App de rastreamento da COVID-19 do governo britânico traz brechas de segurança

Lançado recentemente, o aplicativo de rastreamento de contatos do Sistema Nacional de Saúde (NHS) do governo do Reino Unido já apresenta várias falhas graves de segurança. A informação foi dada por Chris Culnane e Vanessa Teague, especialistas em cibersegurança, que analisaram o códig-fonte do programa.

De acordo com um relatório divulgado pela dupla na última terça-feira (20), foram identificados sete riscos de segurança em todo o aplicativo, que atualmente está sendo testado na Ilha de Wight e deve ser lançado no resto do Reino Unido nas próximas semanas.

Entre as vulnerabilidades detectadas, uma delas pode permitir que hackers interceptem notificações e as bloqueiem; além disso, eles podem enviar mensagens falsas dizendo às pessoas que entraram em contato com alguém contaminado pela COVID-19. Os especialistas também observaram que dados não criptografados armazenados nos aparelhos dos usuários poderiam ser acessados ​​por terceiros. Embora o governo do Reino Unido tenha insistido que tais informações seriam usadas apenas em resposta às ameaças ao coronavírus, um grupo de 177 especialistas em segurança cibernética já incentivou os desenvolvedores do app a introduzir salvaguardas para impedir que os dados sejam redirecionados para fins de vigilância.

O funcionamento do aplicativo é simples: ao baixá-lo, o smartphone do usuário recebe um ID de número aleatório e que muda todos os dias. Em seguida, ele envia sinais Bluetooth ao seu redor e, caso reconheça outro telefone com o aplicativo baixado, anota o número de identificação desse telefone em um log. Se um usuário de outro aparelho que tenha o app apresentar sintomas da COVID-19, o telefone enviará uma notificação para todos os outros telefones salvos nesse log nas últimas duas semanas.

Sem acordo com Apple e Google. Por enquanto...

Ao criar seu aplicativo, o Reino Unido decidiu rejeitar a API de rastreamento de contato personalizada, lançada a partir de uma parceria Apple e pelo Google. Isso ocorre porque ambas exigem que qualquer pessoa que use sua API crie um aplicativo "descentralizado", ou seja, todo o processamento de dados permaneceria local, no aparelho dos usuários. O Reino Unido decidiu optar por uma abordagem centralizada, atraindo os dados da população para um servidor central, para poder analisá-los com mais facilidade. No entanto, essa prática gerou críticas em relação à privacidade e à proteção das informações.

Em seu relatório, Culnane e Teague dizem que um aplicativo descentralizado seria uma opção melhor. "A enorme vantagem da API descentralizada do Google / Apple é que não há banco de dados central que retenha informações sobre os contatos de todas as pessoas infectadas", afirmou Teague ao site Business Insider. Eles também destacam que, mesmo que o NHS e a API do Google / Apple usem códigos de identificação aleatórios rotativos para proteger a privacidade dos usuários, o aplicativo do NHS muda os números apenas uma vez por dia, enquanto a API do Google / Apple faz isso a cada 15 minutos.

Diante do mal funcionamento do app governamental, existe a possibilidade da NHS ter uma versão do aplicativo, mas funcionando com a API da Google / Apple. O jornal Financial Times informou no início deste maio que o governo britânico estava trabalhando silenciosamente nesta segunda opção.

Dados centralizados gera polêmica

Para além das falhas de segurança do aplicativo da NHS, a centralização das informações é o ponto que vem gerando a maior polêmica. Segundo Samuel Woodhams, pesquisador de privacidade em entrevista ao Business Insider, a decisão do Reino Unido de criar um aplicativo centralizado precisa ser "repensada de forma substancial".

"Como mostra o relatório [ Culnane e Teague], a abordagem atual aumenta consideravelmente o risco de exposição ou manipulação de dados confidenciais coletados pelo aplicativo. Ao gerar apenas um código de identificação aleatório uma vez ao dia, os riscos de identificação de um indivíduo aumentam drasticamente. Isso pode ter repercussões significativas para a privacidade dos usuários e levam a sérias conseqüências do mundo real ", afirmou Woodhams. "Desenvolvimentos recentes mostraram, mais uma vez, que a abordagem do Reino Unido está atrasada em relação à abordagem mais amigável à privacidade e provavelmente mais eficaz adotada pela Apple e pelo Google", acrescentou.

O relatório de Culnane e Teague foi compartilhado com o centro de segurança cibernética da Grã-Bretanha (NCSC), antes de ser divulgado ao público. A dupla disse que a NCSC já se comprometeu a corrigir alguns dos bugs identificados, mas outros (como a rotação da identificação de 24 horas) seriam apenas "revisados".

Em um post no blog oficial do NCSC, Ian Levy, diretor da instituição, agradeceu publicamente aos pesquisadores por seu trabalho: "Em versões futuras, a equipe tentará publicar uma lista resumida de pendências e problemas, para que as pessoas possam ver o que sabemos, mas ainda não tivemos tempo de corrigir. O aplicativo é um trabalho em andamento e futuras versões terão todos esses problemas corrigidos ", diz o texto.

Para que o aplicativo de rastreamento de contatos seja eficaz, ele precisa ser adotado por aproximadamente 56% da população do Reino Unido , disseram epidemiologistas ao NHS. Segudno Culnane e Teague, para que isso ocorra, o público precisa sentir que pode confiar no aplicativo. "As mensagens em torno do aplicativo e, em particular, as sugestões de ampliação da coleta de dados, combinadas às proteções legislativas insuficientes e falta de cuidados adequados ao tratamento dessas informações podem fazer com que a confiança em cima do aplicativo possa se esvair rapidamente", concluem.

Fonte: Business Insider