Aluno do politécnico de Viana do Castelo deteta falha de segurança na aplicação Stayaway Covid

stayawaycovid.pt

Henrique Faria, aluno do Instituto Politécnico de Viana do Castelo (IPVC), encontrou uma falha na aplicação Stayaway Covid que coloca em causa a eficácia daquela ferramenta digital, anunciou esta terça-feira aquela instituição.

Em nota publicada no seu sítio oficial na Internet, o IPVC explica que o bug foi detetado durante a investigação realizada por Henrique Faria, no âmbito da sua tese de mestrado de Cibersegurança.

“Na prática, a vulnerabilidade detetada, agora identificada como advertising overflow, permite que um atacante interrompa a transmissão Bluetooth do GAEN (Google/Apple Exposure Notification) com uma aplicação maliciosa instalada no mesmo dispositivo”.

Este ataque, explicam os responsáveis pela investigação, “compromete o comportamento de rastreamento esperado nesta app, não permitindo a transmissão de dados“.

“Num cenário real, este ataque pode, dependendo de quão disseminado está entre os dispositivos, efetivamente parar ou reduzir drasticamente o rastreamento e a eficiência do GAEN porque nenhum desses dados serão transmitidos”, adianta o IPVC.

Ou seja, acrescenta a nota, “qualquer utilizador confirmado como infetado e que envie os seus dados para que outros utilizadores possam verificar se foram expostos, não acionará nenhum aviso de exposição. A implementação deste ataque num SDK que seja usado por muitas aplicações pode comprometer a eficácia do sistema de rastreamento de contactos em vários países”, sustentam.

A falha “foi reportada e depois reconhecida pela Google, e mereceu a colocação do aluno e dos dois docentes orientadores – Pedro Pinto e Sara Paiva, no Quadro de Menções Honrosas” da empresa multinacional de serviços online e software dos Estados Unidos.

Esta falha “foi reportada à Google no programa de recompensa de vulnerabilidades (Google Vulnerability Reward Program), sendo que a análise da empresa confirmou a existência desta vulnerabilidade”.

A Google e a Apple “desenvolveram o sistema Exposure Notifications para permitir rastrear contactos entre utilizadores e a possibilidade de infeção com o vírus covid-19″.

Aplicações como a Stayaway Covid “recorrem ao GAEN para, através do Bluetooth, trocarem identificadores anónimos que mais tarde serão utilizados para verificar a possibilidade de infeção. Caso isso se verifique, o utilizador recebe uma notificação no seu dispositivo a informar que esteve exposto a alguém infetado”.

Lançada em setembro de 2020, a aplicação móvel permite rastrear de forma rápida e anónima, através da proximidade física entre smartphones, as redes de contágio por covid-19, informando os utilizadores que estiveram, nos últimos 14 dias, no mesmo espaço de alguém infetado com o novo coronavírus.

// Lusa

 

PARTILHAR

3 COMENTÁRIOS

  1. HA, HA, HA!!! Detetou? Eu, sem ser estudante do politécnico e sem qualquer formação avançada em informática SEI que TODAS as aplicações (TODAS!) têm falhas de segurança! Os samatphones não têm nem metade das proteções que um computador portátil ou de mesa têm! E, mesmo sem ser smartphone, ainda existem muitas “falhas” de segurança! Mas parabéns para o Henrique Faria que em pouco mais de meio ano, conseguiu encontra UMA falha! E estamos a falar de uma aplicação que tem de estar ligada quase continuamente com o bluetooth também ligado! E o estudante só encontrou UMA falha de segurança. Sem dúvida, este Henrique vai ser um “génio” como o “herói” Rui Pinto

RESPONDER

Afinal, a crise no transporte marítimo mundial não vai estragar o Natal - pelo menos em Portugal

O transporte de mercadorias está a desacelerar na Ásia e o aumento dos custos está a causar uma onda preocupação na distribuição. Porém, o problema não se deverá fazer sentir na época de Natal. A falta …

Líder do Estado Islâmico no Grande Saara morto por forças francesas

O Presidente francês, Emmanuel Macron, anunciou esta madrugada que o líder do grupo terrorista "Estado Islâmico no Grande Saara" (EIGS), Adnan Abu Walid Sahraoui, foi "neutralizado" por forças militares francesas. "Trata-se de um novo grande sucesso …

Portugal vai ser o país europeu com mais escalões de IRS

Com o desdobramento do terceiro e do sexto escalão de IRS, Portugal será, a par do Luxemburgo, o país europeu com mais níveis na tabela de taxas de imposto. As mexidas nos escalões de IRS já …

Fisco enviou 50 mil notificações de IUC indevidas e vai anulá-las

A Autoridade Tributária e Aduaneira (AT) identificou o envio de cerca de 50 mil notificações indevidas para pagamento do IUC, que serão anuladas. A Autoridade Tributária e Aduaneira (AT) identificou o envio de cerca de 50 …

A dança das cadeiras de Boris está a ser interpretada como uma preparação das próximas eleições

A remodelação governamental que Boris Johnson levou a cabo esta quarta-feira está a ser lida como uma preparação para as próximas eleições, ainda que o calendário político não exija uma ida às urnas antes de …

MP deteta omissões nos diplomas sobre o controlo das bases de dados do SEF

O Conselho Superior do Ministério Público detetou falhas e omissões nos diplomas sobre o controlo das bases de dados do SEF e a transferência das competências administrativas. O Diário de Notícias escreve, esta quarta-feira, que o …

Talibãs confiscam fortunas de antigos funcionários do Governo afegão

O novo Governo talibã confiscou milhões de dólares em dinheiro e ouro de antigos funcionário do Governo do Afeganistão. O Banco Central do Afeganistão, agora controlado pelos talibãs, diz ter confiscado mais de 10 milhões de …

Seis recordes (indesejados) no Sporting-Ajax

Aos 68 segundos já havia um registo inédito em Alvalade. FC Porto continua bem fora de casa, Atlético de Madrid continua mal em casa. Pelo segundo ano consecutivo, o início do Sporting numa competição europeia foi …

Jovem de 16 anos do Real Massamá blindado com uma cláusula de €15 milhões

Amadu Baldé estreou-se este ano pela equipa sénior do Real Massamá. O jovem de 16 deixou tão boas impressões que o clube renovou-lhe o contrato e blindou-o com uma cláusula de rescisão de 15 milhões …

Portugal tem 80% da população com a vacinação completa. Faltam administrar 400 mil doses — mas a quem?

De acordo com as previsões das autoridades de saúde, Portugal deveria atingir a meta de 85% da população com o esquema vacinaal completo em outubro, pelo que ficam a faltar 400 mil doses. Portugal atingiu esta …