L’App Immuni

Immuni è operativa. Dopo una prima fase di test in quattro regioni, il 15 giugno l’app di contact tracing ufficiale del governo italiano è stata attivata in tutta Italia. 

da un articolo di Andrea Gadotti (*)
Valigia Blu, 17 giugno 2020

Immagine: ©OpenStreetMap contributors, CC BY-SA

Disponibile per Android e iOS, Immuni dovrebbe contribuire a tracciare i casi di possibile contagio tra la popolazione. L’app tiene traccia di tutti i contatti avuti dall’utente nelle precedenti due settimane e, se una delle persone con cui ha interagito viene segnalata come positiva al coronavirus, lo avverte del possibile rischio e fornisce alcuni consigli su come comportarsi.
Il lancio di Immuni arriva dopo mesi di indiscrezioni e discussioni, influenzate anche da un complicato contesto internazionale. Una questione centrale di questo dibattito ha riguardato la privacy: le app di contact tracing richiedono di raccogliere e inviare molti dati personali, che potrebbero rivelare informazioni sensibili sugli utenti che le installano, tra cui gli spostamenti effettuati o le persone incontrate. Alcuni di questi dati vengono persino condivisi con chiunque si trovi nelle vicinanze – inclusi sconosciuti, curiosi e malintenzionati. Ciò richiede che il protocollo usato per gestire il flusso di dati sia progettato con estrema attenzione alla sicurezza e alla protezione dei dati degli utenti.

Sviluppare un protocollo al contempo robusto ed efficiente è un compito molto arduo. Negli scorsi mesi sono state avanzate decine di proposte diverse, perlopiù da ricercatori nel campo del privacy engineering.
Tra queste, sono emersi due modelli contrapposti:
il modello centralizzato e il modello decentralizzato.
Entrambi prevedono un’entità centrale che coordina il flusso di dati, ma nel primo modello questa ha accesso a molti più dati rispetto al secondo. Per questo motivo, diversi esperti ritengono che il modello centralizzato potrebbe, in casi particolari, facilitare la sorveglianza di massa (qui un confronto del modello centralizzato e decentralizzato e qui un’analisi più tecnica dei rischi del sistema centralizzato).


Immuni ha adottato il modello decentralizzato.

L’app si basa sul framework (un insieme di funzionalità) per il contact tracing reso disponibile da Apple e Google per i sistemi operativi mobile iOS e Android. Questo framework impone l’utilizzo di un protocollo decentralizzato che, secondo la maggior parte degli esperti, offre ottime protezioni per la privacy. Il protocollo è in realtà vulnerabile ad alcuni attacchi (descritti più avanti), che sono tuttavia piuttosto complicati da attuare. Per questo, la maggior parte dei cittadini può usare Immuni senza doversi preoccupare troppo della sicurezza dei propri dati.

La decisione di adottare un protocollo decentralizzato per Immuni non era scontata: in una fase iniziale, le autorità italiane e Bending Spoons — l’azienda incaricata dal governo italiano di sviluppare l’app — sembravano orientate verso l’adozione di un modello centralizzato. Le forti critiche rivolte ai modelli centralizzati e la decisione di Apple e Google di supportare solo il modello decentralizzato hanno spinto il governo a cambiare idea. Diversi altri Stati europei, tra cui Germania ed Austria, hanno optato per un cambio di rotta simile per le loro app ufficiali. Al momento, in Europa solo Francia e Regno Unito sembrano intenzionati ad adottare un modello centralizzato per le loro app di contact tracing.
[…]

Secondo Privacy International, i sistemi centralizzati prevedono che gli utenti accordino alle istituzioni una fiducia eccessiva. La fondazione ha ricordato che alcune operazioni di sorveglianza già attuate da alcune agenzie governative europee con modalità “poco rispettose degli standard democratici e persino illegali” hanno dimostrato come questa fiducia sarebbe, allo stato attuale, immeritata. Per la tutela della privacy la fiducia riposta dagli utenti nell’autorità deve essere accompagnata dall’utilizzo della crittografia e da altre garanzie tecniche di sicurezza.
Sebbene la fiducia nelle istituzioni sia un elemento fondamentale per il funzionamento di un sistema democratico, esistono meccanismi di pesi e contrappesi finalizzati a limitarne abusi e distorsioni.
La crittografia e il privacy engineering possono fornire un ulteriore contributo in questo senso. È molto difficile progettare un sistema che richieda zero fiducia, ma la ricerca in computer security e privacy si concentra proprio sul ridurre il più possibile la quantità di fiducia necessaria e il numero di attori in cui si chiede di riporla.
[…]


Di chi ci stiamo fidando quando usiamo Immuni?

Nello sviluppo di Immuni, Bending Spoons ha dovuto trovare un compromesso accettabile tra più requisiti di tipo diverso. Tra i principali vi sono l’efficacia nell’avvisare gli utenti a rischio (e non avvertire erroneamente quelli non a rischio), il corretto funzionamento nella maggior parte degli smartphone presenti sul mercato e la protezione dei dati degli utenti. Per quanto riguarda l’ultimo punto, va riconosciuto l’impegno dell’azienda nel progettare una soluzione che minimizzi la fiducia richiesta agli utenti nei confronti di diversi attori.

Innanzitutto, agli utenti non è richiesto di riporre fiducia in Bending Spoons quando installano Immuni. Oltre a una dettagliata documentazione, anche il codice sorgente di Immuni è stato rilasciato pubblicamente sulla piattaforma GitHub con licenza open source (AGPL-3.0) e, almeno per il momento, viene aggiornato di pari passo con gli aggiornamenti dell’app sugli store di Android e iOS. Questo permette a chiunque — e, in particolare, agli esperti di sicurezza — di studiare nel dettaglio come funziona l’app e verificare che non si comporti in modo diverso da quanto dichiarato.
[…]

Ci sono diversi altri attori “secondari” che giocano un ruolo nel sistema di Immuni. Uno di questi è il gestore della CDN (content delivery network), la rete di server distribuiti sul territorio nazionale che, stando al parere del Copasir, svolgerebbe la funzione di intermediario tra gli utenti e il server di Immuni. Tale rete non sarebbe sotto il controllo diretto di SoGEI e potrebbe anzi appartenere a società estere, il che costituirebbe un potenziale rischio per la protezione dei dati degli utenti nel caso in cui il gestore della CDN analizzasse (illegalmente) il traffico prodotto dal sistema Immuni (criptare la comunicazione non è sufficiente ad azzerare il pericolo). Per ridurre questo rischio, Bending Spoons ha implementato alcuni metodi per generare dummy traffic che tentano di “ingannare” con informazioni fittizie un potenziale osservatore.

Un altro scenario delicato è quello in cui un utente viene trovato positivo al test per il coronavirus e viene invitato dall’operatore sanitario a inviare⁠, su base volontaria,⁠ alcuni dati dal suo dispositivo al server. L’operatore sanitario conosce l’identità del paziente, ma il sistema sviluppato da Immuni permette all’utente di inviare i dati in modo anonimo. Il principale atto di fiducia richiesto in questo passaggio è che l’operatore sanitario non riveli al server l’identità dell’utente: a mio avviso, un requisito più che accettabile.


Quanto possiamo fidarci di Apple e Google?

La scelta di Bending Spoons di basare Immuni sul framework proposto da Apple e Google ha generato molte polemiche. Dal punto di vista tecnico, il framework opera localmente sui dispositivi e non invia nessun dato ad Apple o Google (perlomeno nella versione attuale). Chi critica questa decisione sottolinea però che tale framework è closed source, il che rende piuttosto difficile verificare che si comporti come dichiarato da Apple e Google e vanifica di fatto la trasparenza derivante dalla natura open source di Immuni.

Sebbene queste obiezioni siano senz’altro motivate, la questione va valutata tenendo in considerazione il contesto concreto. È certamente vero che la natura closed source del framework introduce un rischio teorico di abusi da parte di Apple e Google, richiedendo di fatto un atto di fiducia di cui sarebbe auspicabile poter fare a meno del tutto, specialmente in un frangente così delicato. Tuttavia, Apple e Google non sembrano realisticamente avere sufficienti incentivi per operare in modo ingannevole e illegale in un caso come questo. Se ipotizziamo che Apple e Google siano pronte a inserire backdoor (vulnerabilità intenzionali) nei propri sistemi operativi, questo permetterebbe loro di raccogliere già ora molti dati anche più sensibili di quelli prodotti dalle app di contact tracing.

La quasi totalità dei dispositivi Android e iOS presenti sul mercato viene venduta con grandi quantità di software closed source preinstallato, in gran parte prodotti proprio da Google e Apple. Tale software opera con privilegi molto elevati sul sistema, avendo accesso praticamente a qualsiasi dato personale processato dal dispositivo (localizzazione, messaggi, chiamate, immagini, dati bancari, etc). Se Apple e Google volessero spiare segretamente gli utenti raccogliendone illegalmente i dati senza il loro consenso, avrebbero già questa possibilità. Di fatto, questo vale anche per i dati prodotti da app di contact tracing che non utilizzano il framework di Apple e Google, ma devono comunque supportare i loro sistemi operativi, che costituiscono complessivamente il 99% del mercato degli smartphone.

Riporre fiducia nel framework di Apple e Google è quindi un requisito purtroppo inevitabile, ma accettabile sul piano della privacy. Considerazioni diverse varrebbero qualora Apple e Google decidessero di modificare il framework e obbligassero a sostituire i server del Ministero con un server gestito da loro, un’evenienza da non escludere completamente, stando alle dichiarazioni ambigue delle due aziende rispetto a una possibile “fase due”.

Inoltre, riconoscere che la fiducia in Apple e Google è irrinunciabile non significa accettare che sia giusto così. Come sostenuto da tempo dagli attivisti per i diritti digitali e dai fautori del software libero, la dipendenza dalle decisioni dei “giganti del web” (Google, Apple, Facebook, Amazon e altri) compromette la protezione delle libertà individuali e mina la sovranità digitale degli Stati. Sebbene il dibattito sull’adozione delle app di contact tracing sia avvenuto in modo a tratti forzato e pretestuoso, ha avuto il merito di spingere l’opinione pubblica e la politica a riflettere ulteriormente sull’enorme potere effettivo di cui queste aziende private godono nei confronti della società e delle istituzioni pubbliche. Il codice sorgente di Immuni non è però che un esempio circoscritto di questo conflitto tra poteri contrapposti, e non è quindi il terreno di scontro più adatto per affrontarlo.


Gli attacchi a cui è vulnerabile Immuni

Nonostante gli sforzi compiuti da Bending Spoons per sviluppare un’app sicura, Immuni è potenzialmente vulnerabile ad alcuni attacchi che possono mettere a rischio sia la privacy degli utenti che l’integrità del sistema. Quasi tutte le vulnerabilità dipendono in realtà dal framework di Apple e Google, e quindi riguardano qualsiasi app basata su di esso. Gli sviluppatori di queste app hanno inoltre un ristrettissimo margine d’azione per risolvere le falle del framework. Fortunatamente, la maggior parte degli attacchi non sono facili da eseguire, ma in casi specifici e per individui particolari possono costituire una minaccia reale. Prima di entrare nel merito degli attacchi, è utile descrivere brevemente il funzionamento (semplificato) di Immuni.

(continua a leggere su https://www.valigiablu.it/app-immuni-coronavirus-analisi/)

(*) Ricercatore nel Computational Privacy Group all’Imperial College di Londra. L’articolo è stato scritto a titolo personale.

I commenti sono chiusi.

Create a website or blog at WordPress.com

Su ↑

%d blogger hanno fatto clic su Mi Piace per questo: