Grazie Stefano per l'articolata risposta. Ero consapevole (e l'avevo anche citato nel post) che il Garante della Privacy aveva osservato che l'adesione doveva essere volontaria, ma come lui stesso ha osservato serve avere almeno il 60% dei cittadini che la usano e quindi quel "pretendere" non era inteso in senso legale ma come "prerequisito" per il funzionamento del tutto. È vero, come osservi, che tutti i software sono in qualche modo bacati (chi più chi meno) ma appoggiare, per questa situazione di emergenza sanitaria, una soluzione di massa (che ha comunque bisogno per funzionare di tutta di una serie di misure di contorno - come hanno osservato lo stesso Garante e le varie organizzazioni internazionali citate alla fine del mio post) su una tecnologia che ha dimostrato nel corso degli anni di non avere le spalle robuste rispetto alla sicurezza mi sembra una scelta che, anche se "tecnicamente" interessante, sia da rigettare dal punto di vista sociale e politico. Per quanto riguarda Bluetooth questa descritta qua https://insinuator.net/2020/02/critical-bluetooth-vulnerability-in-android-c... è una vulnerabilità che permette ad un attaccante di entrare, installare malware e rubare dati. Basta conoscere semplicemente il Bluetooth MAC address per ottenere l'accesso al dispositivo Certo, è stata sistemata con una release di Android di Febbraio 2020, ma vogliamo davvero poggiare la privacy dei cittadini sulla certezza che hanno tutti aggiornato il proprio smartphone??? Buona Pasqua anche a te! Ciao, Enrico Il 10/04/2020 16:23, Stefano Quintarelli ha scritto:
Ciao Enrico,
tu scrivi:
"Pretendere però che tutti i cittadini vadano in giro con il Bluetooth (o altra tecnologia) costantemente disponibile per comunicare è secondo me equivalente a chiedere loro di non chiudere a chiave la porta di casa perchè deve passare il dottore per una visita medica. Nel mondo reale equivarrebbe ad esporre le case di tutti i cittadini ad un elevato rischio di intrusione. "
premesso che il garante dice che dovrebbe essere opt-in, la stessa "pretesa" nei confronti di quelle persone che decidono di installarsi un'app che usa il bluetooth la hanno anche, nei confronti di quelle persone che decidono di usare auricolari bluetooth, i produttori di tali auricolari... alla fine e' la persona che decide...
al link sulle /forti vulnerabilita'/ che inserisci nell'articolo si elencano tutte vulnerabilita' (tranne una) che generano DOS, non che consentono l'accesso. Quindi, la analogia piu' precisa, non sarebbe "esporre le case di tutti i cittadini ad un elevato rischio di intrusione." ma "esporre le case di tutti i cittadini [che decidono di farlo] al rischio di ricevere un carico di letame sul vialetto di accesso"... ;-)
per quell'uno ("tranne una") si dice anche che "Some of the affected products include the 2018 smartwatch lineup from FitBit, Eve Systems smart home products, the CubiTag Bluetooth tracker, and the eGee Touch smart luggage lock."
ciao, s.
p.s. l'articolo originale del ricercatore e' questo https://asset-group.github.io/disclosures/sweyntooth/
giustamente scrivi che "come da molto tempo è noto", questa famiglia di vulenrabilita', disclosed a settembre 2019, ha gia' avuto molte patch da parte dei produttori dei chip coinvolti.
in particolare, il bug che consente di intrudere, avviene durante una oeprazione di "secure pairing" (che tanto secure non è). Ovvero, se non fai pairing non sei esposto. Quindi, volendo rimanere all'analogia', sarebbe come chiedere di fare entrare in casa un infermiere salvo poi scoprire che era un malfattore e l'ambulanza davanti a casa era finta. Ma nessuna delle app in questione chiede di fare entrare alcunchi, nemmeno un dottore. Rectius, di fare qualsiasi pairing, nemmeno secure.
poi, che l'informatica produca uno sterminio di vulnerabilita', non credo sorprenda nessuno in questa lista. Io uso come client di email Thunderbird (che credo usi anche tu), che ha 980 vulnerabilita' segnalate... https://nvd.nist.gov/vuln/search/results?form_type=Basic&results_type=overvi...
Buona Pasqua!
On 10/04/2020 14:29, Enrico Nardelli wrote:
Alcune riflessioni sull'impatto delle soluzioni digitali di tracciamento dei contatti che secondo me vengono trascurate. https://link-and-think.blogspot.com/2020/04/problematiche-del-tracciamento-d...
Ogni commento è benvenuto.
-- EN
===================================================================== Prof. Enrico Nardelli Dipartimento di Matematica - Universita' di Roma "Tor Vergata" Via della Ricerca Scientifica snc - 00133 Roma tel: +39 06 7259.4204 fax: +39 06 7259.4699 mobile: +39 335 590.2331 e-mail: nardelli@mat.uniroma2.it home page: http://www.mat.uniroma2.it/~nardelli blog: http://www.ilfattoquotidiano.it/blog/enardelli/ http://link-and-think.blogspot.it/ =====================================================================
-- EN ===================================================================== Prof. Enrico Nardelli Dipartimento di Matematica - Universita' di Roma "Tor Vergata" Via della Ricerca Scientifica snc - 00133 Roma tel: +39 06 7259.4204 fax: +39 06 7259.4699 mobile: +39 335 590.2331 e-mail: nardelli@mat.uniroma2.it home page: http://www.mat.uniroma2.it/~nardelli blog: http://www.ilfattoquotidiano.it/blog/enardelli/ http://link-and-think.blogspot.it/ ===================================================================== --