Lançada no ano passado, a aplicação móvel permite rastrear de forma rápida e anónima, através da proximidade física entre smartphones, as redes de contágio por Covid-19.

A tese de mestrado sobre Cibersegurança de um aluno do Instituto Politécnico de Viana do Castelo (IPVC) permitiu identificar uma vulnerabilidade na aplicação Stayaway Covid. Anunciado esta terça-feira pelo IPVC, Henrique Faria encontrou uma falha que coloca em causa a eficácia da ferramenta digital.

Este ataque, explicam os responsáveis pela investigação, “compromete o comportamento de rastreamento esperado nesta app, não permitindo a transmissão de dados”. “Na prática, a vulnerabilidade detetada, agora identificada como advertising overflow, permite que um atacante interrompa a transmissão Bluetooth do GAEN (Google/Apple Exposure Notification) com uma aplicação maliciosa instalada no mesmo dispositivo”.

“Num cenário real, este ataque pode, dependendo de quão disseminado está entre os dispositivos, efetivamente parar ou reduzir drasticamente o rastreamento e a eficiência do GAEN porque nenhum desses dados serão transmitidos”, adianta o IPVC. Ou seja, acrescenta a nota, “qualquer utilizador confirmado como infetado e que envie os seus dados para que outros utilizadores possam verificar se foram expostos, não acionará nenhum aviso de exposição. A implementação deste ataque num SDK que seja usado por muitas aplicações pode comprometer a eficácia do sistema de rastreamento de contactos em vários países”, sustentam.

A falha foi reportada e depois reconhecida pela Google, merecendo a colocação do aluno e dos dois docentes orientadores – Pedro Pinto e Sara Paiva – no quadro de menções honrosas da empresa multinacional. Esta falha “foi reportada à Google no programa de recompensa de vulnerabilidades (Google Vulnerability Reward Program), sendo que a análise da empresa confirmou a existência desta vulnerabilidade”.

Aplicações como a Stayaway Covid “recorrem ao GAEN para, através do Bluetooth, trocarem identificadores anónimos que mais tarde serão utilizados para verificar a possibilidade de infeção. Caso isso se verifique, o utilizador recebe uma notificação no seu dispositivo a informar que esteve exposto a alguém infetado”.