On 13 Sep 2020, at 12:00, nexa-request@server-nexa.polito.it wrote:

Date: Sat, 12 Sep 2020 20:16:05 +0200
From: Roberto Resoli <roberto@resolutions.it>
To: nexa@server-nexa.polito.it
Subject: Re: [nexa] Privacy Bug Found in Apple, Google COVID-Tracing
Framework
Message-ID: <8A70ADE4-C07D-427D-9453-616E5949D272@resolutions.it>
Content-Type: text/plain; charset=utf-8

Il 12 settembre 2020 19:48:32 CEST, Roberto Resoli <roberto@resolutions.it> ha scritto:
Il 12 settembre 2020 19:28:30 CEST, Antonio Iacono <antiac@gmail.com>
ha scritto:
https://decrypt.co/40765/privacy-bug-found-apple-google-covid-tracing-framework

Mmm... devo ancora leggere tutto, ma:

"The Google/Apple framework is proprietary and closed-source."

e invece mi risulta che il sorgente sia disponibile dal 26 Luglio:
https://github.com/google/exposure-notifications-internals

Come riportato in uno dei commenti all'articolo, pare che la cosa fosse già nota, ma non considerata un rischio apprezzabile, perchè il periodo in cui è possibile collegare due mac non supera mai un periodo di emissione dei RPI (10 min):

https://github.com/google/exposure-notifications-internals/blob/main/README.md#ble-mac-and-rpi-rotation

L'attacco viene assimilato ai sassolini di Little Thumb, che però erano persistenti, mentre in questo caso le tracce sono evanescenti.