Notifiche attuali

30 luglio 2020 - Oggi è stata pubblicata su GitHub una patch per il back end dell'app SwissCovid (https://github.com/DP-3T/dp3t-sdk-backend/security/advisories/GHSA-5m5q-3qw2-3xf3). La patch risolve un problema legato al controllo della firma nel JSON Web Tokens (JWT alg: none).Il back end dell'app SwissCovid è stato attualizzato all'attuale livello di patching già lunedì 27 luglio 2020.

17 luglio 2020 - I tecnici dell'UFIT hanno risolto oggi un problema di sicurezza nell'app Swiss Covid, a causa del quale la fornitura di chiavi avveniva troppo presto

Risoluzione:

  • Tutte le «chiavi future» sono state eliminate dalla banca dati e non sono più disponibili  per essere scaricate tramite telefono cellulare. Il processo è stato concluso venerdì alle 14:55.
  • Uno script interno è stato identificato come causa del problema. Inoltre le dieci "chiavi fake" giornaliere sono state disattivate.
  • Sarà messa a disposizione una patch su Github che permetterà di disattivare in permanenza la “fake keys flag” oppure di verificare che vengano generate solo chiavi del passato.

Vorremmo ringraziare Paul-Oliver Dehaye per il suo prezioso contributo a mettere in evidenza questa lacuna di sicurezza!


Il rapporto finale del Test di Pubblica Sicurezza si trova qui:

CSIRT UFIT e GovCERT.ch hanno testato per diverse settimane tutti i componenti del sistema SwissCovid Proximity Tracing. Un'analisi dei rischi e le raccomandazioni si trova qui:

 
 

La seguente appendice fornisce una sintesi delle vulnerabilità che CSIRT UFIT er GovCERT.ch hanno trovato e passato al progetto per la correzione.  

Durante il test pubblico del sistema svizzero di tracciamento di prossimità (public security test), vari tester hanno indicato che il rischio di attacchi di replay esiste e potrebbe rappresentare una seria minaccia per l'applicazione. Nel seguente articolo vorremmo trattare questo argomento:


Notifiche attuali

Poiché il rapporto [INR-4434] contiene diversi argomenti, li abbiamo raccolti e valutati separatamente. Potete trovare il nostro riassunto qui:

https://www.melani.admin.ch/content/melani/it/home/public-security-test/current_findings.html