La presunta vulnerabilità di Immuni è un non-problema

Nelle ultime ore è rimbalzata molto online la notizia di una possibile vulnerabilità di sicurezza relativa al sistema di notifica delle esposizioni di Apple e Google, ossia il framework su cui si basa Immuni e la maggior parte delle app europee per la prevenzione del coronavirus.

Con un video decisamente accattivante, due famosi ricercatori di sicurezza (Martin Vuagnoux e Serge Vaudenay) hanno spiegato come funziona Little Thumb (Pollicino), ossia il nome di questa possibile vulnerabilità.

Immuni e tutte le app per le notifiche di esposizione si basano sul continuo invio (e ricezione) via Bluetooth di un codice alfanumerico chiamato Rolling Proximity Identifier (RPI): quando vi trovate vicino ad altre persone, il vostro smartphone registra continuamente l'RPI di chi vista intorno.

L'RPI è un codice pensato per essere anonimo, che proprio per questo viene rinnovato ogni 15 minuti: in questo modo, ogni quarto d'ora c'è un nuovo codice che non può essere associato al precedente, né allo smartphone che li ha generati.

C'è però un piccolo problema: in tutte le trasmissioni Bluetooth viene inviato anche identificativo univoco chiamato Bluetooth Device Address (BD_ADDR) che identifica fisicamente il componente Bluetooth (in maniera simile al MAC address per le comunicazioni WiFi). Anche in questo caso, il Bluetooth Address viene rinnovato ogni 15 minuti.

I due codici in questione (RPI e BDR_ADDR) dovrebbero cambiare contemporaneamente, ma in alcuni casi su Android può capitare che il rinnovo non sia sincronizzato.

In questo caso, è possibile che lo smartphone trasmetta un pacchetto che contiene un nuovo indirizzo Bluetooth ma un vecchio RFI: così, se il rinnovo dei codici continua ad essere sfasato, teoricamente è possibile tracciare l'elenco dei Rolling Proximity Identifier appartenuti alla stessa persona, seguendo di volta in volta queste "tracce" in cui uno dei due codici non è stato rinnovato (come Pollicino che segue i sassolini per ritrovare la strada).

I due ricercatori hanno testato il problema su diverse app che utilizzano il framework di Apple e Google (SwissCovid, Immuni, Corona-Warn, StoppCorona) rilevando che tutte sono potenzialmente vulnerabili

Ora, al netto che questo genere di possibili vulnerabilità non fa mai piacere, in questo caso si tratta davvero di un non-problema: Google stessa, il 21 luglio, aveva pubblicato un documento in cui illustrava questa possibilità, spiegando però che i rischi in termini di privacy sono davvero minimi (praticamente inesistenti, aggiungiamo noi).

D'altra parte, perché un malintenzionato possa tracciare un elenco di tutti i Proximity ID di qualcuno, è necessario che si verifichi questo continuamente questo "sfasamento" nel rinnovo di RPI e Bluetooth Address (succede solo su alcuni device Android), ma soprattutto è necessario che il potenziale attaccante segua fisicamente e continuamente la vittima, a non più di un metro e mezzo di distanza. Una situazione piuttosto improbabile, insomma.

Per questo motivo, noi continuiamo a suggerire di installare Immuni: Little Thumb non è assolutamente nulla da temere.