Le app di tracciamento, come Immuni, sono sotto ai riflettori. Perché sia efficace serve che almeno il 60% degli italiani la installi. Molti cittadini però si stanno ancora interrogando sull'effettiva tutela della privacy, nonostante le rassicurazione del Governo italiano. Ricapitolando, non verrà impiegato il GPS, che può fornire informazioni sensibili come la posizione dell'utente. Al suo posto si sfrutta il Bluetooth Low Energy (BLE), che serve per tracciare il dispositivo di una persona.

Queste garanzie sono sufficienti? Gli esperti di sicurezza di Check Point Software Technologies hanno fatto un esame preliminare di Immuni e hanno proposto alcuni elementi di riflessione.

Il primo riguarda proprio Bluetooth, che ricordiamo dev'essere sempre attivo su tutti gli smartphone che hanno l'app installata. Quello che accade è che quando due persone entrano nella portata del segnale Bluetooth, i loro telefoni si scambiano dei pacchetti di dati. Questa operazione automatica e invisibile all'utente secondo gli esperti scopre il fianco a possibili problemi.
Se lo scambio di pacchetti non è implementato correttamente, un cyber criminale può tracciare il dispositivo di una persona mettendo in correlazione i dispositivi con i rispettivi pacchetti di identificazione. Se vi sembra fantascienza, ricordiamo che in passato sono già emerse vulnerabilità a carico di BLE, quindi è una possibilità reale. Occorrerà analizzare il codice dell'app per appurare come sia stato implementato lo scambio di dati.

Sempre riguardo al traffico di dati c'è una seconda questione. Riguarda l'evenienza di attacchi di tipo man-in-the-middle, ossia quando un cyber criminale intercetta le comunicazioni nel momento in cui avvengono. Per schivarlo occorrerebbe che le comunicazioni fosse cifrate, ma è davvero così?

Il terzo tema riguarda la conservazione dei dati. I dati vengono salvati da Immuni sottoforma di codice alfanumerico, all'interno dello smartphone. Per quanto criptate, per ovvi motivi di sicurezza le informazioni dovrebbero essere conservate in una sandbox e non in luoghi condivisi. Anche così facendo, tuttavia, se un cyber criminale dovesse mettere a segno un attacco che gli consegna i privilegi root potrebbe comunque mettere mano ai dati. Morale: i dati personali possono essere compromessi.

L'ultima questione riguarda una possibilità di cui si è parlato molto all'estero: la circolazione di falsi rapporti sanitari. Le informazioni collezionate dall'app vengono inviate ai server remoti Sogei. Non è chiaro se nell'effettuare questa operazione l'app effettui una procedura di autenticazione. È un dettaglio importantissimo, perché i server potrebbero essere inondati di informazioni false, invalidando lo scopo di Immuni. O portando le persone ad essere contattate per falsi allarmi.
David Gubiani, Regional Director SE EMEA Southern, non dà un giudizio definitivo su Immuni. "Da una prima analisi sembra che i dati raccolti siano effettivamente quelli dichiarati […]. Il server Sogei è protetto in modo solido quindi dubito che si possano temere manipolazioni o furti di dati da lì". È una buona rassicurazione, ma non rimedia alle incognite esposte sopra.

Gubiani prosegue dicendo che "il rischio maggiore nell’app italiana è che venga scaricata un’app fake che ovviamente non si limiterebbe a fare quello che dovrebbe fare Immuni". Per questo la soluzione è semplice e dipende solo dall'utente: l'app dev'essere scaricata solo dagli store ufficiali, controllando bene il logo e le descrizioni.

Dalla teoria alla pratica

L'unica domanda a cui c'è risposta è perché i cyber criminali dovrebbero scomodarsi ad attaccare Immuni. Perché i numeri hanno ampiamente dimostrato che gli hacker stanno approfittando della pandemia per fare cassa. Google ha bloccato 18 milioni di email al giorno a tema coronavirus. I cyber criminali hanno massacrato i lavoratori in smart working con attacchi alle VPN, ai router domestici, alle applicazioni di videoconferenza e alla posta elettronica. Gli attacchi DDoS e quelli ransomware hanno raggiunto livelli altissimi.

I gruppi criminali hanno bersagliato coloro che hanno usato l'ecommerce e i corrieri per rimediare quello che gli occorreva durante il lockdown. Hanno attaccato a più riprese gli ospedali e le istituzioni sanitarie. Hanno già fatto qualche azione ai danni di potenziali utenti di Immuni.

Insomma, il COVID-19 per qualcuno è una gallina dalle uova d'oro. Immuni può colpire tutti insieme: singoli utenti, aziende pubbliche e private. Sicuramente, mentre gli esperti di sicurezza esaminano Immuni, stanno facendo lo stesso i criminali informatici.