Circa due terzi delle applicazioni di vaccinazione digitale di prova comunemente utilizzate oggi come pass sicuri e passaporti di viaggio mostrano comportamenti che potrebbero mettere a rischio la privacy degli utenti.
I rischi sono sostanziali in quanto queste app sono necessarie per grandi popolazioni in tutto il mondo, consentendo agli hacker un’ampia base di obiettivi.
Passaporti digitali
Le app per passaporti digitali memorizzano la prova dello stato di vaccinazione COVID-19 di una persona, il nome completo, il numero ID, la data di nascita e altre informazioni di identificazione personale (PII) codificate in un codice QR o visualizzate direttamente nell’app.
Gli utenti possono quindi mostrare questo codice QR o una prova di vaccinazione quando necessario per entrare in aree considerate ad alto rischio di trasmissione virale, necessarie per viaggiare, ecc.
Gli emittenti di queste app sono in genere i dipartimenti sanitari e IT dei governi, mentre gli sviluppatori sono spesso esperti a contratto nello sviluppo di software mobili.
Il team di Symantec ha esaminato 40 app per il passaporto del vaccino digitale e dieci applicazioni di convalida (scanner) e ha scoperto che 27 soffrono di alcuni dei seguenti rischi per la privacy e la sicurezza.
Il primo tipo di problema evidenziato nel report Symantec è che molti di questi strumenti generano codici QR che non sono crittografati ma semplicemente codificati.
La codifica è un termine utilizzato per denotare la conversione dei dati, in questo caso i dati sanitari, in un formato digitale facile da scansionare ed elaborare.
D’altra parte, la crittografia trasforma i dati in una forma non leggibile utilizzando algoritmi crittografici. In questo caso, solo i soggetti autorizzati detengono la chiave per decifrare i dati e leggerli.
Facendo affidamento sulla codifica e non sulla crittografia, chiunque utilizzi un’app scanner QR su un checkpoint può decodificare i dati scansionati e dedurre dettagli personali sensibili.
Un altro problema prevalente scoperto dal team di Symantec riguarda la trasmissione on-demand dei dati sanitari dai servizi di archiviazione cloud, che non richiede una connessione HTTPS nel 38% dei casi e rende così gli utenti vulnerabili agli attacchi man-in-the-middle .
Un terzo problema riguarda le autorizzazioni di accesso alla memoria esterna su Android, che è un’approvazione rischiosa perché fornisce all’app l’accesso incondizionato ai file locali del dispositivo. Questo è stato un problema in 17 delle 40 app o il 43% del totale.
Altri rischi per la sicurezza includono le credenziali del servizio cloud hardcoded e l’assenza della convalida della CA SSL, mettendo ancora una volta a rischio i dati sensibili dell’utente.
Come ridurre al minimo i rischi
Se sei obbligato a utilizzare un’app per il passaporto vaccinale digitale, evita i portafogli di terze parti di fornitori oscuri e preferisci quelli di aziende che li controllano più vigorosamente, come Apple Health e Google Wallet.
Durante l’installazione, prestare attenzione alle autorizzazioni richieste ed evitare di concedere quelle che sembrano rischiose o non sono direttamente rilevanti per le funzionalità principali dell’applicazione. Se l’app è legittima, dovrebbe continuare a svolgere il suo scopo anche con autorizzazioni parziali.