Articles

Tracciamento dei contatti Covid-19: tra privacy e vulnerabilità

Tracciamento dei contatti Covid-19: tra privacy e vulnerabilità

23 Apr 2020

Nel momento in cui sembra di iniziare a vedere la luce in fondo al tunnel del lockdown, il dibattito pubblico si sposta su un elemento che assumerà rilevanza essenziale nel corso della tanto attesa fase due: l’applicazione per il tracciamento del contagio. 

L’utilizzo di un’applicazione che permetta di ricostruire gli spostamenti di un soggetto che sia risultato positivo al tampone crea non poche perplessità anche, e soprattutto, per quanto riguarda la tutela di diritti fondamentali quale il diritto alla privacy, garantito non solo dalla Costituzione e dall’ormai ben noto regolamento europeo sulla protezione dei dati personali (“GDPR”), ma anche dalla convenzione europea dei diritti dell’uomo.
Tuttavia va evidenziato come tutte le sovra menzionate fonti permettano di porre delle limitazioni al diritto alla privacy, quando ciò sia necessario, per tutelare un altro diritto fondamentale la cui protezione risulti avere la precedenza all’esito del bilanciamento operato tra i diritti.
In questo caso, il bilanciamento deve essere compiuto tra il diritto alla riservatezza e quello alla salute, tenendo in considerazione anche la libertà di movimento. E’ infatti chiaro che ritenendo il diritto alla salute preponderante e volendo altresì allentare le limitazioni imposte alla libertà di movimento sempre al fine di tutelare la salute pubblica, si finisce per accettare l’imposizione di limiti al diritto alla privacy.

Nella scelta dell’applicazione per il tracciamento del contagio si sono volute privilegiare caratteristiche che rendessero l’applicazione quanto meno invasiva possibile: si è infatti optato per un sistema di tracciamento volontario che non si basasse sul segnale GPS del dispositivo, ma piuttosto sull’uso del Bluetooth, in modo tale da garantire l’impossibilità di geo-localizzare i dispositivi, e quindi i cittadini, permettendo però di tenere traccia dei contatti tra questi intercorsi; inoltre, si è scelto di adottare un modello di gestione decentralizzato, in cui cioè i codici identificativi di ciascun dispositivo non vengono creati, memorizzati o gestiti da un server centrale, ma dai singoli dispositivi, al fine di garantire maggior sicurezza. Ancora non ci sono certezze, invece, per quanto riguarda il responsabile del trattamento e il periodo di conservazione dei dati, anche se si può presumere che quest’ultimo sarà quanto più limitato possibile in modo da minimizzare l’impatto sulla privacy individuale.
Una volta scelta un’applicazione che permetta di minimizzare i rischi collegati al trattamento e alla conservazione dei dati e di poter esercitare i diritti riconosciuti dal GDPR in relazione a suddetti dati, il problema sembrerebbe risolto.
Purtroppo, non è così semplice.

È stata infatti appena scoperta una vulnerabilità (CVE-2020-0022) BlueFrag, che permette l’esecuzione di codice (c.d. Remote Execution Code) attraverso lo sfruttamento di un bug presente nella tecnologia Bluetooth (Android 8, Android 9 e Android 10). A dimostrazione della vulnerabilità è stato rilascialo l’exploit zero click così chiamato in quanto sfruttabile senza alcuna interazione con l’utente, del sistema operativo Android. L’exploit è stato testato su Android 8.0 e 9.0. Molte case produttrici hanno rilasciato un aggiornamento che elimina la vulnerabilità in questione, suggerendo agli utenti di provvedere all'aggiornamento del dispositivo, altre non è detto che lo facciano in assoluto ed altre ancora forse non in tempi brevi, ma resta comunque da chiedersi quanti fino ad oggi erano a conoscenza di tale vulnerabilità e quanti dispositivi sono stati compromessi e quanti e quali dati sono o potevano essere esfiltrati.
Queste tipologie di vulnerabilità portano l’attaccante ad assumere il controllo pressoché totale del dispositivo in maniera completamente trasparente all’utente, ovvero senza che lo stesso possa riscontrare alcuna anomalia e senza la concessione di alcuna autorizzazione.

Il protocollo Bluetooth infatti, come noto, nel processo di hand-shaking accetta connessioni da parte di altri dispositivi che vogliono connettersi. Nello specifico, la maggior parte dei sistemi Bluetooth, è programmato per rispondere a pacchetti “ping bluetooth” utilizzati per la verifica dei dispositivi attivi. Anche nel caso in cui sia stata negata la possibilità di essere visibili attraverso connessioni Bluetooth, il nostro dispositivo processerà comunque le chiamate all’interno del chip incaricato di gestire dette connessioni. Questa caratteristica, opportunamente sfruttata attraverso l’invio di pacchetti formattati ad-hoc, permette all’attaccante di far eseguire codice arbitrario all’interno dei dispositivi target.
Riportiamo per completezza l’articolo con i dettagli tecnici e relativo exploit per eventuali approfondimenti. https://insinuator.net/2020/04/cve-2020-0022-an-android-8-0-9-0-bluetooth-zero-click-rce-bluefrag/

Sostanzialmente, è quindi possibile per un attaccante assumere il controllo di un dispositivo che abbia il Bluetooth attivato in maniera semplice e immediata senza destare alcun sospetto per l’ignaro proprietario.
È sicuramente vero che molti utenti adottano misure cautelari sui propri dispositivi, limitando l’attivazione delle connessioni ai momenti di effettivo utilizzo degli stessi, come ad esempio cuffie o altri dispositivi wireless, ma poniamoci nella condizione in cui la tecnologia Bluetooth diventi l’abilitatore di un sistema per il tracciamento di massa. Lo stesso potrebbe diventare un punto di compromissione di migliaia di dispositivi con relativo impatto sulla privacy e i dati dei singoli utenti. Se da una parte l’utilizzo di un’applicazione di tracciamento che si basi sulla tecnologia Bluetooth dovrebbe minimizzare l’impatto dell’adozione delle misure di controllo sui singoli, dall’altra le vulnerabilità della tecnologia utilizzata minano gli interessi e i diritti fondamentali degli stessi.

Per capire la portata di una violazione come quella fin qui analizzata, basti pensare alle conseguenze di numerosi data breach molto meno critici, dove attraverso l’acquisizione da parte degli attaccanti di sole credenziali di alcune applicazioni sia poi stato possibile risalire ad informazioni ben più critiche quali numeri di carte di credito e utenze home banking. Immaginate quindi, quali possano essere i rischi potenzialmente sottostanti una vulnerabilità come la CVE-2020-0022. Molte case produttrici hanno rilasciato un aggiornato che elimina la vulnerabilità in questione, suggerendo agli utenti di provvedere all’aggiornamento del dispositivo, ma resta comunque da chiedersi quanti fino ad oggi erano a conoscenza di tale vulnerabilità e quanti dispositivi sono stati compromessi e quanti e quali dati sono o potevano essere esfiltrati.

I rischi derivanti dall’utilizzo di un’applicazione che richiede la costante connettività dell’apparecchio attraverso la tecnologia Bluetooth sono quindi evidenti. Alla luce di quanto fin qui analizzato, si può ritenere che nel definire un corretto approccio nell’individuazione di uno strumento per fronteggiare la situazione di emergenza sanitaria, bisognerà necessariamente bilanciare le caratteristiche funzionali con il rispetto della privacy personale, focalizzandosi sull’elemento abilitatore della tutela dei diritti e dei cittadini: la sicurezza.


-Torna agli Articoli