Le app di contact tracing non sono abbastanza sicure. A dirlo è Guardsquare, azienda specializzata nella protezione delle applicazioni mobili. Ha passato al setaccio 17 applicazioni di tracciamento per Android in altrettanti in Europa, Asia-Pacifico, Medio Oriente e Americhe. Denominatore comune è che tutte sono state create da enti governativi o da appaltatori di terze parti, esattamente come Immuni.

Gli elementi di valutazione sono stati la protezione avanzata del codice e il RASP (Runtime Application Self-Protection). Nel primo gruppo sono stati valutati quattro elementi: l'offuscamento dei nomi e la crittografia su vari livelli. L'offuscamento nasconde gli identificatori nel codice dell'applicazione per impedire ai cyber criminali l'analisi del codice sorgente e il reverse engineering.
La crittografia delle informazioni riservate incluse nel codice sorgente, come le API e le chiavi crittografiche, impedisce di estrarle. La crittografia degli asset e delle risorse impedisce ai criminali informatici di riutilizzarle. Infine, la class encryption serve a impedire agli attaccanti di entrare in possesso di informazioni sulla logica interna delle applicazioni.

Nell'ambito del RASP sono invece stati valutati la root detection e l'emulator detection. La prima serve per impedire ai cyber criminali di usare il "root" di un dispositivo per bypassare la sandbox dell'applicazione Android e condurre azioni non approvate. L'emulator detection impedisce di eseguire le applicazioni su dispositivi virtuali. I cyber criminali usano questa tecnica per ottenere informazioni sul funzionamento di un'applicazione.

I voti alla sicurezza

Usando i parametri indicati sopra, il verdetto di Guardsquare è impietoso: la maggior parte delle app di contact-tracing analizzate non beneficia di sufficienti protezioni di sicurezza. Fra quelle analizzate, molte sono facili da decompilare e attaccare. È persino semplice creare cloni falsi.
Complessivamente, solo il 41% dispone di una root detection e di un certo livello di offuscamento del nome. Solo il 29% offre la crittografia delle stringhe e solo il 18% include un emulator detection. La crittografia di asset/risorse e la class encryption sono rintracciabili nel 6% delle app analizzate. Solo una app aveva una protezione adeguata.

A livello Europeo i dati peggiorano. Il 25% include un qualche livello di offuscamento del nome. Nessuna app beneficia della crittografia di asset /risorse e della class encryption. La root detection è presente nel 37,5% delle app, l'emulator nel 25%.

Quali sono i rischi

I parametri scelti non sono casuali. Come aveva sottolineato Check Point Software Technologies, il rischio maggiore è che le applicazioni vengano manomesse o copiate e trasformate in "app fake" ampiamente scaricate dai cittadini.

La posta in gioco è alta perché basta un singolo incidente di sicurezza di alto profilo per rovinare la fiducia in un'app. Dato che sono i Governi ad avere voluto e creato le app (direttamente o tramite terzi), un problema di cyber security delle app può erodere la fiducia dei cittadini anche nel Governo. Oltre che innalzare i rischi per la salute pubblica. 

Secondo Guardsquare questo aspetto è stato ampiamente sottovalutato dagli sviluppatori. Queste app possono permettere agli attaccanti di interferire con le applicazioni, diffondere false informazioni, instillare paura. E l'eventuale furto o esposizione dei dati sensibili potrebbe non essere fine a sé stesso, ma funzionale a campagne di destabilizzazione dei Governi.

La fretta è cattiva consigliera

Tutti i problemi, secondo Guardsquare, sono da ricondurre alla fretta. I Paesi si sono affrettati a sviluppare app di contact tracing per capire i meccanismi di diffusione del virus e contenerne la diffusione. Il tracciamento fa parte di una serie collaudata di strategie per combattere malattie come il coronavirus.

L'urgenza di rendere disponibili queste applicazioni è quindi chiara: prima arrivano, maggiori possibilità ci sono di rallentare la diffusione del COVID-19. Però i ricercatori ammoniscono: non bisogna sacrificare la sicurezza a favore della velocità, perché si incorre in rischi reali.

Proprio per l'importanza delle app di contact tracing e per l'auspicata diffusione, è fondamentale tutelare la privacy degli utenti. L'etica di sviluppo dev'essere "privacy by design". Occorrono maggiori livelli di sicurezza, e la combinazione delle tecniche indicate per la protezione avanzata del codice.

Spetta ai Governi, che le hanno sponsorizzate, garantire che il codice delle app sia adeguatamente protetto e che le informazioni sugli utenti siano salvaguardate. Il fatto che in molti casi lo sviluppo delle app sia stato affidato a terzi non assolve i Governi dalle loro responsabilità.