[MontelLUG] Immuni - Sicurezza della App di Contact Tracing

[Silvia Cibola]

Buongiorno,
lasciando perdere i commenti politici e/o personali (e ce ne avrei...)
voglio lasciare qui alcuni spunti di riflessione.
A quanto ho capito le due funzionalità principali dell'app (scambio degli
identificativi con bluetooth, e upload degli identificativi in caso di
positività) sono gestiti con le api Exposure Notification di Google/Apple.
Le varie applicazioni nazionali che stanno spuntando ci mettono il front
end, la ux, e un po' di configurazione su quando notificare gli utenti,
cos'è un contatto a rischio, etc... Correggetemi se sbaglio!
La domanda allora diventa (anche), il servizio di Exposure Notification è
open source? Suppongo di no, ma anche qui correggetemi se sbaglio.
Sulla documentazione sia di immuni che delle api di notification exposure,
leggo che le chiavi scambiate vengono salvate in locale sul telefono. Chi
sa come funziona Android forse mi sa rispondere... in che modo vengono
salvate? c'è un database? Questo ipotetico db sarebbe accessibile solo
tramite le api di google oppure potrebbe essere utilizzato anche da altre
applicazioni? (sembrerebbe di no, che solo le applicazioni autorizzate da
google/apple possono usare le api, cioè al momento solo quelle ufficiali
nazionali... a meno di workaround). Come faccio a sapere se su questo db
vengano salvati altri dati oltre a quelli esposti dalle api (cioè l'id, la
data del contatto, e l'intensità del segnale utile a stimare la distanza)?
Spero che qualcuno con più tempo e skill di me abbia voglia di approfondire
perché sarei proprio curiosa.

Vent

On Tue, May 26, 2020 at 5:34 PM Odeeno via montellug <montellug a montellug.it>
wrote:

> In data martedì 26 maggio 2020 12:39:57 CEST, Samuele via montellug ha
> scritto:
> > Il 26/05/2020 09:42, diego.ml via montellug ha scritto:
> > > Ciao,
> > >
> > > segnalo che è ora disponibile il codice sorgente sotto licenza Affero
> > > GPL-3.0: https://github.com/immuni-app
> >
> > Leggendo i commenti di chi ha visionato i sorgenti, l'hanno definita
> > "presa per il cxxo".
> > Fa chiamate verso example.org o altro dominio del ministero non
> esistente.
>
> Con la conseguenza che: vengono buttati soldi per niente, perché:
> a) sono in grave ritardo sui tempi di rilascio, rispetto a quanto avrebbe
> dovuto esser messa a disposizione ed ora il virus non fa più "fifa" come
> un
> mese fa;
> b) è poco trasparente;
> quindi pochi la installeranno e non servirà a nulla. Per me dovrebbero
> interrompere subito il progetto.
> Il paese delle banane...
>
>
>
> _______________________________________________
> montellug mailing list
> montellug a montellug.it
> http://mail.montellug.it/mailman/listinfo/montellug
>
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://mail.montellug.it/pipermail/montellug/attachments/20200528/41de3ad9/attachment.html>