Green pass di Hitler, la colpa è stata di un'app non protetta
Sembra essere stata chiarita la vicenda dei falsi QR che venivano accettati dalle app di verifica: a essere compromessa sarebbe stata l'interfaccia web utilizzata per la generazione manuale dei certificati verdi europei
La vicenda dei falsi Green pass intestati a Hitler diffusi in rete come prova dell'avvenuto furto delle chiavi necessarie per generare i certificati sembra essere finalmente stata chiarita. Secondo quanto riportano testate specializzate, infatti, le chiavi non sono state rubate. Ma la realtà è forse addirittura peggiore: l'interfaccia web utilizzata per generare manualmente i QR code europei era infatti accessibile senza protezioni adeguate.
Quindi se il "semplice" furto delle chiavi, benché gravissimo, si sarebbe potuto "arginare" annullando quelle chiavi e tutti i Green pass da loro generati (quindi non solo quelli abusivi ma anche quelli leciti), in questo caso la questione è più complessa.
In sostanza, spiega Dday.it, a essere compromessa è stata l'interfaccia open-source (esposta su un indirizzo internet della Macedonia) utilizzata per accedere al server di backend (sul quale risiedono le chiavi per firmare il certificato generato): questa applicazione, prima di emettere realmente il certificato (del quale resterebbe traccia sui server), ne genera una preview che può, nelle intenzioni, essere utilizzata per verificare che il codice funzioni regolarmente. Ed è stato proprio questo QR di preview a essere stato emesso a nome di Hitler: funziona, è valido (perché è "firmato" dall'applicazione europea), ma ufficialmente non è mai stato emesso e quindi nessuno sa che esiste.
La complicazione sta quindi nel fatto che se dei Green pass di Hitler pubblicati online si poteva risalire alle chiavi utilizzate e bloccarle, il rischio è che questa clamorosa falla del sistema abbia consentito di generare chissà quante migliaia di Green pass fraudolenti che vengono però accettati in tutta Europa perché regolarmente "firmati" dal server. E quindi non basta più bloccare le chiavi utilizzate per generare i QR di Hitler, perché nessuno sa se ne siano state utilizzate altre (e quali) per generare QR fasulli che cittadini europei stanno usando regolarmente. E anche se la "falla" sarà verosimilmente chiusa a breve, non è possibile sapere se abbia realmente consentito di generare un solo, oppure dieci, oppure milioni di falsi Green pass. L'unica soluzione certa sarebbe quella di annullare tutti i Green pass emessi in Europa e riemetterli, ma è ovviamente una strada impraticabile
Quanto inserito fra l'1.00 e le 8.00 verrà moderato a partire dalle ore 8.00
Nessun commento
Metti il tuo like ad un commento
Sarà pubblicato al più presto sul nostro sito, dopo essere stato visionato dalla redazione
Il commento verrà postato sulla tua timeline Facebook
I commenti in questa pagina vengono controllati
Ti invitiamo ad utilizzare un linguaggio rispettoso e non offensivo, anche per le critiche più aspre
In particolare, durante l'azione di monitoraggio, ci riserviamo il diritto di rimuovere i commenti che:
- Non siano pertinenti ai temi trattati nel sito web e nel programma TV
- Abbiano contenuti volgari, osceni o violenti
- Siano intimidatori o diffamanti verso persone, altri utenti, istituzioni e religioni
- Più in generale violino i diritti di terzi
- Promuovano attività illegali
- Promuovano prodotti o servizi commerciali