Da qualche giorno parecchie persone hanno cominciato a festeggiare l’arrivo
dei certificati Covid digitali, quelli dotati di codice QR, pubblicandone le
immagini sui social network. È una pessima idea, come dice bene l’avvocato Guido Scorza,
componente del Garante della Privacy italiano.
Come al solito, in questi casi arrivano le obiezioni: ma tanto il certificato
contiene solo il nome e il cognome e la data di nascita (non è vero), ma cosa
vuoi che se ne facciano dei miei dati, eccetera eccetera.
Chiarisco come stanno realmente le cose: il Garante della Privacy italiano ha
tweetato che
#GreenPass
Il QR code del pass vaccinale contiene informazioni personali e sanitarie,
non visibili ma potenzialmente leggibili e utilizzabili da chiunque, anche
attraverso specifiche app: è rischioso esporlo sui social network #ituoidati #GarantePrivacy pic.twitter.com/KpCx57IPNF
Sempre l’avvocato Scorza scrive
su Agendadigitale.eu che il codice QR “è una miniera di dati personali invisibili a occhio nudo ma leggibili da
chiunque avesse voglia di farsi i fatti nostri….Chi siamo, se e quando ci siamo vaccinati, quante dosi abbiamo fatto, il
tipo di vaccino, se abbiamo avuto il Covid e quando, se abbiamo fatto un
tampone, quando e il suo esito e tanto di più.”
Infatti è vero che l’app usata dai verificatori (Covid Check per Android
e iOS
in Svizzera; VerificaC19 per iOS e Android
in Italia) visualizza soltanto nome, cognome e data di nascita, ma il codice
QR contiene molte più informazioni, che possono essere lette prendendole dalle
foto postate sui social network e usando appositi programmi di analisi, che
sono già in circolazione e
sono facili da realizzare, visto che le specifiche
del contenuto dei codici QR sono ovviamente e necessariamente pubbliche e il codice sorgente delle app di verifica
è altrettanto necessariamente aperto. Questo contenuto è descritto in dettaglio su Dday.it.
Pubblicare queste foto sui social consente ai malintenzionati di fare raccolta
di massa di dati sanitari. Come spiega Guido Scorza, questi dati consentono di “desumere che la persona ha patologie incompatibili con la vaccinazione o è
contraria al vaccino. E di qui negare impieghi stagionali, tenere lontani da
un certo luogo, insomma per varie forme di discriminazione. O anche per fare
truffe mirate o per fare profilazione commerciale. Immaginiamo la
possibilità che questi dati finiscano in un database venduto e
vendibile.”
Immaginate, giusto per fare il primo esempio che mi viene in mente, un
truffatore che vi telefona a casa e si spaccia per un operatore sanitario e si
rende credibile recitandovi il vostro nome e cognome, la data di nascita e
quando avete fatto la vaccinazione e con quale vaccino. A quel punto
probabilmente vi fiderete di qualunque cosa vi chieda di fare. Pensate anche
ai vostri familiari o genitori, che magari non sono smaliziati quanto voi.
—-
2021/06/29 13.30:Full Fact segnala un esempio di come i malviventi possono sfruttare la situazione: nel Regno Unito alcuni truffatori chiedono via mail soldi per ottenere il certificato Covid, che è invece gratuito.
Emails that look like they are from the NHS are asking people to pay money for a digital pass in order to show your vaccination status. Several police forces have warned that this is a scam.
You can access the NHS Covid Pass for free online, and will not be asked to pay for it. pic.twitter.com/W6OqqjXHdr
Non solo: “questa prassi potrebbe facilitare la circolazione di QR-Code falsi che
frustrerebbero l’obiettivo circolazione sicura perseguito con i green
pass.”
Insomma, le aziende che sviluppano i software sanitari e queste app anti-Covid
si fanno in quattro per rispettare tutte le normative e proteggere i dati
degli utenti, e tutto questo lavoro rischia di essere stato fatto invano
perché sono gli utenti stessi a spiattellare i propri dati su Internet.
Avete ricevuto il “green pass”? Buon per voi. Ditelo e basta; non c’è bisogno
di postare una foto. Ci crediamo.
La fissa dei giornalisti per i termini inglesiha creato l’errore del “green pass”, che è il nome sbagliato
di quello che in realtà si chiama certificato Covid digitale europeo,
il documento concepito per consentire di varcare le frontiere interne europee
in modo agevolato. Il green pass, invece, è il permesso
israeliano di accesso ad attività commerciali e uffici per i vaccinati; la
possibilità di attraversare frontiere nazionali non c’entra nulla.
Questo certificato europeo consentirà di attestare l’avvenuta vaccinazione, la
guarigione o il risultato negativo di un test a partire dall’1 luglio
a livello europeo. Il certificato equivalente svizzero, compatibile con quello
europeo, è già pronto e in Canton Ticino è stato distribuito
in forma elettronica a tutti i vaccinati con un SMS ieri (circa un migliaio di
persone hanno ricevuto l’SMS il giorno precedente come prova generale).
Stamattina circa la metà dei certificati era già stata scaricata, secondo il sito ufficiale del Canton Ticino.
Chi volesse richiedere questo certificato trova tutte le informazioni del caso
presso www.ti.ch/certificato.
A me l’SMS è arrivato alle 19.29. Il messaggio conteneva un link
personalizzato: l’ho seguito e sono arrivato a questa pagina di registrazione.
Qui ho immesso il mio indirizzo di mail, ho spuntato la casella Desidero ottenere un certificato COVID e letto l’informativa sulla privacy
linkata nella pagina.
Qualche altro secondo più tardi mi è arrivata una mail contenente un link
personalizzato per scaricare il certificato:
Cliccando sul link mi è stato chiesto di immettere il mio numero di cellulare
e poi di immettere il codice a sei cifre che ho ricevuto via SMS sul
telefonino. A quel punto è comparso un pulsante Scarica.
Il certificato è arrivato sotto forma di PDF in formato A4 con questo aspetto:
Contiene i dati essenziali in italiano e in inglese: la malattia per la quale
sono stato vaccinato; il numero di dosi; il tipo, prodotto e fabbricante del
vaccino (Comirnaty
è il marchio registrato del vaccino Pfizer/BioNTech); la data e il paese di
vaccinazione; il mio nome, cognome e data di nascita; e un URN (Uniform Resource Name) abbinato a un codice QR. Le specifiche tecniche dell’URN sono pubblicate qui.
—
Questo certificato, autenticato dall’Ufficio federale della sanità pubblica
(grazie alla firma digitale generata usando i miei dati) mi darà accesso a
grandi eventi e manifestazioni in Svizzera (nei casi previsti) e dovrebbe facilitare l’attraversamento delle frontiere, perché basterà una
scansione del codice QR e un controllo di un documento d’identità per
documentare che sono vaccinato.
Il foglio A4 non è molto pratico da portare in giro, per cui ho provato subito
l’app apposita che fa da “portadocumenti”, ossia Covid Certificate (Android; iOS). Ne avevo parlato in anteprima qualche giorno fa.
Ho lanciato l’app, ho letto le brevi informazioni di presentazione e poi ho
cliccato su Aggiungere. L’app mi ha chiesto (ovviamente) il permesso di
accedere alla fotocamera, che ho accettato solo per questa volta, e ho fatto
la scansione del codice QR dal PDF stampato (si può fare anche partendo dal
PDF visualizzato su uno schermo).
Qualche foto (l’app saggiamente non consente screenshot, per cui
accontentatevi di queste immagini fatte di corsa):
L’app Covid Certificate all’avvio, dopo le schermate di introduzione.
Scansione in corso (ho sfuocato io il codice QR).
Scansione acquisita.
La versione digitale pronta per essere esibita ai controlli (ho sfuocato io il
codice QR). Notate che espone solo nome, cognome e data di nascita: non indica
se sono vaccinato o guarito o negativo a un test e non dice il nome del
vaccino o le date di vaccinazione, per cui queste informazioni non sono disponibili ai verificatori.
—
Sono insomma a posto: ho il certificato su PDF, su carta e nell’app (che, fra
l’altro, consente di archiviare più di un certificato, come ho verificato con
quello della Dama del Maniero). Mi resta solo da levarmi una curiosità: come
funziona la verifica?
La verifica usa l’apposita app Covid Check (Android; iOS), che è liberamente installabile da chiunque. Ho provato a scansionare il
mio certificato Covid stampato, e l’app mi ha mostrato soltanto queste
informazioni: validità, nome, cognome e data di nascita. Idem quello della
Dama. Questo vuol dire che i verificatori non sanno se la persona che
verificano è vaccinata o ha fatto il Covid o ha fatto un tampone negativo.
Dai commenti qui sotto risulta che l’app verifica soltanto i codici QR
rilasciati dall’autorità sanitaria svizzera: quelli di altri paesi vengono
letti ma non verificati.
Un dettaglio interessante: l’app di verifica funziona anche senza connessione
a Internet. Sembra quindi che il controllo avvenga completamente in locale,
senza mandare dati ad alcun server centrale, tutelando quindi fortemente la
riservatezza (l’informativa sulla privacy dell’app di verifica è qui).
Mi restano solo due dubbi:
Il primo è che non ho capito come funziona la revocabilità: visto che per
poter sapere se un certificato è stato revocato presumo che debba scaricare
periodicamente (da dove? Quando?) dei dati per sapere quali certificati sono
stati revocati. Secondo l’informativa di privacy
di Covid Check, “Le applicazioni per la conservazione dei certificati COVID-19
necessitano dell’elenco dei certificati di firma per verificare la
validità dei certificati memorizzati nell’app. Le applicazioni per la
verifica dei certificati COVID-19 necessitano dell’elenco dei certificati
di firma per verificare la validità dei certificati scansionati. Il
sistema d’informazione elabora solo i certificati di firma, quindi non tratta dati personali… L’UFIT gestisce un sistema d’informazione che permette di comparare i
certificati con quelli revocati e che a tal fine contiene l’identificativo
univoco dei certificati revocati. L’elenco degli identificativi dei
certificati revocati è messo a disposizione delle applicazioni per la
verifica e la conservazione dei certificati COVID-19. Questo elenco
consente alle applicazioni per la conservazione dei certificati COVID-19
di verificare la validità e lo stato di revoca dei certificati COVID-19
archiviati nell’app. L’elenco consente alle applicazioni per la verifica
dei certificati COVID-19 di verificare la validità e lo stato di revoca
dei certificati scansionati con l’app. Dall’identificativo del certificato
non è possibile risalire alle persone, quindi nessun dato personale è trattato in questo sistema.”
Il secondo è questa segnalazione di Tio.ch
secondo la quale l’“applicazione di verifica utilizzata da terzi può in teoria essere
programmata non solo per controllare la validità o meno di un certificato,
ma anche per leggere i dati relativi alla salute dell’utente”, tanto che l’Incaricato federale della protezione dei dati e della
trasparenza (IFPDT) ha proposto una versione “light”del certificato che non
conterrebbe dati sanitari ma sarebbe validata comunque dalla firma
digitale.
In attesa di risolvere quest’ultimo dubbio, ora non mi resta che trovare un
grande evento al quale partecipare (ma pare che non ci saranno restrizioni ridotte per chi ha il certificato Covid) oppure tentare l’attraversamento della
frontiera (possibilmente dopo il primo luglio, quando in teoria le app di verifica dei certificati Covid saranno interoperabili).
—-
2021/06/25 15:25. AgendaDigitale ha pubblicato un interessante confronto tecnico e giuridico fra il certificato Covid svizzero e quello italiano/UE. In sintesi: quello italiano offre maggiori tutele.
Stamattina l’Ufficio federale della sanità pubblica svizzero ha annunciato
l‘avvio di un test pubblico di sicurezza per SwissCovid, l’app di tracciamento
di prossimità finora usata per consentire di allertare anonimamente chi è stato
vicino a una persona risultata poi positiva.
Avvio del Public Security Test per la funzione check-in nell’app #SwissCovid. Contribuite a verificare la sicurezza della nuova funzione e comunicate i
risultati dei vostri test tramite il sito web dell’NCSC. https://t.co/nfqKVI5fTU
Il tweet è piuttosto ermetico: che cos’è la “funzione check-in”? E
perché viene aggiunta a SwissCovid? Sono sempre un po’ sospettoso quando vedo
aggiunte di questo genere, perché temo il classico feature creep che ha
spesso conseguenze impreviste.
Questo è quello che ho trovato finora: l’annuncio
del Centro Nazionale di Cibersicurezza dice che
Tra breve l’app SwissCovid sarà completata con l’applicazione «NotifyMe», che potrà essere impiegata nel quadro di eventi e riunioni.
Il codice sorgente di SwissCovid verrà pertanto ampliato.
e linka delle FAQ
che citano CrowdNotifier (altre info qui), che
parlano di un tracciamento di presenza (non più di prossimità) sicuro, decentrato e protettivo della privacy, allo scopo di (traduco) “semplificare e accelerare il processo di notifica delle persone che hanno condiviso un luogo semipubblico con una persona positiva alla SARS-CoV-2 per un tempo prolungato, senza introdurre nuovi rischi per gli utenti e i luoghi.”
La documentazione di Crowd Notifier prosegue dicendo che (traduco) “i sistemi esistenti di tracciamento di prossimità (app di tracciamento dei contatti come SwissCovid, Corona Warn App e Immuni) notificano soltanto un sottoinsieme di queste persone: quelle che sono state abbastanza vicine per abbastanza tempo. Gli eventi attuali hanno reso evidente la necessità di notificare tutte le persone che hanno condiviso uno spazio con una persona positiva alla SARS-CoV-2.”
Sembra insomma che si voglia introdurre in SwissCovid una nuova funzione che generi una notifica semplicemente quando si va in un luogo affollato nel quale risulta poi che c’era qualche persona positiva al Covid, anche se non si è stati vicini alla persona per periodi prolungati.
A giudicare dagli schemi pubblicati, che vedete in testa a questo articolo, ci sono dei codici QR che vengono generati dal proprietario del luogo (o locale) e vengono scansionati dai visitatori.
Si tratta di una proposta, per ora, e il suo scopo è (traduco) “fornire un’alternativa al crescente uso di app con intenzioni analoghe che sono basate su una raccolta invasiva o che si prestano ad abusi da parte delle autorità.”
La questione è aperta e delicata: le app di questo genere consentono, se realizzate male, tracciamenti di massa decisamente inaccettabili. Se ci saranno novità, le segnalerò qui. Se scoprite qualcosa, i commenti sono come sempre a vostra disposizione.
I certificati COVID svizzeri, che facilitano gli spostamenti da un paese
all’altro e la partecipazione ai grandi eventi, sono ancora in fase sperimentale
(arriveranno entro fine mese, sia in forma digitale sia in forma cartacea).
Sono però già disponibili per lo scaricamento le due app per la gestione di
questi certificati.
La prima è l’app per gli utenti, quella che custodisce il certificato (anche
per più persone) e si
usa per esibirlo, si chiama Covid Certificate ed è qui
per iOS (installabile anche su iPad, dalla versione 12.0 e successive) e qui
per dispositivi Android (compatibile con Android 7.0 e successivi).
La seconda app è quella che serve per verificare i certificati; è usabile da
chiunque per scansionare e verificare la validità dei certificati esibiti e si
chiama Covid Certificate Check. La trovate qui
per Android (7.0 e successivi) e qui
per iOS (12.0 e successivi).
In attesa di poter usare queste app, diffidate delle imitazioni e delle app
quasi omonime presenti negli Store: installate soltanto le versioni originali,
che si possono riconoscere dal nome dello sviluppatore, che è l’Ufficio
federale della sanità pubblica (UFSP/BAG).
Per tutti i dettagli sul funzionamento dei certificati COVID potete leggere questo mio articolo.
Sto ricevendo numerose segnalazioni di codici QR come quello qui accanto, che
alcune applicazioni di verifica dei “green pass” considerano validi ma che
sono intestati ad Adolf Hitler. Successivamente si sono aggiunti altri codici
QR intestati a Topolino, a Spongebob e ad altri.
Provate a scansionare i primi tre codici QR di questo articolo con l’app
italiana VerificaC19 o con l’app svizzera equivalente, CovidCheck:
restituiscono HITLER come cognome, ADOLF come nome e 01.01.1900 (oppure 01.01.1930)come data di nascita. Cosa
più importante, queste app di verifica li accettano come validi.
A prima vista sembrerebbe essere una gravissima violazione dell’affidabilità
del sistema dei green pass o certificati Covid digitali, che minerebbe
alla base la fiducia nel sistema di verifica. In teoria, infatti, soltanto gli
enti o operatori sanitari autorizzati hanno le chiavi crittografiche private
che consentono di generare green pass validi e rendono impossibile
alterare un green pass esistente immettendovi per esempio un nome
differente (questa
è la procedura di richiesta di autorizzazione in Svizzera, per esempio). Ma
affermazioni straordinarie richiedono prove straordinarie, che per ora
scarseggiano.
Questo è un altro codice QR (segnalato da @reversebrain) che fornisce lo stesso risultato, anche qui con il nome e cognome
interamente in maiuscolo:
Questo, invece, risulta valido ma intestato a Adolf Hitler (in
minuscolo tranne le iniziali), con data di nascita 01.01.1930:
Secondo le prime analisi (grazie @fuomag9
e alla sua app Green Pass Decoder), l’ente emittente indicato nei primi due codici QR sarebbe la CNAM francese
(Caisse Nationale d’Assurance Maladie), ma secondo queste fonti
e i commenti qui sotto il dato potrebbe essere stato immesso da chiunque abbia
una chiave privata valida per l’emissione dei certificati Covid. La chiave
privata, infatti, consente di firmare un certificato inserendovi qualunque
valore o testo a piacere.
Il primo codice viene interpretato da Green Pass Decoder così:
Secondo queste info, dob è la data di nascita, fn è il cognome, gn è il nome, co è il paese di vaccinazione, dn è il numero di dosi ricevute, dt è la data di vaccinazione, is è l’ente che ha emesso il green
pass, ma è il produttore del vaccino, mp è l’identificativo di
prodotto del vaccino, sd è il numero totale di dosi, tg è la
malattia coperta dal vaccino, vp indica vaccino o profilassi, ver è la versione dello schema, 4 indica la scadenza del codice
e 6 indica la data di generazione del codice.
Su Raidforums c’è una discussione
molto lunga e tecnica secondo la quale sembrerebbe che siano state trovate le
chiavi private (o che siano state generate per forza bruta). Open
ha indagato e dice che sembra che un utente polacco di Raidforums abbia creato
un codice QR a nome di Hitler per dimostrare di essere in grado di farlo e
offre il servizio a pagamento.
Se così fosse, chiunque potrebbe ottenere un green pass fraudolento e
l’intero sistema sarebbe da buttare e rifare da capo (o almeno sarebbe
necessario revocare tutte le chiavi private attuali e cambiarle) e in ogni
caso il green pass avrebbe perso gran parte della sua credibilità
presso l’opinione pubblica non esperta.
Stefano Zanero, docente di
computer security e informatica forense al Politecnico di Milano, ha commentato
pubblicamente in questo modo: “che si sia trattato di un leak o quantomeno di un abuso di chiavi di firma
non è che sia discutibile, è abbastanza evidente.”
—
2021/10/27 1:25. VerificaC19 non riconosce più come validi i codici QR
mostrati qui sopra, o perlomeno questo è quello che dice l’app sul mio
telefono Android, mentre altre persone mi dicono che la loro app continua a
ritenerli validi:
L’app svizzera CovidCheck, invece, li riconosce ancora validi.
—
2021/10.27 9:20. Oggi alle 9 circa ho registrato questi due video che
documentano la situazione a quel momento (il rumore che sentite nei video è
prodotto dalla mia gatta MiniCalzini, che è sorda e quindi non sa quanto è
rumorosa quando fa le fusa):
—
2021/10/27 12:10. Ansa
parla di chiavi sottratte e dice che “le chiavi che sono state sottratte sono state annullate e, di conseguenza,
sono stati invalidati tutti i green pass generati con quei codici.”
—
2021/10/27 13:00. Ne parla anche Il Post. Sembra ormai piuttosto chiaro, anche da alcune verifiche tecniche che mi
sono arrivate confidenzialmente, che almeno la chiave privata francese e
quella polacca usate per firmare questi codici QR sono state rubate o ottenute
in qualche altro modo.
Intanto c’è anche un altro codice QR, stavolta intestato a Rokotepassieu (cognome) Ota Yhteyttä Wickr (nome) con data di
nascita 06.12.1917. Dai commenti mi dicono che Rokote in
finlandese vuol dire “vaccino”, quindi Rokotepassieu starebbe per
“Passi Vaccino EU”, e Ota Yhteyttä Wickr dovrebbe voler dire
“contattami su Wickr”). Viene tuttora riconosciuto come valido da CovidCheck
ma non da VerificaC19 (perlomeno sul mio telefono Android):
—
2021/10/27 14:15. VerificaC19 ora non riconosce più come valido il mio green pass svizzero. La faccenda si fa personale.
—
2021/10/27 16:40. La vicenda è approdata anche in Svizzera (LaRegione; RSI.ch). Intanto Insicurezzadigitale.com
segnala un sito nel Dark Web (la parte di Internet accessibile via Tor) che
venderebbe green pass falsi a partire da 250 euro.
Per chiunque fosse tentato di acquistarne uno sentendosi particolarmente
furbo, ho due spunti di riflessione:
Il primo è che se sei disposto a violare la legge e a pagare 250 euro per
qualcosa che potresti avere gratis semplicemente vaccinandoti, sei il
bersaglio perfetto per gli spennapolli che popolano il Dark Web.
Il secondo è che se lo comperi, non illuderti che duri più di qualche ora:
basta che un singolo agente di polizia o addetto alla sicurezza ne compri
uno per sapere quale chiave privata è stata usata per generare i green pass
falsi e revocare quella chiave e con essa tutti i green pass truffaldini. Ma
i soldi che hai mandato ai truffatori non saranno altrettanto revocabili.
—
2021/10/27 20:40. Mi è stata segnalata da fonte confidenziale
l’esistenza di un codice QR che viene riconosciuto come green pass valido, sia
da VerificaC19 sia da Covid-Check, ed è intestato a Mickey Mouse, data
di nascita 31 dicembre 2001. Eccolo.
—
2021/10/28 00:25. Mi è arrivata la segnalazione di un altro codice QR
falso ma validato dall’app di verifica svizzera, stavolta a nome di Spongebob
Squarepants, nato l’1/10/1900, vaccinato il 27 settembre 2021 nel Regno Unito,
con Ministry of Health come emittente del certificato, tecnicamente
valevole fino al 27 settembre 2022.
.@DavidPuente @disinformatico
Greenpass a nome di Spongebob Squarepants. Generati da portale; questo
screenshot viene da 4chan. Il pass é valido con VerificaC19 (28/10 01:11pm
con update del 27 alle 11:43) pic.twitter.com/0XiKefUoNj
Sulla base di tutto questo, di questa analisi di Denys Vitali, di quest’altra analisi, del fatto che i green pass falsi sono apparentemente firmati dalle chiavi
di numerosi paesi differenti e anche di alcune informazioni ricevute da fonti
confidenziali, sembra che la spiegazione più plausibile (per ora, sottolineo,
ipotetica) sia questa:
alcuni membri di piccole organizzazioni sanitarie autorizzate a emettere i
certificati Covid avrebbero deciso di abusare della fiducia concessa loro e
della scarsità di controlli interni (logici e fisici) e quindi avrebbero
creato questi codici QR falsi per burla o per soldi.
Altri truffatori, nei forum online di criminali, avrebbero deciso di dire di poter generare green pass a pagamento e avrebbero usato
questi green pass farlocchi come “dimostrazione” delle loro capacità. Gli
allocchi pagherebbero e poi i truffatori scapperebbero coi soldi, senza
consegnare il green pass promesso.
In tal caso, i green pass corrispondenti sarebbero formalmente “veri”,
nel senso che sarebbero stati emessi da persone autorizzate, e non ci sarebbe
stata alcuna sottrazione massiccia di chiavi crittografiche private di paesi
multipli o sfruttamento di qualche falla tecnica del sistema o (ancora più
improbabile) bruteforcing per trovare queste chiavi.
Quello degli addetti disonesti è insomma uno scenario che rispetta il Rasoio
di Occam.
—
2021/10/28 11:25. Matteo Flora ha pubblicato un video nel quale
mostra una tecnica che consentirebbe a quasi chiunque di generare un’anteprima
del green pass, senza salvarla, potendo quindi creare codici QR validi ma falsi senza lasciarne traccia nel sistema. Questa
sarebbe una falla procedurale davvero grossa, che ha parecchi indizi a supporto. Ecco il video:
—
2021/10/28 13:40. Sono stati trovati almeno sei punti di accesso al sistema di generazione delle anteprime dei green pass, lasciati stupidamente accessibili a chiunque. A questo punto è estremamente improbabile che siano state rubate chiavi crittografiche: i truffatori hanno semplicemente usato quello che gli addetti ai lavori hanno stupidamente lasciato in giro. Non c’è alcun bisogno di rubare chiavi, se la porta è aperta.
—
Se scoprite altri dettagli, segnalatemeli nei commenti; aggiornerò questo
articolo man mano che avrò informazioni più dettagliate e sicure.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle
donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere
ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.
Chiunque può testare la sicurezza del software che gestirà il “certificato Covid”
svizzero che certificherà l’avvenuta vaccinazione, la guarigione o il
risultato negativo di un test e sarà necessario o facilitante per esempio per
viaggiare oltre frontiera e per partecipare alle grandi manifestazioni
(secondo le modalità dettagliate qui
e in queste FAQ). Il codice sorgente e la documentazione sono disponibili per l’esame qui su GitHub.
La versione svizzera del certificato Covid sarà compatibile con quella dell’UE
(spesso chiamata impropriamente green pass dai giornalisti che si sono ispirati male a un sistema israeliano) e viceversa; sarà introdotta gradualmente a partire dal 7 giugno.
2021/06/17:15.30. Il certificato è stato distribuito.
Il certificato Covid sarà in sostanza un codice QR non falsificabile, stampato
su carta (o fornito come PDF) oppure contenuto all’interno di un’apposita app
che fa da wallet. Il certificato conterrà una firma elettronica della
Confederazione che consente la verifica del certificato stesso senza
trasmettere o salvare dati personali.
* 2021/06/07 21:15. L’app per utenti è stata rilasciata: la versione iOS è qui
(è per iPhone, ma è installabile anche su iPad); la versione Android non è ancora stata pubblicata (aggiornamento 2021/06/08: ora è disponibile).
Ci sarà anche un’app per verificare i certificati, chiamata Covid Certificate Check,* e ci sarà un sito riservato ai generatori
autorizzati di questi certificati, presso www.covidcertificate.admin.ch
(attualmente non operativo).**
* 2021/06/07 21:15. L’app per verificatori è stata rilasciata: la versione
Android è qui; la versione iOS è qui.
** 2021/06/07 21:15. Il sito è ora operativo.
Il progetto è stato affidato alla società zurighese Ubique (la stessa che ha
prodotto SwissCovid) e ad altre due aziende svizzere, basandosi sul protocollo
sviluppato dall’EPFL e sotto la supervisione dell’Ufficio Federale
dell’Informatica e della Telecomunicazione (UFIT), scrive Le Temps.
Ecco qualche screenshot
dalla versione Android non definitiva dell’app per gli utenti in italiano (le
altre lingue disponibili sono tedesco, francese e inglese):
Queste, invece, sono immagini
non definitive dell’app per verificatori:
Il funzionamento dovrebbe essere grosso modo il seguente.
L’utente richiederà
il certificato, che sarà disponibile entro fine giugno e verrà fornito dai centri di vaccinazione, dai medici,
dagli ospedali, dalle farmacie e dai centri di test (come spiega la RSI) e potrà importarlo nell’app Covid Certificate facendone una scansione. Chi verrà vaccinato
con l’ultima dose prima della fine di giugno (come me) dovrà consultare il
sito del Cantone per informazioni su come richiedere il certificato; chi verrà
vaccinato dopo la fine di giugno riceverà il certificato automaticamente in
forma elettronica (o, su richiesta, in PDF sul posto), come descritto qui.
L’utente esibirà questo certificato su richiesta (nei casi previsti) a un verificatore, che userà l’app di verifica Covid Certificate Check per leggere il codice QR ed
accertarsi che il certificato sia autentico e non sia stato revocato.
L’aspetto non definitivo del certificato cartaceo.
Il verificatore che usa l’app potrà vedere solo “il nome, il cognome, la data di nascita e l’indicazione della validità del
certificato COVID”
(comunicato stampa del 4/6).
* 2021/06/07 21:15. A quanto mi risulta dai primi test, chiunque può essere verificatore: non occorrono autorizzazioni e non serve neanche una connessione a Internet.
Il PDF conterrà un grande codice QR e alcuni dati stampati in chiaro: nome,
cognome e data di nascita del titolare; numero di dose, marca, fabbricante del
vaccino; data di vaccinazione; paese; ente emittente. L’app, invece, mostrerà
solo il codice QR e il nome e la data di nascita della persona, perlomeno
nella schermata principale.
In termini di privacy, non ci sarà un archivio centrale: ogni persona dovrà
provvedere a custodire il proprio certificato sul proprio dispositivo digitale
o su carta. “I dati personali non sono salvati a livello centrale dall’Amministrazione
federale e quelli necessari per la firma elettronica del certificato vengono
cancellati dal sistema della Confederazione non appena il certificato è
stato generato e trasmesso”, dice il suddetto comunicato stampa, e non viene fatto alcun tracciamento
delle verifiche. In caso di smarrimento del certificato bisognerà richiederne
uno nuovo.
—
La decisione di effettuare un test di sicurezza pubblico è stata annunciata
dall’Ufficio Federale dell’Informatica e della Telecomunicazione (UFIT).
Ulteriori dettagli verranno resi pubblici oggi (venerdì 4 giugno) e verranno
pubblicati qui sul sito dell’UFSP.
Si tratta di un progetto open source di massima trasparenza: come dicevo, il codice sorgente
è già liberamente esaminabile e disponibile su GitHub; le condizioni e regole
di partecipazione al test di valutazione della sicurezza, con le relative
garanzie di non perseguibilità, sono pubblicate sul sito del Centro Nazionale
per la Cibersicurezza insieme al modulo per la notifica dei problemi
riscontrati e all’elenco di quelli già scoperti
(fra i quali figura una password hardcoded).
Il periodo di verifica pubblica è iniziato il 31 maggio scorso e complementa i
test già condotti dall’Istituto Nazionale di Test per la Cibersicurezza (NTC).
Non sono previste ricompense (niente bug bounty, insomma).
Oltre al codice sorgente delle app per Android
e iOS e dei
servizi di generazione dei certificati, con la documentazione delle loro
architetture, su GitHub si trovano anche le presentazioni
che descrivono l’aspetto, i principi e la tabella di marcia dell’app e del
documento cartaceo.
Architettura generale del sistema per il certificato Covid.
Frugando un pochino nella documentazione si trovano anche la guida rapida
e le istruzioni
per i “superutenti” (gli incaricati di generare i certificati) e per la loro formazione. Nulla che interessi al comune cittadino, ma interessante per chi vuole
studiare le procedure interne del sistema.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle
donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere
ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.
Il governo degli Stati Uniti accusa TikTok, il popolarissimo social network di proprietà della cinese Bytedance, di essere un rischio per la sicurezza dei cittadini statunitensi, perché raccoglie dati personali, e vuole quindi bandirlo. Lo stesso vale per un’altra app cinese, WeChat di Tencent.
Ad agosto il presidente Trump ha firmato un executive order, ossia un provvedimento legislativo presidenziale, che in sostanza obbliga TikTok a vendere la propria attività statunitense a un’azienda nazionale; se non lo fa, le sue transazioni negli Stati Uniti verranno bloccate. La questione è ora in mano alle autorità giudiziarie del paese e procede a colpi di rinvii e appelli.
Un ban di TikTok comporterebbe la scomparsa della sua app dagli store ufficiali, ma non necessariamente dagli smartphone degli utenti, e questo è concretamente un rischio di sicurezza peggiore degli imprecisati e non documentati rischi per la sicurezza nazionale asseriti dal governo statunitense.
Bandire un’app, infatti, significa che chi decide di tenerla sul proprio smartphone non può più aggiornarla in modo ufficiale e quindi non può ricevere le correzioni che ne sistemano i difetti e ne migliorano la sicurezza.
Significa anche che gli utenti che vogliono continuare a usare l’app, o la vogliono installare su un nuovo dispositivo, saranno indotti a cercarla nei siti “alternativi” di scaricamento, con il rischio di installare versioni alterate o infettanti dell’app o addirittura delle app completamente differenti che ne scimmiottano il nome e il logo. Queste app fasulle sono uno dei canali preferiti di diffusione di malware da parte dei criminali informatici.
Non è teoria: TikTok e altre applicazioni sono già state oggetto di blocco in India, ma gli utenti non hanno affatto lasciato la piattaforma e quindi oggi ci sono centinaia di milioni di persone che usano un’app priva di aggiornamenti correttivi.
È arrivata la versione 13.7 di iOS e iPadOS, e gli utenti iPhone che la installano sono un po’ confusi e preoccupati perché questo aggiornamento integra le notifiche di esposizione come misura anti-pandemia.
Molti si chiedono che conseguenze ci siano per chi ha già installato un’app come Immuni o SwissCovid, e per chi non l’ha ancora fatto o non vuole farlo.
In estrema sintesi: per chi ha già installato un’app anti-pandemia non cambia quasi nulla. Tutto funziona come prima e non c’è da fare nulla.
Però c’è un bonus in arrivo: le app di paesi differenti che usano il supporto software creato da Apple e Google (come SwissCovid e Immuni, appunto) diventeranno interoperabili, vale a dire che un’app di un paese funzionerà anche all’estero e telefonini dotati di app differenti si scambieranno correttamente le notifiche, sempre in maniera strettamente anonima e volontaria.
Per chi non ha ancora installato una di queste app, installare l’aggiornamento di iOS, con la sua funzione Exposure Notifications Express, significa che l’iPhone diventerà capace di fare da solo il tracciamento delle esposizioni, ma soltanto se gliene diamo il permesso (la funzione è opt-in) e siamo in un paese che partecipa a questo tracciamento.
Se gli diamo questo permesso, il telefonino inizierà ad accumulare dati sulle esposizioni e potrà avvisare l’utente in caso di possibile esposizione a contagi anche senza aver installato un’app apposita. Ma il telefonino in questo caso si limiterà a invitare l’utente a installare un’app anti-pandemia.
In altre parole, le app come SwissCovid o Immuni continueranno a servire per completare il sistema di protezione sanitaria anche dopo questo aggiornamento di iOS.
Va ricordato che questa funzione è presente solo in iOS, il sistema operativo per iPhone; non è presente in iPadOS (il sistema operativo per iPad).
Per gli utenti Android, invece, l’aggiornamento corrispondente arriverà entro fine settembre e Google genererà automaticamente un’app basata sulle impostazioni decise dalle autorità sanitarie locali.
—
Fra l’altro, se vi state chiedendo se Immuni, SwissCovid e le altre app analoghe stiano funzionando e siano efficaci, segnalo questo dato fornito dall’Ufficio Federale della Sanità Pubblica: a luglio in Svizzera almeno 13 casi positivi sono stati trovati esclusivamente grazie all’app, che ha avvisato queste persone della possibile esposizione al contagio. E il numero di coloro che sono stati avvisati dall’app e anche dal contact tracing tradizionale è molto più alto.
Secondo Marcel Salathé, epidemiologo membro della task force federale contro il coronavirus, se si raddoppiasse il numero di installazioni e attivazioni di SwissCovid questi numeri si quadruplicherebbero e la rapidità di segnalazione dell’app consentirebbe di garantire una quarantena rapida ed efficace. Al 2 settembre 2020 sono attive 1.590.000 installazioni di SwissCovid. Immuni, invece, al 9 agosto 2020 contava 4,7 milioni di download (che non sono necessariamente tutte installazioni distinte e attive).
Due settimane fa Fortnite è stato rimosso dall’App Store di Apple e da Google Play. Chi l’aveva già installato sui propri dispositivi Apple ha potuto continuare a giocare; chi non l’aveva fatto è rimasto escluso.
Inevitabilmente è partita la speculazione: iPhone e iPad con Fortnite preinstallato sono apparsi sui siti di aste online a prezzi da capogiro. Ma chi li ha comprati si troverà presto di nuovo a piedi. Gli utenti iPhone, iPad e Mac verranno infatti esclusi dal prossimo aggiornamento di Fortnite, che include fra l’altro i personaggi della Marvel.
Questo caos nasce dalla lite legale in corso fra Epic Games, proprietaria di Fortnite, e Apple, a proposito dei metodi di pagamento disponibili nel gioco: Apple vuole l’esclusiva e il 30% degli incassi, come per tutte le app ospitate nel suo App Store, e Epic Games non ci sta più. Anche Microsoft si è schierata con Epic Games.
Apple ora ha bloccato anche lo sviluppo degli aggiornamenti di Fortnite su App Store, per cui il Capitolo 2 – Stagione 4 (versione 14.00) non è stato rilasciato sui dispositivi con il logo della mela.
Apple has blocked your ability to update Fortnite on the App Store, and has said they will terminate our ability to develop Fortnite for Apple devices. As a result, Chapter 2 – Season 4 (v14.00) will not release on Apple devices on August 27.
Chi ha dispositivi Android o PlayStation, Xbox One, Nintendo Switch e PC Windows, invece, può scaricare l’aggiornamento.
Questa situazione in sostanza spacca in due il mondo dei giocatori, secondo Engadget: da una parte, chi ha un dispositivo Apple, che si trova quindi fermo alla versione 13.40 (Capitolo 2 – Stagione 3) di Fortnite e potrà giocare solo con gli altri utenti Apple fermi alla medesima versione; dall’altra, tutti gli altri. Ci sono anche problemi e limitazioni nello scambio di regali digitali fra giocatori.
Ribadisco la raccomandazione già fatta all’inizio di questa battle royale fra Apple ed Epic Games: non scaricate Fortnite o suoi aggiornamenti da altre fonti, neppure se ve le hanno consigliate siti o amici. State sul sito ufficiale, Epicgames.com. Aggiungo, inoltre, di non abboccare a crack o altri trucchi che promettono di sbloccare il vostro dispositivo Apple per permettervi di installarvi il nuovo Fortnite: sono sicuramente delle trappole. Se ci tenete tanto a giocare alla nuova versione, procuratevi un dispositivo non Apple.
Poche ore fa Fortnite, uno dei giochi online più popolari del momento, è stato rimosso prima dall’App Store di Apple e poi anche da Google Play.
Chi l’ha già installato sul proprio iPhone/iPad ce l’ha ancora, ma non può scaricare aggiornamenti; chi vorrebbe installarlo sul proprio iPhone/iPad semplicemente non può.
Gli utenti Android possono ancora installare Fortnite passando dal sito di Epic Games o dal Samsung Galaxy Store (se hanno uno smartphone Samsung). Il gioco resta disponibile, almeno per ora, su PlayStation, Xbox One, Nintendo Switch, PC e Mac.
Importante: non scaricate Fortnite o suoi aggiornamenti da altre fonti, neanche se consigliate da amici. State sul sito ufficiale, Epicgames.com. I criminali informatici approfitteranno inevitabilmente della situazione e diffonderanno versioni infette del gioco.
Ma cos’è successo per scatenare questa rimozione forzata? Epic Games ha rilasciato un aggiornamento che consente ai giocatori di comprare a prezzo scontato i v-Bucks, la moneta interna del gioco, direttamente da Epic Games stessa, senza passare dai sistemi di pagamento di Apple, che si prendono il 30%. Questo è vietato dal regolamento dell’App Store, e quindi Apple ha rimosso il gioco; Google Play, invece, non esige l’esclusiva, però ha proceduto lo stesso alla rimozione di Fortnite perché comunque i giochi ospitati da Google Play devono consentire acquisti tramite l’in-app billing Google Play. Anche Google chiede il 30%.
Chiaramente è in corso una prova di forza fra Fortnite, Apple e Google. Epic Games contesta il sostanziale duopolio e ritiene che il 30% sia una commissione decisamente troppo alta; in tal senso ha depositato un’azione legale (PDF) contro Apple [2020/08/14 16:30: ora anche contro Google (PDF)].
Staremo a vedere gli sviluppi legali ed economici: per ora Epic Games sta decisamente vincendo la campagna mediatica, con un video che fa il verso a una famosissima pubblicità di Apple, che nel 1984 si presentava come la compagnia che scardinava i monopoli e ora viene presentata da Epic Games come una monopolista essa stessa.
