Il consulente ed esperto di sicurezza informatica Antonio Blescia ha individuato una vulnerabilità nell’applicativo Desktop Telematico dell’Agenzia delle Entrate che, se sfruttato per scopi malevoli, consentirebbe agli hacker di firmare digitalmente a nome dell’Istituto e trarre in inganno le vittime tramite phishing.
La criticità è stata così scoperta attraverso un processo di reverse engineering, attraverso cui è stato evidenziato l’utilizzo di un database locale non crittografato che ha consentito di intraprendere azioni per ampliare la superficie di attacco.
L’Agenzia delle Entrate assicura che la funzionalità è stata già aggiornata rimuovendo il relativo certificato e che, in fase di aggiornamento, il software effettua un controllo rimuovendo eventualmente il certificato presente.
