D.Corleone1
GF Ouro
- Entrou
- Fev 22, 2020
- Mensagens
- 503
- Gostos Recebidos
- 1
Henrique Faria, aluno do Instituto Politécnico de Viana do Castelo (IPVC), encontrou uma falha na aplicação 'Stayaway Covid' que coloca em causa a eficácia daquela ferramenta digital, anunciou hoje aquela instituição.
Em nota publicada no seu sítio oficial na Internet, o IPVC explica que o 'bug' foi detetado durante a investigação realizada por Henrique Faria, no âmbito da sua tese de mestrado de Cibersegurança.
"Na prática, a vulnerabilidade detetada, agora identificada como 'advertising overflow', permite que um atacante interrompa a transmissão Bluetooth do GAEN (Google/Apple Exposure Notification) com uma aplicação maliciosa instalada no mesmo dispositivo".
Este ataque, explicam os responsáveis pela investigação, "compromete o comportamento de rastreamento esperado nesta 'app', não permitindo a transmissão de dados".
"Num cenário real, este ataque pode, dependendo de quão disseminado está entre os dispositivos, efetivamente parar ou reduzir drasticamente o rastreamento e a eficiência do GAEN porque nenhum desses dados serão transmitidos", adianta o IPVC.
Ou seja, acrescenta a nota, "qualquer utilizador confirmado como infetado e que envie os seus dados para que outros utilizadores possam verificar se foram expostos, não acionará nenhum aviso de exposição. A implementação deste ataque num SDK que seja usado por muitas aplicações pode comprometer a eficácia do sistema de rastreamento de contactos em vários países", sustentam.
A falha "foi reportada e depois reconhecida pela Google, e mereceu a colocação do aluno e dos dois docentes orientadores - Pedro Pinto e Sara Paiva, no Quadro de Menções Honrosas" da empresa multinacional de serviços 'online' e 'software' dos Estados Unidos da América.
Esta falha "foi reportada à Google no programa de recompensa de vulnerabilidades (Google Vulnerability Reward Program), sendo que a análise da empresa confirmou a existência desta vulnerabilidade".
A Google e a Apple "desenvolveram o sistema 'Exposure Notifications' para permitir rastrear contactos entre utilizadores e a possibilidade de infeção com o vírus Covid-19".
Aplicações como a 'Stayaway Covid' "recorrem ao GAEN para, através do Bluetooth, trocarem identificadores anónimos que mais tarde serão utilizados para verificar a possibilidade de infeção. Caso isso se verifique, o utilizador recebe uma notificação no seu dispositivo a informar que esteve exposto a alguém infetado".
Lançada em setembro de 2020, a aplicação móvel permite rastrear de forma rápida e anónima, através da proximidade física entre 'smartphones', as redes de contágio por covid-19, informando os utilizadores que estiveram, nos últimos 14 dias, no mesmo espaço de alguém infetado com o novo coronavírus.
Com cerca de cinco mil alunos, o IPVC tem seis escolas - de Educação, Tecnologia e Gestão, Agrária, Enfermagem, Ciências Empresariais, Desporto e Lazer -, ministrando 28 licenciaturas, 40 mestrados, 34 Cursos de Técnicos Superiores Profissionais (CTESP) e outras formações de caráter profissionalizante.
Além das escolas superiores de saúde, educação e tecnologia e gestão, situadas em Viana do Castelo, o IPVC tem escolas superiores instaladas em Ponte de Lima (Agrária), Valença (Ciências Empresariais) e Melgaço (Desporto e Lazer).
nm
Em nota publicada no seu sítio oficial na Internet, o IPVC explica que o 'bug' foi detetado durante a investigação realizada por Henrique Faria, no âmbito da sua tese de mestrado de Cibersegurança.
"Na prática, a vulnerabilidade detetada, agora identificada como 'advertising overflow', permite que um atacante interrompa a transmissão Bluetooth do GAEN (Google/Apple Exposure Notification) com uma aplicação maliciosa instalada no mesmo dispositivo".
Este ataque, explicam os responsáveis pela investigação, "compromete o comportamento de rastreamento esperado nesta 'app', não permitindo a transmissão de dados".
"Num cenário real, este ataque pode, dependendo de quão disseminado está entre os dispositivos, efetivamente parar ou reduzir drasticamente o rastreamento e a eficiência do GAEN porque nenhum desses dados serão transmitidos", adianta o IPVC.
Ou seja, acrescenta a nota, "qualquer utilizador confirmado como infetado e que envie os seus dados para que outros utilizadores possam verificar se foram expostos, não acionará nenhum aviso de exposição. A implementação deste ataque num SDK que seja usado por muitas aplicações pode comprometer a eficácia do sistema de rastreamento de contactos em vários países", sustentam.
A falha "foi reportada e depois reconhecida pela Google, e mereceu a colocação do aluno e dos dois docentes orientadores - Pedro Pinto e Sara Paiva, no Quadro de Menções Honrosas" da empresa multinacional de serviços 'online' e 'software' dos Estados Unidos da América.
Esta falha "foi reportada à Google no programa de recompensa de vulnerabilidades (Google Vulnerability Reward Program), sendo que a análise da empresa confirmou a existência desta vulnerabilidade".
A Google e a Apple "desenvolveram o sistema 'Exposure Notifications' para permitir rastrear contactos entre utilizadores e a possibilidade de infeção com o vírus Covid-19".
Aplicações como a 'Stayaway Covid' "recorrem ao GAEN para, através do Bluetooth, trocarem identificadores anónimos que mais tarde serão utilizados para verificar a possibilidade de infeção. Caso isso se verifique, o utilizador recebe uma notificação no seu dispositivo a informar que esteve exposto a alguém infetado".
Lançada em setembro de 2020, a aplicação móvel permite rastrear de forma rápida e anónima, através da proximidade física entre 'smartphones', as redes de contágio por covid-19, informando os utilizadores que estiveram, nos últimos 14 dias, no mesmo espaço de alguém infetado com o novo coronavírus.
Com cerca de cinco mil alunos, o IPVC tem seis escolas - de Educação, Tecnologia e Gestão, Agrária, Enfermagem, Ciências Empresariais, Desporto e Lazer -, ministrando 28 licenciaturas, 40 mestrados, 34 Cursos de Técnicos Superiores Profissionais (CTESP) e outras formações de caráter profissionalizante.
Além das escolas superiores de saúde, educação e tecnologia e gestão, situadas em Viana do Castelo, o IPVC tem escolas superiores instaladas em Ponte de Lima (Agrária), Valença (Ciências Empresariais) e Melgaço (Desporto e Lazer).
nm