Secondo quanto riferito, la chiave privata utilizzata per firmare i certificati digitali Covid dell’UE è stata trapelata e viene distribuita su app di messaggistica e mercati di violazione dei dati online.
La chiave è stata anche utilizzata in modo improprio per generare certificati falsi, come quelli per Adolf Hitler, Topolino, Sponge Bob, tutti riconosciuti come validi dalle app ufficiali del governo.
Il certificato Digital Covid, o “Green Pass”, aiuta i residenti dell’Unione Europea a viaggiare attraverso i confini senza soluzione di continuità dimostrando di essere stati vaccinati contro il COVID-19, di aver ricevuto un risultato del test negativo o di essere guariti con successo dal COVID-19.
Certificato Covid ‘Adolf Hitler’ valido generato
Questa settimana, gli utenti hanno riferito di aver visto la chiave privata per i certificati EU Digital Covid che circolano su app di messaggistica, come Telegram.
La chiave privata viene utilizzata per firmare il “Green Pass”, l’equivalente dell’Unione Europea di un passaporto per i vaccini e/o la prova dello stato di COVID-19 negativo che può aiutare i viaggiatori ad attraversare le frontiere senza problemi.
“Su vari gruppi (Telegram principalmente) stanno circolando diversi Green Pass contraffatti con firma valida… C’è la possibilità che un database di chiavi private sia compromesso e questo potrebbe [finire] in una rottura della catena di fiducia nel Green Pass architecture”, ha dichiarato Emanuele Laface, utente di GitHub.
Gli attori delle minacce che possono mettere le mani sulla chiave privata potrebbero facilmente falsificare certificati digitali o codici QR che potrebbero poi essere riconosciuti come “legittimi” dalle app ufficiali del governo.
È il caso di un falso certificato Adolf Hitler Green Pass che viene riconosciuto valido dalle app ufficiali Verifica C19, secondo il tester di penetrazione reversebrain :
Try to scan this QR code with the official government APP “Verifica C19”
2/3 pic.twitter.com/2y65c4vsc9
— reversebrain (@reversebrain) October 26, 2021
Il tester di penetrazione ha successivamente riferito che i certificati falsi non venivano più riconosciuti dalle app Verifica C19 del governo, indicando che la chiave privata trapelata era stata revocata.
Tuttavia, i test di BleepingComputer condotti oggi rivelano che entrambe le versioni Android e iOS dell’app Verifica C19 stanno ancora trattando come valido il codice QR per il certificato Adolf Hitler:
I nostri test sono stati condotti tramite la versione 1.1.5 dell’app Verifica C19, rilasciata il 19 ottobre su Google Play e il 26 ottobre sull’App Store di Apple .
Inoltre, i certificati falsi per “Topolino”, “Sponge Bob” e altri personaggi di fantasia sono stati riconosciuti con successo dall’app, come visto da BleepingComputer.
Passaporti di vaccinazione UE in vendita per $ 300
BleepingComputer ha anche osservato più utenti che pubblicano chiavi private su forum sotterranei e discutono metodi per “far passare l’UE verde”.
“Recentemente l’Unione Europea sta rendendo obbligatorio il green pass per molte attività, vedo che ci sono diversi siti che possono leggere perfettamente il QR code decrittandolo, volevo sapere se qualcuno è in grado di ricodificare i dati e generare QR code in breve, genera un falso pass verde”, ha chiesto un membro del forum.
Alcuni commercianti offrono “passaporti europei Covid con l’ingresso come vaccinati in Polonia”, ciascuno al prezzo di $ 300.
I codici QR contenuti nei certificati digitali COVID dell’UE includono una firma digitale per proteggerli dalla loro falsificazione. Quando il certificato viene verificato utilizzando le app ufficiali, il codice QR viene scansionato e la firma viene verificata.
I documenti ufficiali del governo affermano che ogni ente emittente, come un ospedale, un centro di test, un’autorità sanitaria, ha la propria chiave di firma digitale. Tutte queste chiavi private sono archiviate in un database sicuro in ogni paese.
Ma non è nemmeno chiaro se il compromesso chiave abbia un impatto su ogni singolo paese dell’UE o sugli organismi emittenti solo da paesi selezionati.
Secondo i dati del codice QR visti da BleepingComputer, i certificati falsi che circolano online sono stati emessi da diversi paesi: Francia, Germania, Italia, Paesi Bassi, Macedonia del Nord, Polonia e così via, indicando che il problema potrebbe avere un impatto sull’intera UE.
Governo Ue a conoscenza e indaga sull'”atto doloso”
Il fatto che chiunque sia in grado di falsificare certificati COVID crittograficamente validi mette in discussione l’autenticità anche dei certificati legittimi emessi dagli organismi governativi dell’UE.
In tal caso, la chiave privata dovrebbe essere revocata dalle autorità governative per l’intera UE, invalidando così sia i certificati COVID falsi che quelli legittimi.
Pertanto, quando la situazione sarà risolta e le chiavi private verranno ripristinate, i titolari di certificati digitali Covid UE legittimi molto probabilmente dovranno generare nuovi Green Pass.