Notifiche attuali

Service navigation

Ricerca

Navigazione

Notifiche attuali

Public Security Test des SwissCovid Proximity Tracing Systems 2.0

8 luglio 2021 - Il rapporto finale del Test di Pubblica Sicurezza

(disponibile in tedesco)

Abschlussbericht: Public Security Test des SwissCovid Proximity Tracing Systems 2.0 (PDF, 398 kB, 08.07.2021)

Notifiche attuali

SwissCovid_Public_Security_Test_Current_Findings.pdf (PDF, 291 kB, 16.03.2021)

Poiché il rapporto [INR-4434] contiene diversi argomenti, li abbiamo raccolti e valutati separatamente. Potete trovare il nostro riassunto qui:

INR-4434_NCSC_Risk_assessment (PDF, 373 kB, 18.06.2020)

Public Security Test des SwissCovid Proximity Tracing Systems 1.0

30 luglio 2020 - Oggi è stata pubblicata su GitHub una patch per il back end dell'app SwissCovid (https://github.com/DP-3T/dp3t-sdk-backend/security/advisories/GHSA-5m5q-3qw2-3xf3). La patch risolve un problema legato al controllo della firma nel JSON Web Tokens (JWT alg: none).Il back end dell'app SwissCovid è stato attualizzato all'attuale livello di patching già lunedì 27 luglio 2020.

17 luglio 2020 - I tecnici dell'UFIT hanno risolto oggi un problema di sicurezza nell'app Swiss Covid, a causa del quale la fornitura di chiavi avveniva troppo presto

Risoluzione:

  • Tutte le «chiavi future» sono state eliminate dalla banca dati e non sono più disponibili  per essere scaricate tramite telefono cellulare. Il processo è stato concluso venerdì alle 14:55.
  • Uno script interno è stato identificato come causa del problema. Inoltre le dieci "chiavi fake" giornaliere sono state disattivate.
  • Sarà messa a disposizione una patch su Github che permetterà di disattivare in permanenza la “fake keys flag” oppure di verificare che vengano generate solo chiavi del passato.

Vorremmo ringraziare Paul-Oliver Dehaye per il suo prezioso contributo a mettere in evidenza questa lacuna di sicurezza!

Il rapporto finale del Test di Pubblica Sicurezza si trova qui:

20200624_Final_Risk_Report_PST_NCSC_it-sig.pdf (PDF, 450 kB, 25.06.2020)

CSIRT UFIT e GovCERT.ch hanno testato per diverse settimane tutti i componenti del sistema SwissCovid Proximity Tracing. Un'analisi dei rischi e le raccomandazioni si trova qui:

 
 

Risk-Estimation-Proximity-Tracing_Signed (PDF, 168 kB, 27.05.2020)

La seguente appendice fornisce una sintesi delle vulnerabilità che CSIRT UFIT er GovCERT.ch hanno trovato e passato al progetto per la correzione.  

Durante il test pubblico del sistema svizzero di tracciamento di prossimità (public security test), vari tester hanno indicato che il rischio di attacchi di replay esiste e potrebbe rappresentare una seria minaccia per l'applicazione. Nel seguente articolo vorremmo trattare questo argomento:

Replay-Attacke-Risk-Estimation_Public_Signed.pdf (PDF, 225 kB, 15.06.2020)

Ultima modifica 08.07.2021

Inizio pagina

https://www.ncsc.admin.ch/content/ncsc/it/home/dokumentation/covid-public-security-test/current_findings.html