Categorie
Coronavirus

L’app “Immuni” e relativi rischi alla privacy

Ancora in fase di sperimentazione, l’app Immuni per il tracciamento dei contagi da Coronavirus è già vittima di enormi polemiche, più orientate sulle modalità di appalto e sulla composizione della società vincitrice che a dare qualsiasi tipo di spiegazione tecnica. Scopo di questo articolo è quindi fare chiarezza sull’effettivo funzionamento dell’app e sulle minacce alla privacy che può provocare.

Come funziona?

L’app dovrebbe funzionare utilizzando l’antenna Bluetooth presente in ogni smartphone ed effettuando costanti scansioni per individuare tutti i dispositivi all’interno del raggio d’azione. Durante queste scansioni, ogni dispositivo invia un Hash ovvero un identificatore pseudo-casuale, generato a partire da un identificatore univoco del dispositivo e diverso ogni giorno.

L’app “Immuni” altro non deve fare che salvare tutti questi identificatori e l’ora in cui sono avvenuti. Se qualcuno venisse accertato come infetto, tutti i suoi identificatori dei 14 giorni precedenti vengono pubblicati, e ogni cellulare li cerca tra i contatti avuti in quel periodo temporale, segnalando al proprio proprietario eventuali contatti con infetti. Questo lo scenario ideale, almeno secondo l’attuale bozza del consorzio DP-3T.

Si usano le funzioni di Hash in quanto la loro peculiarità è il fatto di non essere invertibili: conosciuti codice dispositivo e giorno si può facilmente calcolarne l’identificatore, mentre il contrario è assolutamente impossibile. In altre parole, se A incontra B sia oggi che domani, il cellulare di A non sa di aver incontrato la stessa persona due volte dato che riceverà due identificatori diversi e non sarà in grado di calcolare a chi appartengono.

Bisogna inoltre specificare poi che il Bluetooth è un tipo di trasmissione radio a bassa potenza pensato per i dispositivi personali come auricolari senza fili, autoradio o smartwatch e di conseguenza il suo raggio teorico è di pochi metri in linea d’aria, mentre quello pratico ancora meno.

I rischi alla privacy che può comportare

In questo articolo viene usato il periodo ipotetico in quanto l’app in questione non è ancora stata pubblicata, e di conseguenza è impossibile fare un’analisi concreta e fondata. Ciò che è possibile fare è cercare di anticipare le minacce, definendo quello che dovrebbe essere il comportamento ideale.

Per prima cosa, bisogna sempre ricordare che installare un’app equivale a far entrare qualcuno in casa nostra. E se l’app in questione non è Open Source (e a quanto pare non lo sarà), equivale a far entrare qualcuno in casa nostra senza poter vedere cosa fa. Per questo chiediamo a gran voce che il codice sorgente sia reso pubblico, ovvero di poter controllare esattamente il funzionamento dell’app analizzando il codice sorgente riga per riga.

Secondo lo stesso principio, l’app non deve richiedere né avere accesso ad alcuna funzione accessoria dei dispositivi: né al microfono, né alla posizione, né alla memoria e alle fotografie. Questo secondo la regola generale per cui un’app che chiede autorizzazioni non necessarie è un’app malevola, visto che in questo caso è necessario solo il Bluetooth.

Ogni antenna Bluetooth poi ha un proprio numero di serie univoco, assegnato dal produttore e non modificabile, che identifica ogni dispositivo, esattamente come il numero di telaio delle auto. Oltre a questo numero, di solito a ogni dispositivo è associato un nome modificabile dall’utente (ad esempio, “Iphone di Antonio”) per identificare più facilmente i dispositivi. Entrambi questi dati sono trasmessi costantemente da un dispositivo all’altro quando si trovano sufficientemente vicini.

Di conseguenza, un entità malevola con antenne (che hanno la dimensione di una moneta) diffuse sul territorio può tracciare gli spostamenti di tutti i dispositivi all’interno di esso. Se poi riesce ad associare un identificativo ad una persona (facile in luoghi poco affollati, basta), l’attaccante sarà in grado di de-anonimizzare il dispositivo e sapere chi è stato infettato.

Inoltre, i dati collezionati devono essere anonimi durante la raccolta. Per tracciare i contatti infatti non c’è bisogno di associare un dispositivo con una persona, basta far comparire una notifica “sei potenzialmente stato infettato, rivolgiti al tuo medico al più presto” a chi ha avuto contatti con infetti accertati. In carico del tracciamento dei contatti infatti deve essere l’Autorità Sanitaria, e non un’azienda privata, il cui scopo è solo di fornire la piattaforma.

Se proprio ci fosse bisogno di associare un dispositivo a una persona, i dati relativi devono essere custoditi solo ed esclusivamente dallo Stato, protetti con i più elevati standard di sicurezza militari, e non devono essere disponibili a un’azienda privata per nessun motivo. Si tratta di dati sulla salute, forse la categoria più sensibile di tutte, preziosissima.

Conclusioni

La questione del tracciamento degli infetti è estremamente delicata dal punto di vista della privacy. Possono presentarsi infatti degli enormi rischi di fuga di dati sensibili che potrebbero finire nelle mani di aziende private.

Tenere il Bluetooth sempre accesso è una cattiva pratica dal punto di vista della privacy e della sicurezza, nonostante molta gente lo faccia ugualmente, perchè permette a un attaccante di tracciare i nostri spostamenti usando antenne nascoste.

In ogni caso, si è visto come il risultato finale può essere molto variabile a seconda delle scelte progettuali che saranno fatte. Eseguiremo un’analisi più approfondita una volta che l’app sarà disponibile.