il report

Contact tracing, in UK prime falle di sicurezza nell’app NHS

di |

Due esperti di sicurezza informatica hanno trovato sette pericolose falle sull'app di monitoraggio scelta dal Governo inglese. I dettagli.

L’app per tracciare i contagiati da Coronavirus nel Regno Unito ha già le prime falle di sicurezza.

Lo rivela un report pubblicato da due esperti di sicurezza informatica, Chris Culnane e Vanessa Teague, che hanno trovato sette pericolose falle sull’app di monitoraggio scelta dal Governo inglese.

Attualmente in fase di sperimentazione sull’isola di Wight, l’app dovrebbe essere distribuita nel resto del Regno Unito già dalle prossime settimane.

Come funziona l’app

Quando l’applicazione viene scaricata sul proprio smartphone viene assegnato un ID casuale che cambia ogni giorno.

L’app emana quindi attraverso il Bluetooth un segnale e, se riconosce un altro telefono con l’app scaricata, annota il numero ID di quel telefono in un registro.

Se un utente segnala attraverso di avere sintomi, il telefono invia una notifica a tutti gli altri telefoni salvati nel registro nelle ultime due settimane.

Le vulnerabilità

Secondo gli esperti le vulnerabilità presenti nell’app potrebbero consentire ai criminal hacker di intercettare le notifiche e bloccarle, o, in caso peggiore, inviare false notifiche.

Inoltre, i ricercatori hanno anche osservato che i dati non crittografati archiviati sui telefoni degli utenti potrebbero essere accessibili dalle forze dell’ordine.

Sebbene il governo del Regno Unito abbia insistito sul fatto che i dati sarebbero stati utilizzati per nient’altro che la sua risposta COVID-19, un gruppo di 177 esperti di cyber sicurezza ha già invitato il Governo a introdurre misure di protezione che proteggessero i dati dei cittadini.

Il rifiuto dell’API di Google e Apple

Il Regno Unito ha deciso di rifiutare l’API (Application Program Interface) per il contact tracing rilasciata da Apple e Google.

Questo perché Apple e Google richiedono a chiunque utilizzi la propria API di creare un’app “decentralizzata“, il che significa che tutto il trattamento dei dati rimarrà a livello locale al telefono degli utenti. Il Regno Unito ha deciso di optare per un approccio centralizzato, inserendo i dati degli utenti in un server centrale in modo da poter analizzare più facilmente i dati raccolti.

Le prime falle scoperte sull’applicazione dell’NHS potrebbero far cambiare idea al Governo inglese facendolo optare per una seconda app decentralizzata con l’API di Google ed Apple.

Come riportato dal Financial Times all’inizio di questo mese, il Governo guidato da Boris Johnson sta già lavorando su una seconda app utilizzando l’API dei giganti della tecnologia.