Num momento em que os governos espalhados pelo mundo se encontram a lançar as suas aplicações de Rastreio de Contágio de COVID-19, há simultaneamente o receio dos perigos associados. Não apenas sobre as questões da privacidade que têm sido constantemente discutidas, mas sim no que diz respeito à segurança dos mesmos e os riscos da instalação deste tipo de serviços. A Check Point salienta quatro ciber-riscos que podem colocar em causa a privacidade dos utilizadores.

O primeiro diz respeito ao rastreio dos próprios dispositivos, visto que algumas das apps usam o Bluetooth de baixa energia (BLE) para funcionarem, através da emissão de sinais que facilitam a identificação de um contacto com outros equipamentos. A especialista afirma que se a implementação não for correta, corre-se o risco dos cibercriminosos rastrearem o equipamento e terem acesso aos respetivos pacotes de sinais de identificação.

Afirma ainda que os dados pessoais podem ficar comprometidos, considerando que as apps armazenam os registos de contacto, chaves cifradas e outros dados sensíveis no equipamento. Assim, para proteger os utilizadores, essa informação deve ser cifrada e armazenada na sandbox de segurança da aplicação e não em áreas partilhadas. E mesmo neste caso, se o criminoso conseguir obter permissão de acesso físico ao equipamento, pode colocar em risco a privacidade dos dados, tais como as viagens efetuadas pelos utilizadores ou a visita de certos locais, através do acesso ao GPS.

Outro perigo assinalado é a interceção do tráfego de uma aplicação. Os utilizadores podem sofrer ataques chamados de “man-in-the-middle” em que os criminosos podem intercetar o tráfego de dados entre o equipamento e o servidor da aplicação, no caso de as comunicações não estarem corretamente cifradas.

Por fim, a propagação de informação falsa que os utilizadores podem receber através de relatórios de saúde. Os especialistas da Check Point deixam o alerta de que as aplicações de contacto devem realizar uma autenticação quando a informação é enviada para os seus servidores, como por exemplo, os diagnósticos e registo de contactos partilhados pelos utilizadores. Se não houver uma autorização, pode haver situações de “flood” de servidores com relatórios falsos de saúde, colocando em causa a fiabilidade do sistema.

A Check Point refere que após uma primeira revisão, os serviços levantaram algumas preocupações. Para a especialista de segurança, ao instalar e utilizar este tipo de serviços, é fundamental que os dados recolhidos, armazenados e distribuídos devem manter um equilíbrio entre a privacidade e a segurança para não colocar em perigo os dados dos utilizadores. Nesse sentido, as apps apenas devem ser acedidas em lojas oficiais e manter o equipamento atualizado com software de proteção de malwares.

E em Portugal, a app STAYAWAY COVID, que está a ser desenvolvida pelo INESC TEC deverá ser lançada ainda este mês, mas não está isenta de questões colocadas pela Amnistia Internacional.