A partire da domani, non appena scatterà l’obbligo di esibire il Green Pass per l’accesso ad attività e luoghi pubblici, l’applicazione VerificaC19 sarà impiegata per eseguire milioni e milioni di scansioni dei codici QR relativi al Certificato Verde. Sappiamo come funziona e in che modo effettua il controllo tutelando la privacy del cittadino. Ora sappiamo anche che è affetta da quello che può essere definito un grave bug.
Un grave bug per l’applicazione VerificaC19
A portare alla luce il problema è stato Niccolò Segato, studente di ingegneria al Politecnico di Milano, nella sezione Issues del progetto su GitHub. Interessa la versione in download sui dispositivi Android, non quella per iOS. Riportiamo di seguito in forma tradotta la segnalazione.
Nell’applicazione
Androidè sufficiente modificare la data del dispositivo per cambiare la validità di un certificato. Ad esempio, anticipando la data del dispositivo, un certificato già scaduto può essere verificato.
È dunque sufficiente modificare la data per ottenere un esito diverso dal processo di verifica.
Dalle impostazioni di sistema è sufficiente modificare la data del dispositivo per cambiare il risultato della verifica. È stato testato con un certificato emesso 11 giorni dopo la prima dose del vaccino, quindi non ancora valido per legge, quindi correttamente identificato come non ancora valido dall’applicazione su un dispositivo con la data impostata nel modo giusto. Posticipandola a 15 giorni dopo la prima dose, dunque dal giorno di inizio validità del certificato, effettuando una nuova scansione restituisce esito positivo.
Quale la possibile soluzione? A fornirla è lo stesso autore della segnalazione, suggerendo l’ottenimento della data e dell’ora necessarie a eseguire il controllo da un server centrale o comunque da una fonte diversa dal dispositivo stesso.
La data e l’ora dovrebbero essere ottenute da una fonte unica e certificata, come un server governativo, anziché dal dispositivo.
Essendo l’utilizzo di VerificaC19 garantito anche offline, dunque in assenza di una connessione Internet (per un massimo di 24 ore), difficilmente potrà essere questo il rimedio senza impattare sulle modalità di funzionamento dichiarate finora.
Dovrebbe essere sufficiente il buon senso per capirlo, ma a scanso di equivoci lo mettiamo comunque nero su bianco: l’esistenza del problema non autorizza a sfruttarlo per aggirare o alterare i controlli. Doveroso sottolinearlo, considerando la necessità di includere tra le FAQ sul sito istituzionale la risposta alla domanda È possibile falsificare o manomettere una Certificazione Verde COVID-19?
.
Aggiornamento: come segnalato da un lettore, che ringraziamo, il problema interessa anche l’edizione iOS dell’app.