Cronache

Occhio alle app pirata: così rubano i dati usando il Green pass

Il garante della Privacy ha aperto un'indagine contro le app pirata del Green pass che possono rubare i dati sensibili degli utenti generando finti certificati verdi autentici: ecco come funziona

Occhio alle app pirata: così rubano i dati usando il Green pass

Il garante della Privacy mette tutti in guardia: attenzione a non scaricare false applicazioni pirata per verificare la validità del Green pass e non incorrere nel rischio di vedere rubati e criptati i nostri dati sensibili.

Indagine contro le app fasulle

A tal proposito, il Garante ha avviato un'indagine sulle app pirata utilizzate per verificare il Green pass: come si legge in una nota appena pubblicata, diversi produttori e sviluppatori, anche di altri Paesi, hanno messo a disposizione sugli store on line app per la verifica del Green pass che consentono a chi le scarica, inquadrando il QR Code, di leggere dati personali come nome, cognome, data di nascita, ma perfino dosi o tamponi effettuati. In alcuni casi, le app richiedono anche una registrazione per il download e trasferiscono i dati a terzi.

"Il Garante per la protezione dei dati mette in guardia tutti gli utenti dallo scaricare queste app, che trattano dati in violazione delle disposizioni di legge, le quali stabiliscono che è l’App VerificaC19, rilasciata del Ministero della Salute, l’unico strumento di verifica delle certificazioni verdi utilizzabile per garantire la privacy delle persone". L’Autorità ha deciso di avviare anche un’indagine sulle app per Green pass non in regola, riservandosi gli opportuni interventi a tutela degli utenti. Come detto, l'unica vera app si chiama Verifica C19, funzionante con i vari sistemi operativi e riconoscibile per la "firma" del Ministero della Salute.

Quali app non scaricare

Attenzione, però: per migliaia di utenti un'app fatta bene può trarre in inganno ed essere scambiata per quella certificata del Ministero, che è unica e non c'è possibilità di errore. Chi si fa un giro su Apple store, ad esempio, troverà una marea di app anche ben quotate tra gli utenti: Green Pass Italia, COVID Certificate Check, Green Pass, Green Pass EU, COVID Certificate sono soltanto cinque esempi di quanto si trova in rete nonostante sul motore di ricerca si scriva "Verifica C19", l'unica ufficiale. Ecco, le app appena menzionate (e tante altre) non vanno scaricate, non vanno utilizzate per la verifica del Green pass per nessun motivo semplicemente perché non sono quelle ufficiali indicate dal governo. Magari non ruberanno i nostri dati, magari si, nel dubbio va utilizzata soltanto "Verifica C19", non c'è motivo per averne una diversa.

Come funzionano e perché sono pericolose

Il principio di funzionamento delle app pirata, o non ufficiali, è lo stesso di quella rilasciata dal Ministero: si inquadra il Qr Code e si vede la validità del Green pass. Tutto giusto, non fosse che all'interno di quel mosaico ci sono i nostri dati sensibili che possono essere letti e rubati da malintenzionati esattamente come accade quando arrivano finte mail, o messaggi di testo, dalla nostra banca o da altre fonti in cui veniamo "invitati" a cliccarci sopra per i più svariati motivi. Con lo stesso principio sono nate le applicazioni per il certificato verde: un esempio lampante è il "caso Hitler", dove è stato creato un Green pass con le credenziali del dittatore nazista e funziona, l'app per la verifica lo riconosce come "valido".

Questa è la prova che, anche tramite app farlocche, qualche hacker sia riuscito ad utilizzare le "chiavi private" che servono per generare e firmare i green pass: come si legge su Dday, "il sistema di sicurezza dei Green Pass si basa sul fatto che questi siano firmati con una chiave segreta che gli enti dovrebbero custodire gelosamente, chiave che rappresenta il primo elemento verificato dall’applicazione VerificaC19": se la chiave pubblica del certificato non rimanda ad uno degli enti autorizzati ad emettere il Green Pass, l’app riconosce il certificato non valido a prescindere dai dati che sono contenuti all’interno.

Se queste chiavi finiscono nelle mani di malintenzionati, si possono generare nuovi Green pass con i dati reali che vengono sottratti: a questo punto potrebbero circolare (come già accade) tantissimi green pass falsi che vengono letti dalle applicazioni come corretti.

Commenti