2.909 CONDIVISIONI
3 Agosto 2021
14:10

L’app che controlla i Green Pass è sicura? L’esperto: “Per la privacy non c’era soluzione migliore”

Tra qualche giorno il Green Pass diventerà fondamentale per accedere a bar, ristoranti ed eventi. Per controllarlo, gli esercenti dovranno utilizzare l’applicazione VerificaC19 con la quale scansionare, appunto, i QR code della certificazione verde. Per comprenderne il funzionamento e la sicurezza abbiamo parlato con Riccardo Meggiato, esperto in cyber-security e digital forensics.
A cura di Marco Paretti
2.909 CONDIVISIONI

Dal 6 agosto partono le verifiche del Green Pass, la certificazione verde che diventerà fondamentale per accedere a bar, ristoranti ed eventi, ma forse anche, da settembre, a trasporti e persino al luogo di lavoro. Oltre al Green Pass, però, anche l'app che autorità e gestori dovranno utilizzare per verificare la validità delle certificazioni assumerà un'importante centralità. Si chiama VerificaC19 ed è disponibile per tutti su App Store e Play Store, sia per iOS che per Android. Per comprenderne il funzionamento e, soprattutto, capire quanto è sicura l'app abbiamo parlato con Riccardo Meggiato, esperto in cyber-security e digital forensics.

Riccardo hai avuto modo di dare un’occhiata al codice di VerificaC19? Ci spieghi come funziona?

È un controllo che viene fatto innanzitutto nel pieno rispetto della privacy, perché è un processo che non invia i dati dell'utente ma verifica solamente di un'identità associata a una firma digitale. Non ci sono in realtà né un confronto né una trasmissione di dati che possano mettere a repentaglio i dati.

Ora si sta parlando di una possibile falla nella sicurezza, cosa ne pensi? È davvero così semplice come aggiungere una linea di codice?

È stato rilevato questo tipo di problema per quanto riguarda la possibilità di contraffare i Green Pass, ma secondo me è un non problema. Innanzitutto questo meccanismo con il quale si va a clonare questo Green Pass si basa su due coincidenze: la prima è che bisogna installare un'app opportunamente modificata, quindi il modificatore deve installare un'app taroccata, mentre la seconda è che si va a cambiare quella che è la firma digitale. È un non problema perché il verificatore, che può essere per esempio il barista, dovrebbe appositamente installarsi questa app per taroccare un qualcosa che poi cade nel momento in cui un controllore arriva a controverificare quei dati. Io barista quindi dico che sono validi, ma potrei anche fare a meno di fare il controllo perché il problema è quando arriva un verificatore ufficiale mandato dal Ministero che entra nel locale e fa una controverifica. A quel punto l'autorità, che ha l'app originale, frega il barista.

In questo momento l’app mostra al verificatore solamente nome e data di nascita, ma con un’applicazione modificata è davvero possibile accedere ai dati completi dei cittadini?

Questo è assolutamente plausibile, si può fare perché è un'interpretazione di un QR code. Qui torniamo al problema di non mettere sui social il QR code, perché fondamentalmente è lo stesso identico principio. Chiaramente qui il tema è: so il tuo nome e cognome, il tuo codice fiscale, il numero di dosi, ma che me ne faccio? Io personalmente, per quanto possa sforzarmi, non riesco a pensare a molto. Sono per la difesa della privacy, però in questo caso… Stiamo pubblicando tutti le foto delle due dosi sui social, ed è giusto per fare awareness sul tema, ma a questo punto non diventa un problema se te lo leggo dal QR code che hai fatto le due dosi.

Riccardo Meggiato
Riccardo Meggiato

Uno dei requisiti è quello di funzionare anche offline: come funziona l’aggiornamento dei dati, e quindi del QR code, per esempio delle seconde dosi?

Quello che fa l'app è verificare che il dato sia congruo, non ha bisogno di interfacciassi a un server. Verifica che il formato sia valido, quindi quello che guarda è che sia effettivamente un codice congruo, non che sia corrispondente a un database.

Quindi nel QR code che viene inviato per esempio tre giorni dopo la prima dose c'è già scritto che sarà valido dalla data X (14 giorni dopo la prima dose) e il tutto viene confermato da una firma digitale che certifica la validità del QR all'app VerificaC19?

Esattamente, loro guardano che sia congrua la firma con i dati.

Secondo te c'era una soluzione migliore e più sicura per gestire la verifica dei Green Pass?

Secondo me loro hanno fatto una cosa che funziona benissimo, non mi sento di criticarla. Anche dal punto di vista della privacy non c'era soluzione migliore, perché non si collega a nessun tipo di database. È fatta bene.

Insomma, possiamo stare tranquilli

Secondo me sì, in questo caso possiamo stare tranquilli.

2.909 CONDIVISIONI
Come funziona l'app VerificaC19 che controlla i green pass (e stana i falsi comprati su Telegram)
Come funziona l'app VerificaC19 che controlla i green pass (e stana i falsi comprati su Telegram)
Perché non devi pubblicare la foto del Green Pass sui social
Perché non devi pubblicare la foto del Green Pass sui social
Immuni e l'app Io si aggiornano con i green pass: ecco come aggiungere il tuo
Immuni e l'app Io si aggiornano con i green pass: ecco come aggiungere il tuo
Lascia un commento!
Più che un giornale
Il media che racconta il tempo in cui viviamo con occhi moderni