L’attacco è ingegnoso, anche se complicato da effettuare, perché richiede l’installazione di malware su due o più dispositivi che si trovino contemporaneamente insieme col terzo da attaccare. Ma se pensiamo di passare attraverso un malware, allora perché limitarsi a individuare l’associazione con il rolling identifier? "Da questo punto in poi, iat sarà associato ad A sino a quando A non lo cambierà.” Un malware può raccogliere ben di più e inviare tutto a un server: posizione geografica, codici bancari, tutto quello che riesce a trovare sullo smartphone. Sarei stato più colpito se l’attacco consentisse di raccogliere informazioni sul terzo dispositivo C, quello non infetto da malware. --
On 12 May 2020, at 11:08, nexa-request@server-nexa.polito.it wrote:
From: Stefano Quintarelli <stefano@quintarelli.it <mailto:stefano@quintarelli.it>> Cc: nexa@server-nexa.polito.it <mailto:nexa@server-nexa.polito.it> Subject: Re: [nexa] Privacy e contact tracing: cosa può andare storto? Message-ID: <469c6920-09db-1a0a-d192-6d00957261f1@quintarelli.it <mailto:469c6920-09db-1a0a-d192-6d00957261f1@quintarelli.it>> Content-Type: text/plain; charset=windows-1252; format=flowed
cio,
senza replicare a tutto, risalendo fino a Lo spirito delle leggi e all'ODHIR, mi concentro sul punto tecnico (*)
On 09/05/2020 21:13, Giuseppe Attardi wrote:
I rischi dell’uso dell’attuale app sono stati abbondantemente sviscerati, e per quelli sono state date delle risposte, che personalmente considero soddisfacenti.
credo che questo nn sia stato preso nella dovuta considerazione https://www.cybersecurity360.it/nuove-minacce/app-di-contact-tracing-e-vulne... <https://www.cybersecurity360.it/nuove-minacce/app-di-contact-tracing-e-vulne...>
credo anche che la mitigazione tecnica sia complicata, in ragione della scelta di base apparentemente effettuata, e che la mitigazione normativa sarebbe semplice; vediamo se sara' implementata
ciao, s.
(*) che poi e' anche il senso della mia mail prcendete in cui facevo un parallelo con la telefonia mobile e, rispetto alla polarizzazione si/no, invitavo a riflettere sul "come", peraltro con scarso successo essendomi stato risposto che una procedura che prevede che uno dichiari direttamente ai propri peer di essere positivo era commendevole, ma non cosi' un meccaismo di comunicazione anonima
-- reserve your meeting with me at https://cal.quintarelli.it <https://cal.quintarelli.it/>