I ricercatori trovano il modo di correggere il difetto di privacy
Dall’inizio della pandemia di COVID-19, scienziati e autorità sanitarie si sono affidati alle tecnologie di tracciamento dei contatti per gestire la diffusione del virus. Eppure c’è un grave difetto in un framework utilizzato da molte di queste app mobili, uno che gli aggressori potrebbero sfruttare per aumentare le notifiche di falsi positivi.
Le app basate su Google/Apple Exposure Notification Framework (GAEN) sono ampiamente disponibili in molti paesi e funzionano in modo più efficiente sullo sfondo del telefono. Ma i ricercatori della Ohio State University hanno affermato di aver scoperto che queste app sono suscettibili agli attacchi di riproduzione basati sulla posizione geografica, ovvero quando una terza parte acquisisce i dati del telefono di tracciamento dei contatti trasmessi di un utente da un’area e li sfrutta trasmettendoli ripetutamente in un altro lontano. posizione lontana.
Gli attacchi Replay possono essere utilizzati per sfruttare le debolezze elettroniche per accedere alle reti digitali, causare effetti dannosi ai dispositivi mobili o avvelenare set di dati con informazioni false. Considerando quanto la società si basi su dati sanitari onesti, le cattive informazioni possono essere particolarmente dannose in termini di monitoraggio del COVID-19, ha affermato il coautore dello studio Anish Arora, professore e presidente di informatica e ingegneria presso l’Ohio State.
“Gli hacker o gli attori degli stati-nazione potrebbero potenzialmente trarre vantaggio da un utente onesto e riprodurre i propri dati di tracciamento dei contatti in qualsiasi parte del mondo”, ha affermato Arora.
Ad esempio, se qualcuno a Columbus con COVID-19 dovesse far acquisire i propri dati beacon di tracciamento dei contatti da una terza parte, le sue informazioni potrebbero essere trasmesse a una o più altre città a migliaia di chilometri di distanza e ritrasmesse ad altre vicine. Se questa persona dovesse essere diagnosticata positiva al COVID-19, qualcuno che in realtà non ha avuto alcun contatto con una persona infetta potrebbe essere avvisato di averlo fatto.
Ciò significa che gli aggressori potrebbero essenzialmente creare superspreader digitali, avviando un processo che condivide cluster di segnali di falsa esposizione in diverse aree, ha affermato Arora.
“Poiché il framework funziona come un protocollo wireless, chiunque può iniettare una sorta di falsa esposizione e quei falsi incontri potrebbero interrompere la fiducia del pubblico per il sistema”, ha affermato.
Sebbene un aumento delle notifiche di falsi positivi minerebbe il bene pubblico dietro le app di tracciamento dei contatti, il coautore Zhiqiang Lin , professore di informatica e ingegneria allo stato dell’Ohio, ha affermato che potrebbe anche avere conseguenze economiche e sociali a cascata, come causare danni alle persone perdere il lavoro o annullare le attività personali quotidiane e le vacanze programmate da tempo. Questo potenziale aumenta quando i test sono scarsi o in paesi economicamente svantaggiati che non hanno accesso ai vaccini, ha aggiunto Lin, che da oltre un decennio studia le vulnerabilità della sicurezza informatica nel software digitale.
Eppure i ricercatori sono stati in grado di trovare una patch per questo difetto fatale. “La parte più difficile è stata trovare una soluzione pratica e che non impedisse agli utenti di utilizzare l’app”, ha affermato Lin.
Il team ha ideato un prototipo basato sul framework originale di Google e Apple, che hanno chiamato GAEN+, pronunciato “Gain Plus”. Dopo averlo implementato su un dispositivo Android (il prototipo è anche facilmente trasportabile su dispositivi Apple), hanno eseguito il prototipo attraverso una serie di esperimenti per testare le sue difese contro attacchi di riproduzione dannosi. Hanno concluso che rispetto al framework di Google e Apple, GAEN+ è stato in grado di prevenire efficacemente i falsi positivi preservando al contempo la privacy degli utenti.
Il team ha presentato la propria soluzione il 12 luglio alla conferenza annuale del Privacy Enhancing Technologies Symposium (PETS) tenutasi quest’anno a Sydney, in Australia.
Lin ha affermato che, sebbene il team potrebbe non essere il primo a trovare il difetto di Google e Apple, attualmente è il primo team a dimostrare alla più ampia comunità digitale come sfruttarlo in un “modo distribuito a basso costo”. “Potrebbero aver semplicemente pensato che questo non potesse avere gravi conseguenze”, ha detto. Ma nel complesso, Lin descrive la loro modifica al protocollo di tracciamento dei contatti come “molto minima” per una difesa così forte contro potenziali attacchi.
“Il nostro miglioramento è la tutela della privacy”, ha affermato Arora. Invece di fare affidamento su dati GPS precisi come altre soluzioni proposte, GAEN+ utilizza dati di posizione grossolani da punti di accesso Wi-Fi e ripetitori di telefoni cellulari in un modo intelligente che mantiene l’anonimato, ha affermato.
Il team ha ricevuto ringraziamenti da Google per aver trovato e risolto il punto debole. Per garantire che GAEN+ sia disponibile al pubblico, il team ha inserito il codice sorgente per la correzione su GitHub, una piattaforma che ospita il codice online.
“Quando i futuri sviluppatori progettano protocolli simili, ci assicuriamo che abbiano l’opportunità di prendere in considerazione i nostri consigli”, ha affermato Arora. “Entrambe le aziende hanno realizzato un prodotto che può fare molto bene nel mondo. Vogliamo solo rendere GAEN molto più difficile da sfruttare”.
Altri coautori erano Christopher Ellis e Haohuang Wen, entrambi studenti laureati in informatica e ingegneria all’Ohio State. Questa ricerca è stata sostenuta dalla National Science Foundation.