verificac19
  • 1 anno ago
  • 2Minutes
  • 392Words
  • 121Views

A partire da oggi, non appena scatterà l’obbligo di esibire il Green Pass per l’accesso ad attività e luoghi pubblici, l’applicazione VerificaC19 sarà impiegata per eseguire milioni e milioni di scansioni dei codici QR relativi al Certificato Verde. Sappiamo come funziona e in che modo effettua il controllo tutelando la privacy del cittadino. Ora sappiamo anche che l’app VerificaC19, usata per la verifica del Green Pass, è affetta da quello che può essere definito un grave bug.

Modificare la data del dispositivo per cambiare la validità di un certificato

A portare alla luce il problema Niccolò Segato, studente di ingegneria al Politecnico di Milano, nella sezione Issues del progetto su GitHub. Riportiamo di seguito in forma tradotta la segnalazione.

Nell’applicazione è sufficiente modificare la data del dispositivo per cambiare la validità di un certificato. Ad esempio, anticipando la data del dispositivo, un certificato già scaduto può essere verificato.

È dunque sufficiente modificare la data per ottenere un esito diverso dal processo di verifica.

Dalle impostazioni di sistema è sufficiente modificare la data del dispositivo per cambiare il risultato della verifica. È stato testato con un certificato emesso 11 giorni dopo la prima dose del vaccino, quindi non ancora valido per legge. E’ stato correttamente identificato come non ancora valido dall’applicazione su un dispositivo con la data impostata nel modo giusto. Posticipandola a 15 giorni dopo la prima dose, dunque dal giorno di inizio validità del certificato, effettuando una nuova scansione restituisce esito positivo.

grave bug verifica19 data green pass

La soluzione

Quale la possibile soluzione? A fornirla è lo stesso autore della segnalazione, suggerendo l’ottenimento della data e dell’ora necessarie a eseguire il controllo da un server centrale o comunque da una fonte diversa dal dispositivo stesso.

La data e l’ora dovrebbero essere ottenute da una fonte unica e certificata, come un server governativo, anziché dal dispositivo.

Essendo l’utilizzo di VerificaC19 garantito anche offline, dunque in assenza di una connessione Internet (per un massimo di 24 ore), difficilmente potrà essere questo il rimedio senza impattare sulle modalità di funzionamento dichiarate finora.

Dovrebbe essere sufficiente il buon senso per capirlo, ma a scanso di equivoci lo mettiamo comunque nero su bianco: l’esistenza del problema non autorizza a sfruttarlo per aggirare o alterare i controlli. Doveroso sottolinearlo, considerando la necessità di includere tra le FAQ sul sito istituzionale la risposta alla domanda È possibile falsificare o manomettere una Certificazione Verde COVID-19?

contattaci