Un ricercatore di sicurezza ha segnalato una vulnerabilità che mette a rischio i risultati di un Covid test casalingo basato su Bluetooth. L’importanza del bug non è relativa tanto alla questione pandemica ed a riprova di questo v’è la segnalazione della casa produttrice secondo cui non è noto che al momento vi sia stata alcuna manomissione registrata. L’importanza, semmai, è relativa all’esistenza stessa di dispositivi in grado di restituire risultati certificati, ma il cui processo non è stato adeguatamente validato. Questa fragilità, infatti, mette a rischio l’esistenza stessa di device di questa natura, poiché diventano facilmente strumenti di falsificazione nelle mani di malintenzionati.
Il prodotto in questione è un tester Cue Health: una volta effettuato il prelievo nasale del campione da analizzare, il lettore si occupa di effettuarne la disamina per poi inviare allo smartphone la risultante. Se il tester è progettato per una corretta analisi ed una corretta produzione del messaggio di positività o di negatività, lo smartphone potrebbe però ricevere un feedback sbagliato se un eventuale “man in the middle” è in grado di intercettare il segnale e modificarne anche solo un singolo elemento.
10 02 diventa 10 03
Secondo quanto spiegato dai ricercatori F-Secure, infatti, un risultato positivo termina con i caratteri “10 02”, mentre un risultato negativo termina con “10 03”. Cambiando l’ultima cifra del segnale, insomma, si modifica radicalmente il significato complessivo e si ottiene una “semplice” contraffazione del test. F-Secure spiega che in realtà il trick non è facilmente replicabile, ma se il problema fosse emerso pubblicamente si sarebbero potuti sviluppare facili applicativi in grado di applicare l’exploit. La vulnerabilità è stata segnalata alla casa madre, la quale spiega di aver corretto il problema effettuando un check server-side finalizzato a verificare l’integrità del codice e l’assenza di qualsivoglia manipolazione.
Il caso specifico è dunque risolto, ma non si tratta di un unicum: già in precedenza un altro prodotto similare aveva manifestato simile problema, evidentemente sottovalutato sia in sede di progettazione che in fase di certificazione sanitaria. In questi casi, però, la sicurezza informatica e la certificazione della FDA (il test era in uso negli States) debbono giocoforza andare mano nella mano, poiché interdipendenti ed entrambe funzionali alla bontà del risultato finale. La ricerca, dunque, ha messo in evidenza un’evoluzione necessaria ed in futuro, in presenza di nuovi eventi che possano portare allo sviluppo di test e strumenti massivi basati sulla tecnologia, sarà fondamentale la correttezza delle procedure di verifica utili a blindare il risultato finale degli screening in atto.