As ciberameaças das apps de rastreio de COVID-19

A luta contra a COVID-19 continua, sobretudo para evitar contágios e uma nova propagação do vírus. Para isso, são muitas as entidades e governos de todo o mundo que estão a desenvolver aplicações móveis para poderem rastrear as pessoas que deram positivo nos testes de deteção do vírus. 

Os investigadores da Check Point advertem para os riscos da instalação deste tipo de serviços e salientam os quatro principais ciber riscos para a privacidade dos utilizadores que podem suceder com a utilização destas aplicações. 

Algumas destas aplicações de rastreio requerem a utilização de Bluetooth de baixa energia (BLE) para que funcionem, permitindo aos dispositivos emitir sinais que facilitam a identificação do contacto com outros dispositivos. Se não se implementarem corretamente, um cibercriminoso pode rastrear o dispositivo de uma pessoa correlacionando o dispositivo e os seus respetivos pacotes de sinais de identificação. 

Naturalmente, as aplicações armazenam registos de contato, chaves cifradas e outros dados sensíveis nos dispositivos. Esta informação deve ser cifrada e armazenada na sandbox de segurança da aplicação e não em áreas partilhadas. No entanto, mesmo dentro de uma área segura como a sandbox, se um cibercriminoso obtiver permissão de acesso físico ao dispositivo pode pôr em risco a privacidade dos dados, sobretudo se armazenar informação tão sensível como a localização GPS, que pode disponibilizar dados como viagens efetuadas pelo utilizador ou locais em que tenha estado nos dias ou semanas anteriores. 

Ao mesmo tempo, os utilizadores podem ser suscetíveis a sofrer ataques “man-in-the-middle”, que permite a um cibercriminoso intercetar todo o tráfego de dados entre o dispositivo e o servidor da aplicação se estas comunicações não estiverem corretamente cifradas. 

Por fim, os investigadores da Check Point advertem que é importante que as aplicações de contacto realizem uma autenticação quando a informação seja enviada para os seus servidores, como por exemplo quando um utilizador envia o seu diagnóstico e registo de contatos. Sem a devida autorização, poderá ser possível inundar os servidores com relatórios de saúde falsos, o que colocaria em causa a fiabilidade de todo o sistema. 

"A sociedade ainda não sabe o quão fiáveis e seguras são as aplicações de rastreio de contatos. No entanto, após uma revisão inicial, este tipo de serviços deixou-nos algumas sérias preocupações. As aplicações de rastreio de contatos devem manter um delicado equilíbrio entre a privacidade e a segurança, já que uma deficiente aplicação das normas de segurança pode pôr em perigo os dados dos utilizadores. Portanto, ao instalar ou utilizar este tipo de serviços, é fundamental que dados recolhem, como são armazenados e, em última instância, como são distribuídos”, afirma Rui Duro, Country Manager da Check Point Software Portugal. 

Este tipo de serviços guardam uma grande quantidade de dados, por isso para preservar o máximo do anonimato a Check Point recomenda não vincular nenhum identificador pessoal, como número de telefone, a estas aplicações. No entanto também é aconselhado: 

1. Só efetuar downloads de aplicações de lojas oficiais: instalar as aplicações de rastreio de contactos para o controlo de COVID-19 somente através das lojas oficiais de aplicações, já que só permitem que entidades governamentais autorizadas publiquem este tipo de ferramentas. 
2. Utilizar soluções de segurança móvel: Descarregar e instalar uma solução de segurança móvel para analisar as aplicações e proteger o dispositivo contra o malware, bem como para verificar que o dispositivo não tenha sido infetado.