autorità Italiane e di ogni altro paese per risolvere il problema.” È doveroso precisare che gli studi in questione e la loro divulgazione non perseguono finalità illecite. A tal riguardo Iovino ribadisce: “Noi non siamo per delegittimare l’app bensì per migliorarla. Trovare delle vulnerabilità può solo aiutare ad evitare che esse siano sfruttate da cybercriminali per operare danni. I problemi si risolvono prima di tutto trovandoli e non ignorandoli o occultandoli”.
gc
