Il 19/10/20 11:55, Roberto Resoli ha scritto:
Appena letto sugli issues di Immuni.
In sostanza, trattando opportunamente le TEK di utenti positivi scaricabili dal server di Immuni è possibile rilanciare i relativi RPI da un device programmato ad hoc. Spostando all'indietro l'ora sui telefoni bersaglio (può essere fatto anche senza accesso fisico, utilizzando un Access Point modificato, come sottolinea chi ha ideato la cosa) questi riceveranno gli RPI fasulli e quindi, al successivo controllo, la notifica di esposizione.
Mi sembra un problema molto serio.
Vedo che l'autore è Vincenzo Iovino, ricercatore all'università di Salerno, che ha anche pubblicato al riguardo un articolo su agendadigitale.eu: https://www.agendadigitale.eu/sicurezza/privacy/replay-attack-contro-immuni-... rob
rob