Henrique Faria, aluno de Mestrado de CiberSegurança, da Escola Superior de Tecnologia e Gestão do Politécnico de Viana do Castelo, recebeu uma Menção Honrosa por parte da Google, após ter detetado um Bug que afeta a app StayAway COVID.
A descoberta, que surge na sequência da investigação que se encontra a realizar no âmbito da tese de mestrado, foi reportada e depois reconhecida pela Google como uma vulnerabilidade e mereceu a colocação do aluno e dos dois docentes orientadores – Pedro Pinto e Sara Paiva, no Quadro de Menções Honrosas da Google.
Na prática, a vulnerabilidade detetada, agora identificada como “advertising overflow”, permite que um atacante interrompa a transmissão Bluetooth do GAEN (Google/Apple Exposure Notification) com uma aplicação maliciosa instalada no mesmo dispositivo”. Este ataque, explicam, “compromete o comportamento de rastreamento esperado nesta app, não permitindo a transmissão de dados. Num cenário real, este ataque pode, dependendo de quão disseminado está entre os dispositivos, efetivamente parar ou reduzir drasticamente o rastreamento e a eficiência do GAEN porque nenhum desses dados serão transmitidos”. Ou seja, “qualquer utilizador confirmado como infetado e que envie os seus dados para que outros utilizadores possam verificar se foram expostos, não acionará nenhum aviso de exposição. A implementação deste ataque num SDK que seja usado por muitas aplicações pode comprometer a eficácia do sistema de rastreamento de contatos em vários países”.
Esta vulnerabilidade foi reportada à Google no programa de recompensa de vulnerabilidades, Google Vulnerability Reward Program. A análise da Google confirmou a existência desta vulnerabilidade e foi dada uma menção honrosa aos investigadores no Bughunter Hall of Fame da Google.
StayAway COVID
A Google e a Apple desenvolveram o sistema Exposure Notifications para permitir rastrear contatos entre utilizadores e a possibilidade de infeção com o vírus COVID-19.
Aplicações como a StayAway COVID recorrem ao GAEN para, através do Bluetooth, trocarem
identificadores anónimos que mais tarde serão utilizados para verificar a possibilidade de infeção. Caso isso se verifique, o utilizador recebe uma notificação no seu dispositivo a informar que esteve exposto a alguém infetado.