Le festività natalizie sono di solito (a seconda dell’usanza con la quale siamo cresciuti) fonte di ispirazione per doni e regali, ma nel mondo della sicurezza e anche della cyber sicurezza non è così. Gli addetti alla sicurezza non possono permettersi distrazioni, nemmeno se è Natale. Proprio consapevoli di questa distrazione generalizzata, qualsiasi malintenzionato rinuncerebbe al proprio festeggiamento natalizio per portare a segno i propri colpi tanto attesi. Vale esattamente alla stessa maniera nel mondo della sicurezza informatica, chiunque abbia in serbo una azione malevola, la programmerà per un momento in cui chi controlla è distratto.
E’ quello che è successo nella mattinata 24 dicembre appena trascorso. Il Play Store di Google, ha autorizzato la pubblicazione di una nuova app per la gestione della COVID (la malattia che consegue all’infezione dal nuovo coronavirus Sars-Cov-2). Questa applicazione si chiama C-Healer, e come vedremo è particolarmente sospetta e preoccupante.
Sono venuto a conoscenza di questo grazie al tweet di Claudio Sono (esperto di sicurezza informatica) che ha prontamente segnalato:
La vicenda era già attenzionata nell’ultimo periodo, infatti il dottor Stramezzi (personaggio sotto i riflettori, per critiche molto dure a tutti i livelli della sanità pubblica, dall’inizio dell’emergenza), portavoce di questa operazione tecnologica, aveva annunciato lo sviluppo di questa App, Covid Healer, il 10 dicembre, giornata in cui si erano caricati i file necessari ai due store di riferimento, Apple e Google, lasciando la situazione in attesa di risposta da questi ultimi.
L’esperto di protezione dei dati, Christian Bernieri, ha offerto un’analisi completamente volontaria sulle implicazioni privacy della vicenda, con commenti passo passo sulle policy e termini d’uso. Il thread è stato aggregato e reso disponibile con il seguente unroll.
Analisi tecnica della app curata da @relationsatwork su GitLab.
Il Garante per la Protezione dei Dati Personali avvia un’indagine istruttoria al fine di approfondire la liceità dei trattamenti posti in essere da questa app.
La storia di C-Healer
Questa nuova app, ha dietro una recente associazione onlus (da verificare l’effettiva appartenenza a questa tipologia di associazioni, in quanto l’Agenzia delle Entrate non la fa comparire in elenco perché aggiornato a dicembre 2020) che si chiama “Covid Healer”, il cui sito web è stato registrato a maggio 2021.
Il portavoce (presumibilmente anche il fondatore) Andrea Stramezzi, proclama la diffusione e incorporazione della sua nuova app per una serie di altri movimenti e associazioni mediche fra le quali IppocrateOrg (movimento di medici coordinati per effettuare cure e dare assistenza, nato a giugno 2020). Quest’ultimo proprio all’inizio del mese di dicembre è stata al centro delle scene, in quanto sospeso dalla pratica, perché ben presto dalla sua nascita è stato trasformato in roccaforte novax, sia per l’utenza che lo supporta, ma anche per i vertici che lo gestiscono: quasi tutti i medici che ne fanno parte sono risultati non vaccinati. Quindi non adatti a svolgere la professione e inibite ogni possibilità di assistenza.
Ora dunque, il fatto che una app di questo genere, venga supportata e adottata da una associazione (movimento) medico, sospeso perché non reputato scientifico (o addirittura in contro tendenza con la scienza) e pericoloso per la salute pubblica, può essere una app valida? Ovviamente no.
In effetti le prime analisi, del tutto volontarie, di professionisti ed esperti, indicano chiaramente l’impostazione illecita dell’applicazione:
In essa sono contenuti tracker per la profilazione utente non giustificabili ai fini di utilizzo dichiarati, per i quali la app dovrebbe servire. Inoltre si invitano gli utenti a fare upload di documenti personali (carta d’identità, tessera sanitaria), senza che ci sia un adeguato trattamento di questi dati. Ricordo con piacere che non è mai una buona idea affidare documenti personali a sconosciuti o a fonti di dubbia provenienza.
A tutto questo va aggiunto che, post apertura delle porte al Play Store di Google, C-Healer ha superato le 1000 installazioni, con circa 57 recensioni utente entusiastiche. Non è poi un dato così dissonante se si analizza la popolarità che il dottor Stramezzi ha guadagnato online e nelle tribune media italiane. I supporters che si affidano alle sue cure domiciliari sono sempre di numero interessante, anche se, va ricordato, queste pratiche sono state ritenute non efficaci dalla scienza e dal nostro sistema sanitario nazionale. Chi le attua sta andando contro un protocollo che è stato studiato e testato da un numero cospicuo di esperti, la cui conclusione, ha fatto sì che venissero bandite perché non utili alla causa. Covid Healer invece le contrappone completamente (in tutta la sua comunicazione) al vaccino, considerato inutile e sostituibile con la farmacoterapia.
Per poteri orientare nella vicenda è doveroso sbloccare un ricordo che ci riporta a questo fine agosto 2021, perché, come abbiamo potuto leggere nella stampa nazionale, il dottor Stramezzi era il portavoce anche di un’altra situazione incerta, riguardanti le cure domiciliari che aveva visto come centro questa ricetta condivisa da un giornalista, come terapia di guarigione dalla COVID:
Abbiamo quindi finora un caso, già adeguatamente segnalato alle autorità competenti, di app indisponente per la nostra privacy e per la gestione dei nostri dati personali e sensibili (che non dovremmo affidare a nessuno), non governativa, di dubbia provenienza, che ci profila tecnicamente con trackers specifici e molto dettagliati.
Questo periodo di festività sicuramente non aiuterà la fase di apertura delle segnalazioni, che verranno senza dubbio ritardate, ma le feste finiscono e le segnalazioni dovranno ricevere risposta.
Nel frattempo posso affermare che, finora, lo store di Apple non ha accettato la pubblicazione della app C-Healer.
Per fare ciò ci vogliono soldi.
Ampia scelta, per l’iniziativa “volontaria”, sul tema donazioni. Le donazioni sono richieste per ogni angolo di tutto il progetto: sviluppare la ricerca sulle cure domiciliari, sviluppare la app, diffonderla, mantenere tutta la struttura in piedi e tenere attiva l’assistenza dei medici. Per fare questo c’è l’IBAN acceso in banca svizzera e collocato in Svizzera, l’account PayPal e una campagna di CrowdFunding che ha già superato i 6100 Euro.
Il mio personale consiglio è quello di evitare di installare app come questa, tantomeno fare upload di importanti documenti come quelli personali. Se il Play Store dovesse portare a termine le segnalazioni oggi inviate, quindi cancellare la app, ci sarà una diffusione sotterranea della stessa, con APK (quindi per Android a quel punto) che spunteranno come funghi nei canali Telegram o sul sito stesso dell’iniziativa.
Non installate mai applicazioni provenienti da file APK sul Web (se proprio dovete farlo, assicuratevi della bontà del file con adeguate scansioni), oppure reperite fuori dagli store ufficiali. E quando, come in questo caso, le app si trovano sugli store ufficiali, chiedetevi sempre cosa fa sul nostro dispositivo una certa app, soprattutto se nuova o poco nota, e quali autorizzazioni ci richiede per funzionare.