Aluno do politécnico de Viana do Castelo detecta falha na Stayaway Covid

A tese de mestrado de Cibersegurança de um aluno do Instituto Politécnico de Viana do Castelo permitiu identificar uma vulnerabilidade na aplicação Stayaway Covid. Um atacante pode interromper a transmissão Bluetooth do sistema GAEN (Google/Apple Exposure Notification) com uma aplicação maliciosa instalada no mesmo dispositivo.

Foto
A falha “foi reportada e depois reconhecida pela Google, e mereceu a colocação do aluno e dos dois docentes orientadores no Quadro de Menções Honrosas” da empresa MIGUEL MANSO

Henrique Faria, aluno do Instituto Politécnico de Viana do Castelo (IPVC), encontrou uma falha na aplicação Stayaway Covid que coloca em causa a eficácia daquela ferramenta digital, anunciou esta terça-feira aquela instituição.

A verdade faz-nos mais fortes

Das guerras aos desastres ambientais, da economia às ameaças epidémicas, quando os dias são de incerteza, o jornalismo do Público torna-se o porto de abrigo para os portugueses que querem pensar melhor. Juntos vemos melhor. Dê força à informação responsável que o ajuda entender o mundo, a pensar e decidir.

Henrique Faria, aluno do Instituto Politécnico de Viana do Castelo (IPVC), encontrou uma falha na aplicação Stayaway Covid que coloca em causa a eficácia daquela ferramenta digital, anunciou esta terça-feira aquela instituição.

Em nota publicada no seu sítio oficial na Internet, o IPVC explica que o bug foi detectado durante a investigação realizada por Henrique Faria, no âmbito da sua tese de mestrado de Cibersegurança.

“Na prática, a vulnerabilidade detectada, agora identificada como advertising overflow, permite que um atacante interrompa a transmissão Bluetooth do GAEN (Google/Apple Exposure Notification) com uma aplicação maliciosa instalada no mesmo dispositivo”.

Este ataque, explicam os responsáveis pela investigação, “compromete o comportamento de rastreamento esperado nesta app, não permitindo a transmissão de dados”.

“Num cenário real, este ataque pode, dependendo de quão disseminado está entre os dispositivos, efectivamente parar ou reduzir drasticamente o rastreamento e a eficiência do GAEN porque nenhum desses dados serão transmitidos”, adianta o IPVC.

Ou seja, acrescenta a nota, “qualquer utilizador confirmado como infectado e que envie os seus dados para que outros utilizadores possam verificar se foram expostos, não accionará nenhum aviso de exposição. A implementação deste ataque num SDK que seja usado por muitas aplicações pode comprometer a eficácia do sistema de rastreamento de contactos em vários países”, sustentam.

Foto

A falha “foi reportada e depois reconhecida pela Google, e mereceu a colocação do aluno e dos dois docentes orientadores - Pedro Pinto e Sara Paiva, no Quadro de Menções Honrosas” da empresa multinacional de serviços online e software dos Estados Unidos da América.

Esta falha “foi reportada à Google no programa de recompensa de vulnerabilidades (Google Vulnerability Reward Program), sendo que a análise da empresa confirmou a existência desta vulnerabilidade”.

A Google e a Apple “desenvolveram o sistema Exposure Notifications para permitir rastrear contactos entre utilizadores e a possibilidade de infecção com o vírus covid-19”.

Aplicações como a Stayaway Covid “recorrem ao GAEN para, através do Bluetooth, trocarem identificadores anónimos que mais tarde serão utilizados para verificar a possibilidade de infecção. Caso isso se verifique, o utilizador recebe uma notificação no seu dispositivo a informar que esteve exposto a alguém infectado”.

Lançada em Setembro de 2020, a aplicação móvel permite rastrear de forma rápida e anónima, através da proximidade física entre smartphones, as redes de contágio por covid-19, informando os utilizadores que estiveram, nos últimos 14 dias, no mesmo espaço de alguém infectado com o novo coronavírus.