VerificaC19 è l’applicazione messa a disposizione dal Ministero della salute che permette di verificare la validità del cosiddetto Green Pass, il certificato che viene rilasciato a tutti coloro che si sono sottoposti alla vaccinazione contro il COVID-19 e che consente di accedere a eventi, strutture e altri luoghi pubblici nella Pensola e facilita gli spostamenti in Europa.
Tale soluzione funziona molto semplice: un incaricato ai controlli apre l’applicazione e inquadra il codice QR del Green Pass da verificare. Vengono così visualizzate alcune informazioni dell’utente che ha richiesto la verifica, come per esempio il nome e il cognome, più l’eventuale conferma dell’avvenuta vaccinazione e si può operare il confronto tra un documento d’identità e l’output visualizzato.
Fini qui tutto bene se non fosse per il fatto che nelle scorse ore uno studente di Ingegneria del Politecnico di Milano avrebbe rilevato un bug nel funzionamento di VerificaC19 sul sistema operativo Android, in sostanza basterebbe modificare la data del device utilizzato per modificare il periodo di validità del Green Pass (9 mesi in caso di doppia dose).
Per proporre un esempio, basti pensare al caso in cui tale problematica venga sfruttata per rendere valido un certificato, a questo scopo basterebbe impostare il proprio smartphone settando una data antecedente a quella corrente. Per risolvere il bug sarebbe quindi sufficiente che la data venga prelevata da una sorgente indipendente dal dispositivo in cui il certificato è stato salvato.
Il problema riguarderebbe anche la versione di VerificaC19 per iOS. Il test per rilevarlo sarebbe stato effettuato utilizzando un Green Pass emesso 11 giorni dopo la prima somministrazione e quindi non valido, per superare la verifica la data dello smartphone sarebbe stata poi posticipata 15 giorni dopo la prima dose ottenendo un esito positivo ("Certificato valido").
