Criminali e gestori di attività varie avranno gioco facile ad aggirare gli obblighi del green pass o addirittura utilizzarli a proprio vantaggio per fare incetta di dati personali. È possibile tramite una “modifica semplice all’app ufficiale Verifica C19: chiunque può farla e poi usare o mettere in giro la versione modificata dell’app. Con l’effetto di poter fare truffe di vario tipo”, spiega Pierguido Iezzi, fondatore della società di cybersecurity Swascan. Ha fatto un’analisi tecnica per dimostrare la fattibilità della truffa, possibile per le caratteristiche del QR-Code del green pass.

Ricordiamo che questo “certificato” è un lasciapassare che dal 6 agosto sarà obbligatorio per molte attività, come stare in un ristorante al chiuso, assistere a partite, spettacoli, andare in palestra; già in vigore l’obbligo di pass per viaggiare in Europa e tornare in Italia senza dover sottostare a tamponi e quarantena.

Ebbene, il problema è che questo sistema ha una falla. E bella grossa, “che di sicuro criminali e gestori senza scrupoli si affretteranno a sfruttare. Capita sempre così quando qualcosa digitale di una certa rilevanza ha una falla”, aggiunge Iezzi.

La modifica dell’app

Intervenendo con una nuova riga di codice dell’app – scaricabile pubblicamente da tutti – Swascan ha potuto creare un’app perfettamente uguale a quella ufficiale ma con differenze importanti. L’azienda ha fornito un’immagine prova della modifica: l’app ha accettato il pass di un fantomatico cittadino Topo Lino.

I rischi

L’app modificata può accettare qualsiasi green pass, anche fasullo. “In questo modo il gestore di una palestra, ristorante eccetera, può risultare in regola con gli obblighi normativi in realtà però accettando pass truccati”, spiega Iezzi. Inutile sottolineare i problemi che ne nascono per la salute pubblica e per chi – dotato di pass leciti – frequenterebbe quel luogo ignaro della truffa in atto. “Si potrà creare un mercato clandestino di pass illeciti e relative app che li accettano”, dice. C’è già un mercato di pass tarocchi, in effetti. E, considerate le manifestazioni anti green pass, con migliaia di “no vax” in piazza, è facile immaginare un mercato per questa possibile truffa. L’altro rischio è il furto di dati personali. Chi usa l’app modificata può fare incetta di tutti quelli presenti nel QR-Code del Pass.

I dettagli dei dati presenti all’interno del QR-Code sono i seguenti:

Data di nascita

Cognome

Codice Fiscale

Nome

ID Certificato

Paese di vaccinazione

Numero dosi effettuate

Data di vaccinazione

Emittente certificato

Azienda produttrice vaccino

Product ID vaccino

Numero totali di dosi (da effettuare)

Malattie a cui si è soggetti

Vaccino o Profilassi

JSON Schema Version

Emittente QR-Code

Scadenza QR-Code

Data Rilascio QR-Code

Dati utilizzabili per varie truffe, come succede normalmente con attacchi cyber mirati a rubare quelli degli utenti. A usarli dati sarebbero i gestori delle attività, ma non solo; anche i cyber-criminali che potrebbero mettere in giro la versione modificata dell’app mirando a farla circolare al posto di quella autentica. È una tecnica truffaldina già in voga sugli store digitali di Google e Apple, con versioni alternative di app ufficiali e dotati di malware o finalizzate appunto a rubare dati personali.

Come risolvere

“Per evitare il problema sarebbe bastato crittografare il QR-Code, ma le autorità hanno preferito puntare più sulla semplicità per diffondere il green pass, mettendo in secondo piano i rischi”, spiega Iezzi. Non si sa se in futuro si vorrà porre un rimedio, in corsa: significherebbe sostituire tutti i pass già diffusi. Probabilmente si convivrà con il problema: bisognerà avvisare gli utenti di diffidare delle app VerificaC19 (dovranno stare attenti a prendere quella ufficiale); le autorità dovranno controllare se le attività stanno usando versioni modificate e se i green pass dei loro utenti sono fasulli, controllandoli con l’app ufficiale.

Fonte www.repubblica.it