A partire da domani, non appena scatterà l’obbligo di esibire il Green Pass per l’accesso ad attività e luoghi pubblici, l’applicazione VerificaC19 sarà impiegata per eseguire milioni e milioni di scansioni dei codici QR relativi al Certificato Verde. Sappiamo come funziona e in che modo effettua il controllo tutelando la privacy del cittadino. Ora sappiamo anche che è affetta da quello che può essere definito un grave bug.
Un grave bug per l’applicazione VerificaC19
A portare alla luce il problema è stato Niccolò Segato, studente di ingegneria al Politecnico di Milano, nella sezione Issues del progetto su GitHub. Interessa la versione in download sui dispositivi Android, non quella per iOS. Riportiamo di seguito in forma tradotta la segnalazione.
Nell’applicazione
Androidè sufficiente modificare la data del dispositivo per cambiare la validità di un certificato. Ad esempio, anticipando la data del dispositivo, un certificato già scaduto può essere verificato.
È dunque sufficiente modificare la data per ottenere un esito diverso dal processo di verifica.
Dalle impostazioni di sistema è sufficiente modificare la data del dispositivo per cambiare il risultato della verifica. È stato testato con un certificato emesso 11 giorni dopo la prima dose del vaccino, quindi non ancora valido per legge, quindi correttamente identificato come non ancora valido dall’applicazione su un dispositivo con la data impostata nel modo giusto. Posticipandola a 15 giorni dopo la prima dose, dunque dal giorno di inizio validità del certificato, effettuando una nuova scansione restituisce esito positivo.
Quale la possibile soluzione? A fornirla è lo stesso autore della segnalazione, suggerendo l’ottenimento della data e dell’ora necessarie a eseguire il controllo da un server centrale o comunque da una fonte diversa dal dispositivo stesso.
La data e l’ora dovrebbero essere ottenute da una fonte unica e certificata, come un server governativo, anziché dal dispositivo.
Essendo l’utilizzo di VerificaC19 garantito anche offline, dunque in assenza di una connessione Internet (per un massimo di 24 ore), difficilmente potrà essere questo il rimedio senza impattare sulle modalità di funzionamento dichiarate finora.
Dovrebbe essere sufficiente il buon senso per capirlo, ma a scanso di equivoci lo mettiamo comunque nero su bianco: l’esistenza del problema non autorizza a sfruttarlo per aggirare o alterare i controlli. Doveroso sottolinearlo, considerando la necessità di includere tra le FAQ sul sito istituzionale la risposta alla domanda È possibile falsificare o manomettere una Certificazione Verde COVID-19?
.
Aggiornamento: come segnalato da un lettore, che ringraziamo, il problema interessa anche l’edizione iOS dell’app.
Fonte: GitHub
-
A me si è presentato un altro problema: il certificato di mio padre, regolarmente vaccinato, risulta come non valido; ho chiamato il 1500 e, dopo verifica, non risulta alcun problema. Come ovviare a questo problema?Suo padre potrebbe essere stato tamponato successivamente alla vaccinazione (magari in ospedale per una visita), in questo modo avrebbe ottenuto un secondo authcode per un cetificato di durata limitata a quella del tampone.Disinstalla e reinstalla...E' il lettore di dgr-code dell'app. a fare pietà. Non scansisce bene la grammatura bassa degli A4. Con stampe in tempo reale dal Sito del Ministero del mio Green Pass nell'ufficio del ristoratore che voleva vederci chiaro (ben 4 stampe), l'app. restava imballata. Ha dato ok al certificato solo quando l'ho scaricato tramite Immuni e la scansione è avvenuta tramite schermo. Il ristoratore hs voluto un verbale dei carabinieri ed ha interrotto i controlli alla porta. Dietro di me c'erano almeno 20 persone con lo stesso problema.Mio padre essendo che ha preso il covid le anno fatto una sola dose di vaccino e non risulta valido come devo fare
Disinstalla e reinstalla...
Sfruttare il problema per aggirare i controlli? E come, scusate? Io posso modificare l'ora del MIO dispositivo, ma il MIO certificato sarà controllato dal dispositivo DEL [ristoratore, capotreno, agente del gate, ecc. ecc. ecc. ecc. ecc.]. Quindi è nell'interesse di CHI CONTROLLA avere la data settata correttamente per evitare FALSI NEGATIVI, cioè certificati che sono VALIDI ma erroneamente giudicati NON VALIDI. Fermo restando che mi aspetto orde di... imbroglioni (non furbi)Perfettamente corretto. Sinceramente questi articoli sul green pass ultimamente mi hanno lasciato un po' perplesso. Se il controllore (es. gestore ristorante) vuole "barare" e considerare il tuo green pass valido quando non lo è, gli basta dire "perfetto, valido, entri pure!" invece del contrario. Non ha nessun bisogno di sfruttare un bug sul suo dispositivo, perché l'unica persona a cui il dispositivo comunica il risultato del controllo è IL CONTROLLORE STESSO! Non lo Stato, non la Regione, nessun altro. Quindi nel considerare questo un bug, sia chi lo segnala, sia, purtroppo, Punto Informatico, mi pare non capiscano come funziona tutti il sistema... pur avendo "sbraitato" contro altri che non l'avevano capito. :-\Ma che bug sarebbe? Se chi ti controlla è in mala fede, fa prima a farti entrare senza chiederti nulla piuttosto che mettersi a cambiare l'ora e far finta che il tuo certificato sia valido. Il sistema funziona se si assume che chi verifica sia affidabile.è un bug punto e come tale va risolto. Ci potrebbe essere anche l'eventualità che per qualche ragione (virus, app malevole o altro) e non mala fede, il dispositivo abbia una data non sincronizzata...letto con l'app tutte e 4 i grenn pass della mia famiglia. ce ne fosse uno valido. anche leggendo i qrcode dirrettamente dal sito del governoIl GP diventa valido dopo 15 giorni dalla prima dose. Hai controllato che il tempo fosse trascorso?Le stampanti a getto d'inchiostro sono notoriamente inadatte alla STAMPA dei codici QR, come pure dei codici a barre (1 of 9). La loro precisione di stampa è inferiore ai 0,254 mm richiesti per i codici a barre e codici QR. Occorre stampare con laser o altra termica (es: sublimazione)Idem: per ora ho solo letto certificati validi della mia famiglia e tutti sono letti come non validi. Lo ritengo un bug potenzialmente più critico: si spera nella intelligenza del gestore e sopratutto di eventuali controlli.ho sempre reputato puntoinformatico una fonte di notizie tecnologiche neutre dal punto di vista politico ma questo accanirsi sulle forme di tutela contro il covid (sbagliate o giuste che siano, non entro nel merito, ma di questo si tratta, immuni verificac19 ecc) mi sta facendo cambiare idea, sinceramente non capisco perché un controllore manometta il proprio dispositivo per rendere validi certificati scaduti, mi pare un azione fraudolenta..è come se un salumiere mettesse un peso sotto la bilancia per XXXXXXX il cliente.. a che pro poi.. deluso direi.I certificati vaccinali prodotti dalla Gran Bretagna continuano a non essere ritenuti validi da questa app. BahIl che è formalmente corretto, visto che non sono certificati EU. VerificaC19 è un'app che valida i certificati emessi dall'Unione Europea. Ci sono comunque altri paesi che permettono dei "workaround furbetti", per esempio la app per i certificati Covid francese fa una sorta di conversione da certificato del Regno Unito a certificato europeo, quindi i cittadini UK potrebbero usare quella per memorizzare il proprio certificato.... peccato che chi controlla non è chi dovrebbe essere controllato, dunque non ha nessun motivo per taroccare il suo dispositivo in modo da alterare il risultato !ESATTO.Anche a me lo stesso problema: Certificato non valido! Perché? sono vaccinato regolarmente già da giugno!Idem. Con la stampa di 4 cartacei in tempo reale: niente. App. completamente imballata. E non solo col mio dgr-Code ma con quello di almeno 20 persone in attesa di entrare al ristorante. L'esercente non sapeva che fare. Poi a mia moglie l'idea di scaricare Immuni e di prendere il documento da lì. Finalmente il certificato non valido è diventato valido per tutti. Tuttavia quanti sono in grado di districarsi con smartphone, app. e sistemi vari ?? L'applicazione è un flop.NON stampare con stampante a getto d'inchiostro ma con laser. Meglio esibire il gree-pass su cellulareAll'autore di questo post: se sei onesto, dovresti pubblicare una modifica dove spieghi chiaramente (come ti hanno spiegato nei commenti precedenti) che questo NON È UN BUG. Hai preso l'opinione di uno studente e l'hai pubblicata come verità assoluta (questa: https://github.com/ministero-salute/it-dgc-verificaC19-android/issues/88), per favore smettiamola di fare disinformazione.Sei un ingegnere informatico? sa cosa vuol dire bug? perfavore...Io si', e questo non e' nemmeno lontanamente un bug.Sei un ingegnere informatico? sa cosa vuol dire bug? perfavore...
purtroppo punto-informatico sta scadendo molto ultimamente: titoli esagerati solo per attirare click... Come da molti osservato, non si tratta affatto di un grave bug, se un esercente vuole farti passare anche senza green pass, basta che non te lo chieda neanche! Se ti fa passare con un pass scaduto e fanno un controllo, si becca una bella multa!di che ti stupisci, con tutti i ritardati che scrivevano qui anni faLa soluzione che ha dato chi ha scoperto il bug è la classica soluzione difficile ad un problema semplice, poiché bisogna garantire che l'app funzioni offline per 24h, sarebbe sufficiente che oltre alle chiavi che vengono scaricate una volta al giorno sia scaricata anche la data odierna, questo garantirebbe la validità del certificato in base alla data corretta. Ma poiché come già detto sarà chi deve leggere il certificato ad autorizzare l'ingresso il problema non si poneInoltre sui dispositivi aggiornati non è possibile cambiare la data, a malapena cambi il fuso orario, sia Android che IOSQuanti evidenziato come "bug" riguarda solo il dispositivo CHE LEGGE e che controlla la validità del green-pass, il quale controllore non ha nessun interesse a falsare l'esito del controllo. Ma anche se lo volesse fare, basterebbe facesse finta di leggerlo asserendo poi che ha letto "valido". La modifica della data sul cellulare che MOSTRA il codice NON PRODUCE NESSUN EFFETTO sulla lettura.Anche a me lo stesso problema. L'App. rilevava il mio dgr-code non valido. E non ne voleva assolutamente sapere. Ho scaricato il documento davanti all'esercente dal sito del Ministero 4 volte ma l'App: niente. Completamente imballata sul mio e poi, via, via su altri green pass. A mia moglie è venuta l'idea di scaricare Immuni e di prendere il Code da lì. Finalmente l'App. ha letto il dgr. Vorrei conoscere il programmatore che l'ha implementata.......Sapete invece se questa app funziona per gli italiani vaccinati in un altro paese dell'Unione Europea? Ho fatto il vaccino in Polonia, dove ho la residenza (quindi non sono piu iscritta al sistema sanitario italiano suppongo), e ho il codice QR del digital covid certificate sia in lingua locale che in inglese. Ma sapete se viene riconosciuto in Italia? Il sito del ministero ancora non fornisce informazioni in merito, anche perche anche eventuali turisti dall'UE avranno ognuno il greenpass del proprio paese, non è che uno straniero sta segnato al servizio sanitario italiano...Il green pass è Europeo. Ovvio che funziona.Ti si e' rotto il playstore , o in polonia hanno bandito verificaC19 ?C'è proprio bisogno di fare del sarcasmo? Guarda che su Play Store di altri paesi, l'app VerificaC19 NON COMPARE, così come non compaiono su quello italiano molte app COVID di altri paesi! Se non conosci questo fatto basilare del Play Store, cioè che ha diversi profili nazionale, forse faresti meglio a non fare battute.Ti si e' rotto il playstore , o in polonia hanno bandito verificaC19 ?
2 punti: 1 - il QR stampato. La stampante a getto d'inchiostro non offre la precisione richiesta per i codici a barre e per i codici QR. Occorre una laser o altra termica; 2- il QR green-pass non dispone della data scadenza, che invece viene calcolata dalla app VerificaC19, che a sua volta la prende dal dispositivo CHE LEGGE (che controlla il QR), il quale (controllore) non ha nessun interesse a modificare la data sul proprio dispositivo. Se proprio volesse frodare basterebbe facesse finta di leggerlo. A niente vale modificare la data del dispositivo che MOSTRA il green-pass.Ho riscontrato problemi con gli aggiornamenti automatici della app VerificaC19. Per ragioni che non conosco, l'aggiornamento non leggeva più il codice. Ho cancellato la app VerificaC19 per poi installarla nuovamente e tutto è tornato a posto.Vabbè, anche il colello che ho in cucina ha un bug: se lo lanci addosso a qualcuno potrebbe ammazzarlo. Ragazzi, se uno vuole proprio fare entrare anche chi non ha il green pass valido, evita addirittura di passarlo, non ci vuole un genio per capirlo.Quale sarebbe il bug? che chi ti controlla imbroglia? se chi ti controlla vuole imbrogliare il problema è lui e non certo l'applicazione.Ovviamente non sai cosa significa "bug" ... lascia fare ... ad ognuno il proprio lavoro....Salumiere?Ovviamente non sai cosa significa "bug" ... lascia fare ... ad ognuno il proprio lavoro....
a me succede una cosa strana, se scansiono il green pass sull'app IO tutto ok, mentre se scansiono lo stesso sull'app Immuni mi da certificazione non valida.Il rischio dunque sarebbe che il controllore si metta a manomettere il suo dispositivo per ottenere risultati falsati ? A quel punto, farebbe prima a direi "Ok, passi" e bon.Speriamo il grave bug non ce l'abbia anche il vaccino dopo che il collaudo è stato fatto sulla nostra pelle...@Mauro La stampante a getto d'inchiostro disallineata o guasta non offre la precisione richiesta per i codici a barre, altrimenti non ci sono problemi, provato millemila volte. Raggiungono i 1200dpi... Poi sul QRCODE sarebbe bastato scrivere il codice identificativo univoco della vaccinazione , un numero a 7 cifre per ora, scansionabile anche da un cellulare di 20 anni fa e nel caso imputabile manualmente, tutto il resto è fuffa (e falsificabile)...Questa notizia è semplicemente ridicola e faziosa. E' inoltre mal posta, perchè mi aspetto che persone poco preparate (e poco intelligenti) possano credere che cambiando la data del proprio telefono (e non quello del controllore) si possa XXXXXXX il sistema... Smettiamola di fare cattiva informazione, grazie. Non me lo aspettavo da Punto Informatico!!Grazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoLeggi gli altri commentiPubblicato il 5 ago 2021Link copiato negli appuntiTi potrebbe interessare
Pubblicato il 5 ago 2021Link copiato negli appunti
