C’è Pollicino nel contact tracing di Apple e Google

La piattaforma di contact tracing messa a disposizione da Apple e Google per il tracciamento dei rischi di contagio da Covid ha un problema. Non si tratta di un problema particolarmente grave, ma la serietà con cui va affrontata è pari alla responsabilità che una piattaforma simile si è caricata sulle spalle. Non si tratta di un problema particolarmente pericoloso, ma andrà comunque risolto in ossequio a quelle garanzie che occorre offrire sia a garanzia della privacy degli utenti, sia per non incrinare la percezione di garanzia che il contact tracing tramite app si è guadagnata tra chi ha aderito al progetto.

Contact tracing: le tracce di Pollicino

La piattaforma ha un bug: si tratta di una sorta di disallineamento di codici che, potenzialmente, potrebbe consentire di identificare le singole identità. Ogni rete Bluetooth, infatti, ha un numero univoco che la contraddistingue (BD_ADDR) e, al tempo stesso, ogni telefono distribuisce codici casuali che si aggiornano ogni 15 minuti. Quando la mutazione dei codici non è perfettamente sincronizzata (evento che a quanto pare si verifica su una vasta percentuale di smartphone in circolazione), succede una piccola fase di sovrapposizione tra le due liste alfanumeriche che pone chiaramente in evidenza quali siano i corretti abbinamenti e permette così di avere “in chiaro” l’attività completa. Nell’immagine seguente la linea del “message” 2 è quella che pone in luce il problema.

La scoperta è firmata da Serge Vaudenay e Martin Vuagnoux e la vulnerabilità prende il nome di “Le Petit Poucet“, ossia “Pollicino”: il nome è chiaramente legato alla possibilità di inseguire gli utenti cercando le tracce che lasciano sul proprio percorso. Il problema, per loro stessa spiegazione, colpisce tanto Immuni, quanto Corona-Warp-App, quanto ancora Stopp Corona e tutte le altre app basate sul framework A/G.

Little Thumb Attack on SwissCovid from Martin Vuagnoux on Vimeo.

Nella pratica si tratta di qualcosa di complesso da intercettare e da sfruttare, ma occorrerà comunque intervenire poiché in linea teorica può consentire l’aggiramento di tutte le misure di sicurezza poste in essere con la crittografia sui codici e l’intero apparato di sicurezza su cui si basa il processo.

In qualità di soluzione software messa in piedi in emergenza, il framework non può che essere potenzialmente fallace: non esiste software che non abbia possibili problemi. In questo caso si tratta però di un codice di particolare sensibilità, quindi è richiesta una reattività particolare in caso di problemi di sicurezza come quello emerso in queste ore.

Per certi versi la situazione non è dissimile da quella di quegli stessi utenti positivi a coronavirus che anche grazie al framework si sta cercando di individuare. Il problema non è che siano trovati, anzi: l’importante, semmai, è individuarne il più possibile, isolarti e renderli innocui nei rispetti del contesto circostante. Ogni bug trovato e ogni utente positivo individuato sono un passo avanti verso una situazione garante della salute altrui. Ben venga quindi la scoperta di Vaudenay e Vuagnoux: ora tocca ad Apple e Google apportare le giuste cure al sistema.