Vero

Valutazione: 8.5/10

Segnala Problema
Coalition
C0195

L'Affermazione

“Ha ignorato le migliori pratiche di sicurezza durante il deployment dell'app COVIDSafe, scegliendo di non attivare un bug bounty e di non pubblicare prontamente il codice sorgente, nonostante le promesse fatte in tal senso, il che ha portato a scoprire molteplici vulnerabilità da parte dei ricercatori molto più tardi di quanto sarebbe dovuto avvenire.”
COVID Cybersicurezza Tecnologia
Fonte Originale: Matthew Davis

Fonti Originali

VERIFICA DEI FATTI

L'affermazione che il governo australiano ha ignorato le migliori pratiche di sicurezza con l'app COVIDSafe è **sostanzialmente accurata**, sebbene richieda un'importante precisazione riguardo a tempistiche e contesto. **Risposta Ritardata alle Vulnerabilità:** Poche ore dopo il rilascio di COVIDSafe il 26 aprile 2020, il ricercatore di sicurezza Jim Mussared ha scoperto molteplici problemi di privacy nella versione Android entro l'1:19 del 27 aprile [1].
The claim that the Australian government ignored security best practices with the COVIDSafe app is **substantially accurate**, though it requires important clarification regarding timing and context. **Delayed Response to Vulnerabilities:** Within hours of COVIDSafe's release on April 26, 2020, security researcher Jim Mussared discovered multiple privacy issues in the Android version by 1:19am on April 27 [1].
 Ha dettagliato queste vulnerabilità in una relazione completa e ha inviato una email al Dipartimento della Salute, all'Agenzia per la Trasformazione Digitale (DTA), al Direttorato dei Segnali Australiani (ASD) e al Centro Australiano per la Sicurezza Informatica (ACSC) il 27-28 aprile [1].
He detailed these vulnerabilities in a comprehensive report and emailed the Department of Health, Digital Transformation Agency (DTA), Australian Signals Directorate (ASD), and the Australian Cyber Security Centre (ACSC) on April 27-28 [1].
 Tuttavia, Mussared ha ricevuto solo una risposta di una riga dal DTA una settimana dopo, il 5 maggio, e questa risposta è arrivata solo dopo che i media hanno iniziato a fare domande [1].
However, Mussared only received a single-line response from the DTA a week later on May 5, and this response came only after media began making inquiries [1].
 In confronto, Mussared ha confermato di essere riuscito a contattare il team di Singapore (che ha sviluppato TraceTogether, l'app su cui l'Australia ha modellato COVIDSafe) entro poche ore e ha visto alcuni problemi corretti da loro [1]. **Nessun Programma Formale di Bug Bounty:** Il governo non ha stabilito un programma formale di bug bounty per COVIDSafe.
In comparison, Mussared confirmed that he was able to reach Singapore's team (which developed TraceTogether, the app Australia modeled COVIDSafe on) within hours and had some issues fixed by them [1]. **No Formal Bug Bounty Program:** The government did not establish a formal bug bounty program for COVIDSafe.
 Secondo gli esperti di sicurezza informatica citati in fonti autorevoli, "le migliori pratiche sarebbero un programma formale di divulgazione e un programma di bug bounty, e un impegno a correggere i bug" [1].
According to cybersecurity experts quoted in authoritative sources, "the best practices would be a formal disclosure program and a bug bounty program, and a commitment to getting the bugs fixed" [1].
 Questo rappresenta una significativa deviazione dalle migliori pratiche.
This represents a significant departure from best practices.
 Per confronto, l'approccio del governo britannico alla sua app NHS COVID-19 includeva processi di divulgazione delle vulnerabilità più strutturati [1]. **Pubblicazione Ritardata del Codice Sorgente:** Mentre l'Australia ha eventualmente rilasciato il codice sorgente (il codice dell'app è stato pubblicato il 28 aprile 2020), ci sono stati ritardi significativi e problemi di trasparenza [1].
For comparison, the UK government's approach to its NHS COVID-19 app included more structured vulnerability disclosure processes [1]. **Delayed Source Code Publication:** While Australia eventually released source code (app code was published on April 28, 2020), there were significant delays and transparency issues [1].
 La crittografa Dr.
Cryptographer Dr.
 Vanessa Teague ha notato che "Singapore ha rilasciato il codice dell'app e del server settimane fa" mentre "l'Australia ha rilasciato il codice dell'app, ma non il codice del server, nelle ultime 24 ore" [1].
Vanessa Teague noted that "Singapore released app and server code weeks ago" while "Aus & the UK released app code, and no server code, within the last 24 hours" [1].
 In modo critico, l'Australia ha rilasciato solo il codice dell'applicazione—non il codice del server dove "il server gestisce tutta la crittografia" [1].
Critically, Australia only released application code—not the server code where "the server does all the crypto" [1].
 Il governo ha anche fallito nel pubblicare whitepaper che spiegano il design crittografico e le ipotesi di sicurezza, a differenza di Singapore e del Regno Unito [1]. **Molteplici Vulnerabilità Scoperte nel Tempo:** I ricercatori hanno identificato almeno quattro vulnerabilità principali in COVIDSafe che sono state scoperte in momenti diversi nel corso del 2020 [2]: - Un bug nel modo in cui COVIDSafe legge i messaggi Bluetooth su iPhone, causando la corruzione di alcuni messaggi crittografati [2] - CVE-2020-14292: Una vulnerabilità che consente il tracciamento a lungo termine dei dispositivi Android [2] - CVE-2020-12856: Una falla che interessa le versioni Android 1.0.17 e precedenti, permettendo agli attaccanti di connettersi silenziosamente con i telefoni Android [2] - Una falla crittica di concorrenza nel codice di crittografia (versioni 1.0.18 a 1.0.27) dove un'istanza Cipher singola era condivisa tra thread senza sincronizzazione [2] Queste non sono state tutte scoperte simultaneamente, ma piuttosto identificate mentre i ricercatori esaminavano il codice nel corso di settimane e mesi [2]. **Mancanza di Coinvolgimento con la Comunità dei Ricercatori:** Il governo non ha adeguatamente coinvolto i ricercatori che sollevavano preoccupazioni.
The government also failed to publish whitepapers explaining the cryptographic design and security assumptions, unlike Singapore and the UK [1]. **Multiple Vulnerabilities Discovered Over Time:** Researchers identified at least four major vulnerabilities in COVIDSafe that were discovered at different times throughout 2020 [2]: - A bug in how COVIDSafe reads Bluetooth messages on iPhones, causing some encrypted messages to be garbled [2] - CVE-2020-14292: A vulnerability allowing long-term tracking of Android devices [2] - CVE-2020-12856: A flaw affecting Android versions 1.0.17 and earlier, allowing attackers to bond silently with Android phones [2] - A critical concurrency flaw in encryption code (versions 1.0.18 to 1.0.27) where a single Cipher instance was shared across threads without synchronization [2] These were not all discovered simultaneously, but rather identified as researchers examined the code over weeks and months [2]. **Lack of Engagement with Research Community:** The government did not adequately engage with researchers raising concerns.
 La Dr.
Dr.
 Vanessa Teague e colleghi hanno segnalato problemi con l'applicazione, ma la comunicazione è stata difficoltosa [1].
Vanessa Teague and colleagues reported problems with the application, but communication was difficult [1].
 L'Agenzia Australiana per la Trasformazione Digitale ha pubblicato solo un indirizzo email dove i ricercatori "potevano fornire feedback" piuttosto che stabilire un programma formale e reattivo di divulgazione delle vulnerabilità [1].
The Australian Digital Transformation Agency only published an email address where researchers "could provide feedback" rather than establishing a formal, responsive vulnerability disclosure program [1].

Contesto Mancante

Tuttavia, l'affermazione richiede un contesto significativo che ne influenza l'interpretazione: **Tempistiche Affrettate e Risposta alla Pandemia:** L'app COVIDSafe è stata sviluppata in risposta a un'urgente crisi pandemica ed è stata rilasciata rapidamente [3].
However, the claim requires significant context that affects interpretation: **Rushed Timeline and Pandemic Response:** The COVIDSafe app was developed in response to an urgent pandemic crisis and was released quickly [3].
 Il governo stava sviluppando tecnologia a un ritmo senza precedenti durante un'emergenza sanitaria pubblica.
The government was developing technology at an unprecedented pace during a public health emergency.
 Sebbene questo spieghi l'urgenza, non scusa il fallimento nell'implementare pratiche di sicurezza standard del settore—anzi, le rende più importanti, non meno [3]. **Responsabilità del Governo vs.
While this explains the urgency, it does not excuse the failure to implement industry-standard security practices—in fact, it makes them more important, not less [3]. **Government Accountability vs.
 Analisi Comparativa:** Il governo ha eventualmente risposto ad alcuni problemi.
Comparative Analysis:** The government did eventually respond to some issues.
 Dopo che la comunità dei ricercatori ha identificato vulnerabilità, il DTA e il Direttorato dei Segnali Australiani hanno corretto la falla di concorrenza nella crittografia, per cui i ricercatori li hanno ringraziati [2].
After the research community identified vulnerabilities, the DTA and Australian Signals Directorate did patch the encryption concurrency flaw, which researchers thanked them for addressing [2].
 Tuttavia, il fallimento iniziale del governo nell'istituire meccanismi proattivi di divulgazione delle vulnerabilità ha significato che le correzioni sono arrivate in modo reattivo piuttosto che sistematico. **Confronto con gli Standard Internazionali:** L'app di tracciamento dei contatti di Singapore (TraceTogether), su cui l'Australia ha modellato COVIDSafe, ha dimostrato che pratiche di sicurezza più trasparenti e una divulgazione più rapida delle vulnerabilità erano realizzabili anche in un contesto pandemico.
However, the government's initial failure to establish proactive vulnerability disclosure mechanisms meant fixes came reactively rather than systematically. **Comparison to International Standards:** Singapore's contact tracing app (TraceTogether), which Australia modeled COVIDSafe after, demonstrated that faster vulnerability disclosure and more transparent security practices were feasible even in a pandemic context.
 Allo stesso modo, l'approccio del Regno Unito, sebbene non perfetto, è stato significativamente più trasparente con la documentazione dei whitepaper e un coinvolgimento più rapido con i ricercatori [1]. **Scala dell'Impatto:** Sebbene i problemi di sicurezza di COVIDSafe fossero reali, l'app ha alla fine fallito nel fornire un valore epidemiologico.
Similarly, the UK's approach, while not perfect, was significantly more transparent with whitepaper documentation and faster engagement with researchers [1]. **Scale of Impact:** While COVIDSafe's security issues were real, the app ultimately failed to deliver epidemiological value.
 Una relazione confidenziale del governo da parte di consulenti indipendenti ha rilevato che "l'utilizzo di COVIDSafe...ha comportato alti costi di transazione per i team di tracciamento dei contatti statali e ha prodotto pochi benefici" [3].
A confidential government report by independent consultants found that "the utilisation of COVIDSafe...resulted in high transaction costs for state contact tracing teams and produced few benefits" [3].
 Al momento della disattivazione dell'app, aveva scoperto solo due casi positivi e 17 contatti stretti durante l'intero periodo di attività [3].
By the time the app was decommissioned, it had discovered only two positive cases and 17 close-contacts during its entire period of activity [3].
 Le vulnerabilità di sicurezza, quindi, si sono verificate in un'applicazione che era già fondamentalmente inefficace per il suo scopo dichiarato.
The security vulnerabilities, therefore, occurred in an application that was already fundamentally ineffective for its stated purpose.

Valutazione Credibilità Fonte

Le fonti originali fornite sono credibili e ben documentate: **Articolo ZDNET [1]:** ZDNET è una pubblicazione tecnologica mainstream di proprietà di Ziff Davis Media ed è ampiamente riconosciuta come fonte credibile per il reporting tecnologico.
The original sources provided are credible and well-documented: **ZDNET Article [1]:** ZDNET is a mainstream technology publication owned by Ziff Davis Media and is widely recognized as a credible source for technology reporting.
 L'articolo di Stilgherrian, un noto giornalista tecnologico, si basa su reportage diretto da Jim Mussared (un ricercatore di sicurezza) e dalla Dr.
The article by Stilgherrian, a noted technology journalist, is based on direct reporting from Jim Mussared (a security researcher) and Dr.
 Vanessa Teague (una rispettata crittografa).
Vanessa Teague (a respected cryptographer).
 L'articolo è basato sui fatti e documentato [1]. **Articolo ITNews [2]:** ITNews.com.au è una pubblicazione australiana di notizie tecnologiche con una solida reputazione per un reporting accurato.
The article is fact-based and documented [1]. **ITNews Article [2]:** ITNews.com.au is an Australian technology news publication with a solid reputation for accurate reporting.
 L'articolo documenta le vulnerabilità identificate da molteplici ricercatori rispettati (Chris Culnane, Ben Frengley, Eleanor McMurtry, Jim Mussared, Yaakov Smith, Vanessa Teague e Alwen Tiu) e si basa sulla loro documentazione dettagliata su GitHub [2]. **Documentazione GitHub [3]:** Il repository GitHub mantenuto da Vanessa Teague e altri contiene analisi tecniche e documentazione della cronologia.
The article documents vulnerabilities identified by multiple respected researchers (Chris Culnane, Ben Frengley, Eleanor McMurtry, Jim Mussared, Yaakov Smith, Vanessa Teague, and Alwen Tiu) and is based on their detailed GitHub documentation [2]. **GitHub Documentation [3]:** The GitHub repository maintained by Vanessa Teague and others contains technical analysis and timeline documentation.
 Questa è una fonte primaria redatta dagli stessi ricercatori di sicurezza ed è altamente credibile per capire cosa è stato scoperto e quando [3].
This is a primary source authored by security researchers themselves and is highly credible for understanding what was discovered and when [3].
 Queste fonti non sono propaganda partigiana; sono reportage basati sui fatti da parte di giornalisti tecnologici rispettati ed esperti di crittografia che documentano problemi di sicurezza in un'applicazione governativa.
These sources are not partisan advocacy; they are factual reporting by respected technology journalists and cryptography experts documenting security issues in a government application.
⚖️

Confronto con Labor

**Il Labor ha fatto qualcosa di simile con le pratiche di sicurezza tecnologica?** Questa domanda è in qualche modo difficile da valutare direttamente perché il Labor non era al potere durante la pandemia COVID-19 (la Coalition ha governato dal 2013-2022, mentre il Labor ha vinto le elezioni del 2022).
**Did Labor do something similar with technology security practices?** This question is somewhat difficult to assess directly because Labor was not in power during the COVID-19 pandemic (the Coalition governed 2013-2022, while Labor won the 2022 election).
 Tuttavia, esiste un contesto storico rilevante: **Iniziative Tecnologiche del Precedente Governo Labor:** Durante il periodo in cui il Labor ha governato dal 2007-2013, ha perseguito varie iniziative tecnologiche con risultati misti, incluso il National Broadband Network (NBN).
However, some relevant historical context exists: **Prior Labor Government Technology Initiatives:** During Labor's 2007-2013 period in government, it pursued various technology initiatives with mixed results, including the National Broadband Network (NBN).
 Il progetto NBN ha affrontato critiche per sorpassi di budget e sfide di implementazione, ma questi erano più correlati alla gestione del progetto e al deployment dell'infrastruttura piuttosto che alle pratiche di sicurezza nelle applicazioni specifiche [4]. **Politiche di Cyber Sicurezza Proposte dall'Opposizione:** Durante la pandemia, il Ministro Ombra del Labor per l'Assistenza alla Cyber Sicurezza Tim Watts ha indicato il modello britannico di una "piattaforma centrale di divulgazione delle vulnerabilità" gestita da HackerOne come un approccio migliore [1].
The NBN project faced criticism for cost overruns and implementation challenges, but these were more related to project management and infrastructure deployment rather than security practices in specific applications [4]. **Proposed Opposition Cyber Security Policies:** During the pandemic, Labor's Shadow Assistant Cyber Security Minister Tim Watts pointed to the UK's model of a "central vulnerability disclosure platform" operated by HackerOne as a better approach [1].
 Il Labor stava proponendo tali misure come politica, suggerendo che l'opposizione riconosceva che l'approccio della Coalition era carente [1].
Labor was proposing such measures as policy, suggesting the opposition recognized that the Coalition's approach was deficient [1].
 Questo implica che il Labor avrebbe probabilmente implementato pratiche migliori, ma questa è un'alternativa proposta piuttosto che un track record dimostrato. **Cultura di Sicurezza a Livello di Governo:** Non ci sono prove che il Labor sotto il governo Albanese (2022-presente) abbia implementato pratiche di sicurezza fondamentalmente diverse per applicazioni critiche.
This implies Labor would likely have implemented better practices, but this is a proposed alternative rather than a demonstrated track record. **Government-Wide Security Culture:** There is no evidence that Labor under Albanese government (2022-present) has implemented fundamentally different security practices for critical applications.
 La questione appare più sistemica attraverso il governo australiano piuttosto che partigiana.
The issue appears to be more systemic across Australian government rather than partisan.
🌐

Prospettiva Equilibrata

**La Posizione del Governo:** Il DTA ha agito sotto pressione temporale straordinaria durante una pandemia.
**The Government's Position:** The DTA acted under extraordinary time pressure during a pandemic.
 Stabilire programmi formali di bug bounty e pubblicare documentazione completa di sicurezza richiede processi che tipicamente richiedono settimane o mesi.
Establishing formal bug bounty programs and publishing comprehensive security documentation requires processes that typically take weeks or months.
 Il governo ha dato priorità al deployment rapido rispetto alle pratiche di sicurezza stratificate che sarebbero state ideali in circostanze normali. **Tuttavia, Questo Non Giustifica l'Approccio:** Il confronto internazionale mostra che pratiche di sicurezza trasparenti non sono incompatibili con un deployment rapido.
The government prioritized rapid deployment over the layered security practices that would have been ideal under normal circumstances. **However, This Does Not Excuse the Approach:** International comparison shows that transparent security practices are not incompatible with rapid deployment.
 Singapore e il Regno Unito hanno entrambi rilasciato documentazione più completa e stabilito canali di comunicazione più rapidi con i ricercatori, anche durante la stessa emergenza pandemica [1].
Singapore and the UK both released more comprehensive documentation and established faster communication channels with researchers, even during the same pandemic emergency [1].
 La spiegazione "era urgente" fornisce contesto ma non giustifica l'abbandono completo delle pratiche di sicurezza standard del settore. **Il Problema Sistemico Più Ampio:** L'analisi accademica dell'ecosistema tecnologico COVID dell'Australia suggerisce che questo faceva parte di un problema più ampio: "La scelta dell'Australia di pubblicizzare e progettare indicatori visivi di sicurezza—es. una 'spunta verde' per i check in—è persistentemente arrivata a scapito di forti protezioni crittografiche" [3].
The "it was urgent" explanation provides context but does not justify abandoning industry-standard security practices entirely. **The Broader Systemic Issue:** The academic analysis of Australia's COVID technology ecosystem suggests this was part of a broader problem: "Australia's choice to advertise and design visual indicators of security—e.g., a 'green tick' for check ins—persistently came at the cost of strong cryptographic protections" [3].
 Questo rappresenta non solo una questione di pressione temporale ma una differenza filosofica fondamentale nell'approccio alla sicurezza. **Distinzione Chiave:** Scegliere le migliori pratiche di sicurezza non è un optional di lusso; è fondamentale.
This represents not just a matter of timeline pressure but a fundamental philosophical difference in approaching security. **Key Distinction:** Choosing security best practices is not a luxury add-on; it's foundational.
 Il fallimento del governo nell'implementare una divulgazione formale delle vulnerabilità, pubblicare il codice completo o stabilire programmi di bug bounty ha significato che: - I problemi di sicurezza sono stati scoperti da ricercatori esterni e segnalati ad agenzie governative non reattive - Le correzioni sono state implementate in modo reattivo piuttosto che proattivo - Il governo non ha beneficiato di un auditing di sicurezza crowdsourced - La fiducia del pubblico è stata erosa dalle cattive pratiche di sicurezza
The government's failure to implement formal vulnerability disclosure, publish complete code, or establish bug bounty programs meant that: - Security issues were discovered by external researchers and reported to unresponsive government agencies - Fixes were implemented reactively rather than proactively - The government didn't benefit from crowdsourced security auditing - Public trust was eroded by poor security practices

VERO

8.5

/ 10

Il governo della Coalition ha effettivamente ignorato le migliori pratiche di sicurezza durante il deployment dell'app COVIDSafe.
The Coalition government did ignore security best practices when deploying the COVIDSafe app.
 Il governo ha scelto di non stabilire un programma formale di bug bounty [1], non ha prontamente pubblicato il codice sorgente completo (solo il codice dell'app, non del server) [1], e ha fallito nel stabilire processi reattivi di divulgazione delle vulnerabilità [1].
The government chose not to establish a formal bug bounty program [1], did not promptly publish complete source code (only app code, not server code) [1], and failed to establish responsive vulnerability disclosure processes [1].
 Queste vulnerabilità—incluse CVE-2020-14292, CVE-2020-12856, la corruzione dei messaggi Bluetooth e le falle di concorrenza nella crittografia—sono state scoperte dai ricercatori nel tempo e segnalate ad un apparato governativo non reattivo [1][2].
These vulnerabilities—including CVE-2020-14292, CVE-2020-12856, Bluetooth message garbling, and encryption concurrency flaws—were discovered by researchers over time and reported to an unresponsive government apparatus [1][2].
 I confronti internazionali (Singapore, Regno Unito) dimostrano che questi erano fallimenti di scelta, non di necessità [1][3].
International comparisons (Singapore, UK) demonstrate these were failures of choice, not necessity [1][3].

📚 FONTI & CITAZIONI (6)

  1. 1
    zdnet.com

    zdnet.com

    Best practice would suggest that making source code available and responding quickly to reported vulnerabilities is a given for government apps, but not yet in Australia.

    ZDNET
  2. 2
    itwire.com

    itwire.com

    A number of researchers have detailed four major vulnerabilities in the Australian Government's COVIDSafe application for the iPhone and Android systems, and advised users to upgrade at once. The main patches issued were to fix: A bug in the way COVIDSafe reads Bluetooth messages on iPhones. Thi...

    Researchers outline flaws in COVIDSafe app, urge users to upgrade
  3. 3
    arxiv.org

    arxiv.org

    Arxiv

  4. 4
    PDF

    report on the operation and effectiveness of covidsafe and the national covidsafe data store 0

    Health Gov • PDF Document
  5. 5
    ncbi.nlm.nih.gov

    ncbi.nlm.nih.gov

    Timely and effective contact tracing is an essential public health measure for curbing the transmission of COVID-19. App-based contact tracing has the potential to optimize the resources of overstretched public health departments. However, its ...

    PubMed Central (PMC)
  6. 6
    pmc.ncbi.nlm.nih.gov

    pmc.ncbi.nlm.nih.gov

    The global and national response to the COVID-19 pandemic has been inadequate due to a collective lack of preparation and a shortage of available tools for responding to a large-scale pandemic. By applying lessons learned to create better ...

    PubMed Central (PMC)

Metodologia della Scala di Valutazione

1-3: FALSO

Fattualmente errato o fabbricazione malevola.

4-6: PARZIALE

Un po' di verità ma il contesto è mancante o distorto.

7-9: PREVALENTEMENTE VERO

Tecnicismi minori o problemi di formulazione.

10: ACCURATO

Perfettamente verificato e contestualmente equo.

Metodologia: Le valutazioni sono determinate attraverso il confronto incrociato di documenti governativi ufficiali, organizzazioni indipendenti di verifica dei fatti e documenti di fonti primarie.

Previous: C0194 Next: C0196