I ricercatori Serge Vaudenay e Martin Vuagnoux hanno recentemente trovato una presunta vulnerabilità del framework di Apple e Google che metterebbe a rischio la privacy delle persone che utilizzano l’app IMMUNI, lanciata con l’obiettivo di aiutare le autorità sanitarie a contrastare il diffondersi della pandemia di COVID-19 e che ha da poco superato quota 5 milioni di download.

Il sistema di Apple e Google funziona inviando segnali tramite bluetooth LE e ogni secondo vengono inviati rapidamente quattro segnali identici che includono due informazioni: una di queste è il MAC Address del bluetooth, indispensabile per la trasmissione, l’altro è il RPI, Rolling Proximity Identifier, ossia il pacchetto contenente i dati.

Per garantire la sicurezza dei dati e per evitare che gli smartphone siano tracciati, Apple e Google fanno ruotare questi dati ogni 15 minuti: non appena cambia il MAC Address cambia anche il Proximity ID.

I due ricercatori si sono accorti che il cambio non sempre è sincronizzato e può capitare che il MAC Address cambi pochi millisecondi dopo il Proximity ID. Questo lascia una sorta di traccia che può essere teoricamente seguita, anche se in maniera estremamente difficile.

Il bug sulla privacy dell'app IMMUNI non esiste 1

Grazie ad alcuni test e alla documentazione di Google si scopre che il problema riguarda gli smartphone Android datati che risultano più lenti nel far ruotare i codici, pertanto non si può parlare di un bug della piattaforma di Exposure Notification Express, inoltre Google era al corrente della questione che ha già esaminato lo scorso luglio e considerato un problema irrisorio sotto il profilo della privacy.

Ricordiamo che l’app IMMUNI può essere scaricata gratuitamente da App Store e Play Store attraverso i link sottostanti.

Download IMMUNI da App Store | Download IMMUNI da Play Store