Vila Verde

Aluno do Politécnico de Viana do Castelo encontra ‘BUG’ na App StayAway Covid

(c) Direitos reservados
Partilhe esta notícia!

Henrique Faria, aluno de Mestrado de CiberSegurança, da Escola Superior de Tecnologia e Gestão do Politécnico de Viana do Castelo, recebeu uma Menção Honrosa por parte da Google, após ter detetado um Bug que afeta a app StayAway COVID. A descoberta, que surge na sequência da investigação que se encontra a realizar no âmbito da tese de mestrado, foi reportada e depois reconhecida pela Google como uma vulnerabilidade e mereceu a colocação do aluno e dos dois docentes orientadores – Pedro Pinto e Sara Paiva, no Quadro de Menções Honrosas da Google. Este output vem premiar e reforçar a excelência da investigação que se desenvolve no Politécnico de Viana do Castelo.
Na prática, a vulnerabilidade detetada, agora identificada como “advertising overflow”, permite que um atacante interrompa a transmissão Bluetooth do GAEN (Google/Apple Exposure Notification) com uma aplicação maliciosa instalada no mesmo dispositivo”. Este ataque, explicam, “compromete o comportamento de rastreamento esperado nesta app, não permitindo a transmissão de dados. Num cenário real, este ataque pode, dependendo de quão disseminado está entre os dispositivos, efetivamente parar ou reduzir drasticamente o rastreamento e a eficiência do GAEN porque nenhum desses dados serão transmitidos”. Ou seja, “qualquer utilizador confirmado como infetado e que envie os seus dados para que outros utilizadores possam verificar se foram expostos, não acionará nenhum aviso de exposição. A implementação deste ataque num SDK que seja usado por muitas aplicações pode comprometer a eficácia do sistema de rastreamento de contatos em vários países”.
Esta vulnerabilidade foi reportada à Google no programa de recompensa de vulnerabilidades, Google Vulnerability Reward Program. A análise da Google confirmou a existência desta vulnerabilidade e foi dada uma menção honrosa aos investigadores no Bughunter Hall of Fame da Google.

StayAway COVID

A Google e a Apple desenvolveram o sistema Exposure Notifications para permitir rastrear contatos entre utilizadores e a possibilidade de infeção com o vírus COVID-19.
Aplicações como a StayAway COVID recorrem ao GAEN para, através do Bluetooth, trocarem
identificadores anónimos que mais tarde serão utilizados para verificar a possibilidade de infeção. Caso isso se verifique, o utilizador recebe uma notificação no seu dispositivo a informar que esteve exposto a alguém infetado.

Comentários

topo