La società di cybersecurity Swascan sostiene di aver scoperto una falla in VerificaC19, l’app che serve per verificare la validità del Green Pass, che potrebbe rendere la vita fin troppo facile a criminali e malintenzionati in generale.

Questi ultimi, in parole povere, potrebbero avvantaggiarsene per aggirare i controlli, ma soprattutto per racimolare un bel po’ di dati personali all’insaputa dei malcapitati. Come spiegato da Pierguido Iezzi, fondatore di Swascan, ciò sarebbe possibile tramite una «modifica semplice all’app ufficiale Verifica C19: chiunque può farla e poi usare o mettere in giro la versione modificata dell’app. Con l’effetto di poter fare truffe di vario tipo».

Swascan ha condotto un’analisi tecnica finalizzata a dimostrare la fattibilità della truffa, resa possibile dalle caratteristiche del QR-code del Green Pass (o Certificazione Verde, se preferite), che dal 6 agosto sarà obbligatorio per numerose attività.

Modifica dell’app e fattibilità della truffa

Iezzi ha parlato di una falla «che di sicuro criminali e gestori senza scrupoli si affretteranno a sfruttare. Capita sempre così quando qualcosa digitale di una certa rilevanza ha una falla».

In particolare, sarebbe sufficiente una piccola modifica al codice di VerificaC19, applicazione che tutti possono scaricare liberamente, per creare un’app perfettamente identica a quella ufficiale, ma con alcune differenze. L’azienda ha fornito un’immagine prova della modifica: l’app ha accettato il pass di un fantomatico cittadino Topo Lino.

In pratica, l’app modificata potrebbe accettare qualsiasi Green Pass, inclusi quelli contraffatti; così facendo, spiega Iezzi, «il gestore di una palestra, ristorante eccetera, può risultare in regola con gli obblighi normativi in realtà però accettando pass truccati. Si potrà creare un mercato clandestino di pass illeciti e relative app che li accettano». E, in effetti, un mercato del genere esiste già.

Al netto dei potenziali enormi rischi per la salute pubblica che una falla del genere potrebbe comportare, l’altro pericolo attiene al furto di dati personali: chi facesse uso dell’app modificata, potrebbe appropriarsi di tutti quelli presenti nel QR-code del Green Pass.

Tanto per rendere l’idea, si tratta di una lista lunga e comprensiva di:

  • Data di nascita
  • Cognome
  • Codice Fiscale
  • Nome
  • ID Certificato
  • Paese di vaccinazione
  • Numero dosi effettuate
  • Data di vaccinazione
  • Emittente certificato
  • Azienda produttrice vaccino
  • Product ID vaccino
  • Numero totali di dosi (da effettuare)
  • Malattie a cui si è soggetti
  • Vaccino o Profilassi
  • JSON Schema Version
  • Emittente QR-Code
  • Scadenza QR-Code
  • Data Rilascio QR-Code

Una volta illecitamente raccolti all’insaputa dei titolari, questi dati potrebbero essere sfruttati per scopi altrettanto contrari alla legge.

Alcuni esperti sono intervenuti sulla questione aperta da Swascan per dire la propria, ad esempio Luigi Gubello ha fatto notare come «i criminali non hanno bisogno di modificare il codice originale per creare un’app che svolga attività fraudolente, gli basta clonare l’aspetto dell’originale e poi inserire ciò che preferiscono nel codice dell’app malevola. È un po’ come il phishing, non ho bisogno del codice sorgente di Facebook per farlo, mi basta clonare l’aspetto del sito e diffondere il mio sito malevolo»; aggiungendo poi che «Ai gestori non serve utilizzare app contraffatte, basta fingere di aver scansionato il codice». Su questo punto va detto, comunque, che tanto una mancata verifica quanto una “farlocca” difficilmente sfuggirebbero in caso di controlli.

Una soluzione

Swascan non ha soltanto sottolineato la presenza della falla, ma ha anche evidenziato quale sarebbe stata la soluzione attraverso le parole di Iezzi: «Per evitare il problema sarebbe bastato crittografare il QR-Code, ma le autorità hanno preferito puntare più sulla semplicità per diffondere il green pass, mettendo in secondo piano i rischi».

La soluzione potrebbe essere abbracciata in corso d’opera, tuttavia questo renderebbe necessario andare a sostituire anche tutti i Green Pass già rilasciati. Per questo motivo, per quanto la soluzione più sicura sarebbe sempre quella più auspicabile, è molto probabile, secondo Swascan, che ci troveremo a dover convivere col problema e coi potenziali rischi da esso derivanti.

Anche la soluzione prospettata è stata criticata, su Twitter, sia di Stefano Zanero (del Politecnico di Milano) sia dello stesso Gubello, con quest’ultimo che si è espresso così: «Ci sono due requisiti dell’app VerificaC19, che dev’essere open source e funzionare anche offline, previa archiviazione in locale delle chiavi pubbliche per controllare la firma del QR-Code. Se il QR-Code fosse cifrato, l’applicazione per leggerlo necessiterebbe di poterlo decifrare anche offline, e questo implica che l’algoritmo di decifratura deve essere contenuto nel codice sorgente dell’app stessa, che è un codice pubblico, quindi accessibile a chiunque. La cifratura del QR-Code quindi non aggiunge nessuna sicurezza».

Ovviamente, nessuno dei rischi e dei problemi descritti si presenterà per tutti quanti faranno uso dell’applicazione ufficiale VerificaC19. Da una parte, gli utenti avranno il compito di tenere gli occhi aperti e di assicurarsi di non aver scaricato versioni contraffatte dell’app; dall’altra, le autorità dovranno mettere in campo dei controlli serrati per verificare l’utilizzo della sola app ufficiale da parte delle attività e l’autenticità dei Green Pass esibiti.

Insomma, dopo tutte le polemiche ancora in corso e la banale truffa via WhatsApp, il Green Pass si trova di fronte ad un problema potenzialmente molto più serio.

Leggi anche: Green Pass europeo: cos’è e come ottenerlo stando attenti ai falsi

Fonte