C0050
L'Affermazione
“Non ha menzionato nell'informativa sulla privacy dell'app COVIDSafe che le informazioni sul modello del telefono e sul nome del dispositivo (ad esempio "iPhone di Mary") vengono trasmesse via Bluetooth. Un esempio di sfruttamento di questa vulnerabilità è che un maltrattante domestico può sapere se la vittima è a casa e i suoi coinquilini non ci sono, senza mettere piede nell'edificio.”
Fonte Originale: Matthew Davis
Analizzato: 29 Jan 2026
Fonti Originali
✅ VERIFICA DEI FATTI
L'affermazione principale contiene diversi elementi tecnici e di fatto che richiedono un'attenta verifica:
The core claim contains multiple technical and factual elements that require careful verification:
### Cosa mostra effettivamente la documentazione CVE ### What the CVE Documentation Actually Shows
ESISTE una vera vulnerabilità Bluetooth in COVIDSafe (Android v1.0.17 e precedenti), documentata come **CVE-2020-12860** e **CVE-2020-12856** [1][2]. There IS a genuine Bluetooth vulnerability in COVIDSafe (Android v1.0.17 and earlier), documented as **CVE-2020-12860** and **CVE-2020-12856** [1][2].
Tuttavia, la caratterizzazione dell'affermazione su quali informazioni sono esposte è parzialmente accurata ma richiede un contesto importante. However, the claim's characterization of what information is exposed is partially accurate but requires important context.
Secondo la documentazione tecnica CVE-2020-12860, COVIDSafe fino alla v1.0.17 "consente a un attaccante remoto di accedere al nome e al modello del telefono perché un dispositivo BLE può avere quattro ruoli e COVIDSafe li utilizza tutti" [1]. According to the CVE-2020-12860 technical documentation, COVIDSafe through v1.0.17 "allows a remote attacker to access phone name and model information because a BLE device can have four roles and COVIDSafe uses all of them" [1].
Ciò consente la "ri-identificazione di un dispositivo, e potenzialmente l'identificazione del nome del proprietario" [1]. This allows for "re-identification of a device, and potentially identification of the owner's name" [1].
Una vulnerabilità separata, CVE-2020-12856, scoperta dai ricercatori Jim Mussared e Alwen Tiu, descrive un "problema di accoppiamento silenzioso" in cui "il processo di bonding comporta scambi di identificatori permanenti del telefono della vittima: l'indirizzo identità del dispositivo bluetooth nel telefono e una chiave crittografica chiamata Identity Resolving Key (IRK)" [3]. A separate vulnerability, CVE-2020-12856, discovered by researchers Jim Mussared and Alwen Tiu, describes a "silent pairing issue" where "the bonding process involves exchanges of permanent identifiers of the victim phone: the identity address of the bluetooth device in the phone and a cryptographic key called Identity Resolving Key (IRK)" [3].
Entrambi gli identificatori possono essere utilizzati per il "tracciamento a lungo termine del telefono" [3]. Either identifier can be used for "long term tracking of the phone" [3].
### Trasmissione del nome del dispositivo - necessaria precisazione ### Device Name Broadcasting - Clarification Needed
Un dettaglio critico: secondo un thread su Twitter del ricercatore di sicurezza Matthew Rocklin (@matthewrdev), "l'app *non* trasmette il nome del dispositivo" nel funzionamento standard dell'app [4]. A critical detail: According to a Twitter thread by security researcher Matthew Rocklin (@matthewrdev), "the app *does not* broadcast the device name" in the standard operation of the app [4].
Invece, "quando un altro telefono ti rileva, sei identificato usando un indirizzo Bluetooth e non un nome del dispositivo" [4]. Instead, "when another phone detects you, you are identified using a Bluetooth address and not a device name" [4].
Tuttavia, la vulnerabilità CVE-2020-12860 consente agli attaccanti di estrarre informazioni sul modello del telefono E sul nome del dispositivo attraverso l'uso improprio dei ruoli BLE, il che significa che il nome del dispositivo È accessibile attraverso lo sfruttamento di questa vulnerabilità, anche se non trasmesso nel normale funzionamento [1][2]. However, the CVE-2020-12860 vulnerability allows attackers to extract phone model AND device name information through BLE role misuse, meaning the device name IS accessible through exploitation of this vulnerability, even if not broadcast in normal operation [1][2].
### Informativa sulla privacy ### Privacy Policy Disclosure
Per quanto riguarda l'affermazione che questo non era menzionato nell'informativa sulla privacy: la ricerca accademica QUT sull'implementazione di COVIDSafe ha rilevato che il governo ha fornito una Valutazione d'impatto sulla privacy focalizzata sulla raccolta di dati Bluetooth [5]. Regarding the claim that this wasn't mentioned in the privacy policy: The QUT academic research on COVIDSafe implementation found that the government provided a Privacy Impact Assessment focusing on Bluetooth data collection [5].
Tuttavia, le specifiche su quali informazioni potrebbero essere estratte attraverso le vulnerabilità BLE potrebbero non essere state esplicitamente dettagliate nella documentazione dell'informativa sulla privacy rivolta ai consumatori [5]. However, the specifics of what information could be extracted through BLE vulnerabilities may not have been explicitly detailed in consumer-facing privacy policy documentation [5].
L'informativa sulla privacy notava che "una scansione Bluetooth può essere utilizzata per raccogliere informazioni sulla posizione dell'utente" [6], ma potrebbe non aver dettagliato la specifica vulnerabilità dell'estrazione del nome/modello del dispositivo [5]. The privacy policy did note that "a Bluetooth scan can be used to gather information about the location of the user" [6], but may not have detailed the specific vulnerability of device name/model extraction [5].
Contesto Mancante
### Cronologia e stato delle patch
### Timeline and Patch Status
La vulnerabilità è stata segnalata alla DTA (Dipartimento degli Affari Interni) il 5 maggio 2020, ed è stata **corretta in COVIDSafe (Android) v1.0.18** [3]. The vulnerability was reported to DTA (Department of Home Affairs) on May 5, 2020, and **was fixed in COVIDSafe (Android) v1.0.18** [3].
L'app è stata distribuita il 26 aprile 2020, il che significa che questa vulnerabilità è esistita per circa 3 settimane prima che le patch fossero disponibili [1][3]. The app was deployed April 26, 2020, meaning this vulnerability existed for approximately 3 weeks before patches were available [1][3].
La correzione è stata implementata tempestivamente dopo la scoperta [3]. The fix was implemented promptly after discovery [3].
### Sfruttamento per violenza domestica - Teorico vs Comprovato ### Domestic Violence Exploitation - Theoretical vs Proven
Mentre l'affermazione presenta uno scenario in cui "un maltrattante domestico può sapere se la vittima è a casa e i suoi coinquilini non ci sono", questa appare essere una **vulnerabilità teorica piuttosto che una prova di sfruttamento reale** [1][3]. While the claim presents a scenario where "a domestic violence abuser can tell whether the victim is at home and their house-mates are not," this appears to be a **theoretical vulnerability rather than documented evidence of actual exploitation** [1][3].
I documenti CVE discutono la capacità tecnica per il "tracciamento a lungo termine" attraverso l'estrazione degli identificatori BLE [3], ma non c'è prova nelle divulgazioni di vulnerabilità pubblicate, nella letteratura accademica o nei resoconti mediatici di casi effettivi in cui questa vulnerabilità sia stata sfruttata per il tracciamento della violenza domestica [2][3]. The CVE documents discuss the technical capability for "long term tracking" through BLE identifier extraction [3], but there is no evidence in the published vulnerability disclosures, academic literature, or media reporting of actual instances where this vulnerability was exploited for domestic violence tracking [2][3].
Questa è una **legittima preoccupazione di sicurezza** che i ricercatori hanno identificato e divulgato responsabilmente, ma caratterizzarla come un metodo di sfruttamento conosciuto senza casi documentati è un'estrapolazione oltre ciò che le prove mostrano. This is a **legitimate security concern** that researchers identified and responsibly disclosed, but characterizing it as a known exploitation method without documented instances is an extrapolation beyond what the evidence shows.
### Precisione tecnica della "trasmissione" ### Technical Accuracy of "Broadcasting"
L'affermazione utilizza la parola "trasmettere" che è tecnicamente imprecisa. The claim uses the word "broadcast" which is technically imprecise.
I nomi dei dispositivi non vengono trasmessi continuamente nel normale funzionamento di COVIDSafe. Device names are not continuously broadcast in COVIDSafe's normal operation.
Piuttosto, sono esposti attraverso vulnerabilità tecniche BLE (uso improprio dei ruoli) che consentono agli attaccanti di estrarre queste informazioni dallo stack Bluetooth del dispositivo [1][2]. Rather, they are exposed through BLE technical vulnerabilities (role misuse) that allow attackers to extract this information from the device's Bluetooth stack [1][2].
Questa è una distinzione significativa perché influenza la modellazione delle minacce—un attaccante dovrebbe dover condurre attivamente uno sfruttamento tecnico, non essere semplicemente nel raggio Bluetooth [3]. This is a meaningful distinction because it affects threat modeling—an attacker would need to actively conduct a technical exploit, not merely be in Bluetooth range [3].
Valutazione Credibilità Fonte
La fonte originale è un **Google Doc** senza autore identificato, affiliazione istituzionale o credenziali di pubblicazione elencate nel file di reclamo [7].
The original source is a **Google Doc** with no identified author, institutional affiliation, or publication credentials listed in the claim file [7].
Senza accesso per visualizzare il documento completo, la valutazione della sua credibilità è limitata. Without access to view the full document, assessing its credibility is limited.
Tuttavia, l'affermazione fa riferimento a vulnerabilità di sicurezza legittime (CVE-2020-12860 e CVE-2020-12856) che sono ben documentate in fonti ufficiali. However, the claim does reference legitimate security vulnerabilities (CVE-2020-12860 and CVE-2020-12856) that are well-documented in official sources.
Le divulgazioni CVE sottostanti e la ricerca accademica provengono da fonti affidabili: - **CVE-2020-12860**: Pubblicato da MITRE/NVD (National Vulnerability Database), tracciamento ufficiale delle vulnerabilità [1] - **CVE-2020-12856**: Scoperto e divulgato da Jim Mussared (George Robotics) e Alwen Tiu (ANU), pubblicato su GitHub con documentazione tecnica [3] - **Ricerca Accademica QUT**: Articolo revisionato da pari sull'implementazione di COVIDSafe dal Queensland University of Technology [5] Queste fonti sono divulgazioni tecniche credibili, non fonti partigiane. The underlying CVE disclosures and academic research are from credible sources:
- **CVE-2020-12860**: Published by MITRE/NVD (National Vulnerability Database), official vulnerability tracking [1]
- **CVE-2020-12856**: Discovered and disclosed by Jim Mussared (George Robotics) and Alwen Tiu (ANU), published on GitHub with technical documentation [3]
- **QUT Academic Research**: Peer-reviewed article on COVIDSafe implementation from Queensland University of Technology [5]
These sources are credible technical disclosures, not partisan sources.
⚖️
Confronto con Labor
**Il Labor aveva equivalenti fallimenti sulla privacy della tecnologia?** Ricerca condotta: "Labor government technology privacy failures contact tracing" Il coinvolgimento del Labor con la tecnologia di tracciamento dei contatti era limitato durante questo periodo, poiché il governo della Coalition era al potere (2013-2022) e ha sviluppato COVIDSafe.
**Did Labor have equivalent technology privacy failures?**
Search conducted: "Labor government technology privacy failures contact tracing"
Labor's involvement with contact tracing technology was limited during this period, as the Coalition government held power (2013-2022) and developed COVIDSafe.
Il Labor era all'opposizione e non ha sviluppato un'app alternativa di tracciamento dei contatti [8]. Labor was in opposition and did not develop an alternative contact tracing app [8].
Tuttavia, preoccupazioni più ampie sulla privacy della tecnologia esistevano in entrambi i partiti: - Entrambi i governi del Labor e della Coalition hanno affrontato critiche per protezioni inadequate della privacy nei servizi digitali del governo [8] - Gli sforzi di riforma della privacy in Australia sono stati questioni trasversali, con preoccupazioni sollevate sulle pratiche di gestione dei dati governativi in generale, non specifiche a un partito [8] - Le questioni più ampie del framework di privacy che hanno reso necessaria una legislazione speciale per COVIDSafe sono sistemiche nel regime frammentato delle leggi sulla privacy dell'Australia, non uniche all'implementazione della Coalition [5] In sostanza, non c'è un equivalente diretto del Labor perché il Labor non era al governo durante la pandemia di COVID-19 e non ha sviluppato app di tracciamento dei contatti. However, broader technology privacy concerns existed across both parties:
- Both Labor and Coalition governments have faced criticism for inadequate privacy protections in digital government services [8]
- Privacy reform efforts in Australia have been cross-party issues, with concerns raised about government data handling practices generally, not specific to one party [8]
- The broader privacy framework issues that necessitated special COVIDSafe legislation are systemic to Australia's fragmented privacy law regime, not unique to Coalition implementation [5]
In essence, there is no direct Labor equivalent because Labor was not in government during the COVID-19 pandemic and did not develop contact tracing apps.
🌐
Prospettiva Equilibrata
### La legittima vulnerabilità tecnica
### The Legitimate Technical Vulnerability
L'affermazione è **corretta nel senso che esisteva una vera vulnerabilità tecnica** in COVIDSafe che potrebbe teoricamente esporre le informazioni sul modello e sul nome del dispositivo, e che queste informazioni potrebbero potenzialmente essere utilizzate per tracciare la posizione/presenza di qualcuno [1][3]. The claim is **correct that a genuine technical vulnerability existed** in COVIDSafe that could theoretically expose device model and name information, and that this information could potentially be used to track someone's location/presence [1][3].
La vulnerabilità era reale, documentata da ricercatori di sicurezza credibili, e divulgata responsabilmente [3]. The vulnerability was real, documented by credible security researchers, and responsibly disclosed [3].
### La risposta del governo ### The Government's Response
In modo positivo, il governo australiano ha agito sulla divulgazione rilasciando una patch (v1.0.18) entro circa 3 settimane dalla notifica [3]. Positively, the Australian Government acted on the disclosure by releasing a patch (v1.0.18) within approximately 3 weeks of being notified [3].
L'app includeva anche protezioni aggiuntive sulla privacy rispetto ad app comparabili come TraceTogether di Singapore, incluse sanzioni penali per l'uso non autorizzato dei dati [5]. The app also included additional privacy protections compared to comparable apps like Singapore's TraceTogether, including criminal penalties for unauthorized data use [5].
### Affermazioni esagerate sullo sfruttamento pratico ### Overstated Claims About Practical Exploitation
Il passaggio da "esiste una vulnerabilità tecnica che teoricamente potrebbe esporre le informazioni del dispositivo" a "i maltrattanti domestici possono sfruttarlo" non è supportato da prove. The leap from "a technical vulnerability exists that theoretically could expose device information" to "domestic violence abusers can exploit this" is not supported by evidence.
Mentre il rischio teorico è valido per gli avvisi di sicurezza, affermare uno sfruttamento documentato senza prove è fuorviante [1][3][7]. While the theoretical risk is valid for security advisories, claiming documented exploitation without evidence is misleading [1][3][7].
### Problema di informativa sulla privacy e divulgazione ### Privacy Policy and Disclosure Issue
L'affermazione sulla divulgazione dell'informativa sulla privacy è parzialmente valida. The claim about privacy policy disclosure is partially valid.
Il governo potrebbe non aver dettagliato esplicitamente i rischi delle vulnerabilità BLE agli utenti generali, sebbene i professionisti della privacy si aspetterebbero che tali rischi facessero parte della modellazione delle minacce di sicurezza [5]. The government may not have explicitly detailed BLE vulnerability risks to general users, though privacy professionals would expect such risks to be part of security threat modeling [5].
L'informativa sulla privacy ha divulgato la raccolta di dati Bluetooth, ma le specifiche dei potenziali attacchi BLE potrebbero non essere state rivolte ai consumatori [5][6]. The privacy policy did disclose Bluetooth data collection, but specifics of potential BLE attacks may not have been consumer-facing [5][6].
### Valutazione dell'impatto reale ### Actual Impact Assessment
Dato che: - La vulnerabilità è stata corretta relativamente rapidamente (entro ~3 settimane) [3] - L'app è rimasta volontaria e ha avuto una bassa adozione (non ha mai raggiunto gli obiettivi governativi) [5] - Lo sfruttamento richiederebbe sofisticazione tecnica oltre la sorveglianza casuale [3] - Non esistono casi documentati di sfruttamento per violenza domestica [1][3] Il **danno pratico reale appare limitato** rispetto alla gravità che l'affermazione implica. Given that:
- The vulnerability was patched relatively quickly (within ~3 weeks) [3]
- The app remained voluntary and had low uptake (never reached government targets) [5]
- The exploitation would require technical sophistication beyond casual surveillance [3]
- No documented cases of exploitation for domestic violence exist [1][3]
The **actual practical harm appears limited** compared to the severity the claim implies.
PARZIALMENTE VERO
5.5
/ 10
L'affermazione è corretta nel senso che: (1) esisteva una vera vulnerabilità tecnica che consentiva l'estrazione del nome/modello del dispositivo, e (2) queste informazioni potrebbero teoricamente essere utilizzate per tracciare la presenza.
The claim is correct that: (1) a genuine technical vulnerability existed allowing device model/name extraction, and (2) this information could theoretically be used to track presence.
Tuttavia, l'affermazione è fuorviante perché: (1) caratterizza una vulnerabilità teorica come sfruttamento documentato per la violenza domestica, (2) utilizza "trasmettere" in modo impreciso, e (3) omette che la vulnerabilità è stata corretta rapidamente e divulgata responsabilmente. However, the claim is misleading in: (1) characterizing theoretical vulnerability as documented exploitation for domestic violence, (2) using "broadcast" imprecisely, and (3) omitting that the vulnerability was patched quickly and responsibly disclosed.
L'affermazione presenta la capacità tecnica peggiore come se fosse uno scenario di minaccia reale con sfruttamento documentato. The claim presents worst-case technical capability as if it were an actual threat scenario with documented exploitation.
Punteggio Finale
5.5
/ 10
PARZIALMENTE VERO
L'affermazione è corretta nel senso che: (1) esisteva una vera vulnerabilità tecnica che consentiva l'estrazione del nome/modello del dispositivo, e (2) queste informazioni potrebbero teoricamente essere utilizzate per tracciare la presenza.
The claim is correct that: (1) a genuine technical vulnerability existed allowing device model/name extraction, and (2) this information could theoretically be used to track presence.
Tuttavia, l'affermazione è fuorviante perché: (1) caratterizza una vulnerabilità teorica come sfruttamento documentato per la violenza domestica, (2) utilizza "trasmettere" in modo impreciso, e (3) omette che la vulnerabilità è stata corretta rapidamente e divulgata responsabilmente. However, the claim is misleading in: (1) characterizing theoretical vulnerability as documented exploitation for domestic violence, (2) using "broadcast" imprecisely, and (3) omitting that the vulnerability was patched quickly and responsibly disclosed.
L'affermazione presenta la capacità tecnica peggiore come se fosse uno scenario di minaccia reale con sfruttamento documentato. The claim presents worst-case technical capability as if it were an actual threat scenario with documented exploitation.
📚 FONTI & CITAZIONI (8)
-
1
cvedetails.com
Cvedetails
-
2
nvd.nist.gov
CVE-2020-12860
-
3
github.com
A bluetooth-related vulnerability in some contact tracing apps - alwentiu/COVIDSafe-CVE-2020-12856
GitHub -
4
threadreaderapp.com
Thread by @matthewrdev: The #covidsafe app is now available in Australia However, it's a shame that they have decided not to release the sourr full transparency. Luckily, I'm a curious chap and also a professional mobile developer. So, I've downloaded an…
Threadreaderapp -
5
lthj.qut.edu.au
Lthj Qut Edu
-
6
reddit.com
The heart of the internet -
7
docs.google.com
Privacy issues discovered in the BLE implementation of the COVIDSafe Android app Jim Mussared jim.mussared@gmail.com https://twitter.com/jim_mussared 28/04/2020 Last updated: 15/05/2020 Status: Public. Updates ongoing. Privacy issues discovered in the BLE implementation of the COVIDSafe Andr...
Google Docs -
8
ashurst.com
Australia's first tranche of privacy reforms – a deep dive and why they matter
Ashurst
Metodologia della Scala di Valutazione
1-3: FALSO
Fattualmente errato o fabbricazione malevola.
4-6: PARZIALE
Un po' di verità ma il contesto è mancante o distorto.
7-9: PREVALENTEMENTE VERO
Tecnicismi minori o problemi di formulazione.
10: ACCURATO
Perfettamente verificato e contestualmente equo.
Metodologia: Le valutazioni sono determinate attraverso il confronto incrociato di documenti governativi ufficiali, organizzazioni indipendenti di verifica dei fatti e documenti di fonti primarie.