HomeCronacaVerificaC19 si può modificare e duplicare. Ecco rischi e info per i...

VerificaC19 si può modificare e duplicare. Ecco rischi e info per i bar

L’anno scorso c’è stata la falsa speranza dell’App Immuni. Un flop.
Accadrà lo stesso per VerificaC19?
Speriamo: se si rivelasse solo inefficace sarebbe forse il minore dei mali. Perché qui si rischia di innescare un circuito infinito di truffe. E di ingiustizie, riciclaggio di denaro, tangenti. Che potrebbero travolgere il mondo dei bar e dell’ospitalità.

VerificaC19 non è sicura: lo dichiara il team di Swascan dopo un’analisi dettagliata del funzionamento dell’applicazione ideata per il controllo del Green Pass europeo. Senza giri di parole, i ricercatori affermano che per un criminal hacker sarebbe facile modificare l’App e raccogliere informazioni dettagliate su tamponi, dati sui vaccini et similia delle persone scansionate attraverso quel device. Avete capito?!

Significa che al momento i truffatori possono modificare facilmente VerificaC19, quindi generare e distribuire in modo arbitrario Green Pass non validi.
Ora, il soggetto che accetta il Pass (quindi pure bar e ristoranti) prenderebbe la multa se registrasse un Green Pass falsificato. Già non è poco pretendere che vengano richiesti e scansionati i Pass dei clienti, ma pensare che i professionisti dell’ospitalità si trasformino pure in controllori mi pare eccessivo. Sbaglio?

Non è tuto. L’Offensive team di Swascan ha riscontrato pure altri problemi in VerificaC19 (clicca per tutte le info):

  • I dati forniti nel QR-CODE sono probabilmente sovrabbondanti rispetto a quelli necessari alla verifica della validità del pass. Un Criminal Hacker potrebbe modificare l’app e raccogliere informazioni dettagliate su tamponi, dati sui vaccini, etc…delle persone che vengono scansionate attraverso quel device;
  • Le informazioni nel QR-CODE sono solo codificate e non cifrate. Quindi, possono essere lette da qualsiasi lettore QR-CODE grazie a uno script per decodificarle rendendole praticamente in chiaro.

Detto questo il processo di verifica della firma digitale, se effettuato con l’applicazione originale, funziona correttamente.

 

Screenshot VerificaC19 Ufficiale, crediti www.cybersecurity360.it

Ma il problema di VerificaC19 resta.
Chi può escludere che un verificatore utilizzi deliberatamente un’App modificata per accettare qualunque pass (anche fasullo) oppure per rubare dati di pass veri?

 

Nicole Cavazzuti
Giornalista freelance esperta di distillati and cocktail bar, è la prima firma in ambito mixology del mensile Mixer e collabora con VanityFair.it e Il Messaggero.it con articoli, video e foto. Giudice di concorsi di bartending, ha ideato e condotto il primo corso italiano di Spirits and Drink Communication. Da novembre 2019 è la responsabile della sezione bere miscelato e spirits del magazine di ApeTime.

Aziende • Prodotti • Servizi

VINO

Bartender

Magazine ApeTime

Installa l'APP
×
Translate »