Aplicativos de rastreamento da Covid-19 apresentam falhas de segurança

Parte dos aplicativos de rastreamento da Covid-19 - comumente chamados de "rastreadores Covid" - vem apresentando falhas de segurança, que podem expor os dados de seus usuários. A descoberta foi divulgada pela empresa de segurança digital ESET.

Estes apps de rastreamento foram criados com a intenção de geolocalizar indivíduos que, potencialmente, carregam o novo coronavírus. Eles podem servir tanto como ferramentas de diagnóstico precoce, como também como fonte de estatísticas para os vários governos que os desenvolveram.

• App do SUS usa recurso que alerta proximidade com contaminados pela COVID-19
• “Rastreador de COVID-19” do Google e da Apple estreia em app na Suíça
• Como usar o app do Coronavírus - SUS

No entanto, segundo a ESET, a segurança dos bancos de dados do Firebase Realtime Database, projetados para armazenar informações do usuário, e que foram usadas por diversos desses aplicativos de rastreamento de contatos em diferentes países, foi analisada. E, em alguns casos apresentaram erros de configuração que afetavam a segurança e a privacidade das informações.

A ESET afirma que investigou 17 aplicações pertencentes às autoridades governamentais de saúde, em países como Argentina, Bolívia, Brasil, Chile, Colômbia, Equador, Guatemala, México, Peru e Uruguai. Do número total de aplicativos analisados ​​- todos disponíveis na Play Store - 14 utilizaram o Firebase Realtime Database para armazenar dados.

Apps argentinos

Em seu laboratório de pesquisa, a ESET analisou dois apps de rastreamento governamentais da Argentina - e cujo uso é incentivado pelas autoridades locais. Após a investigação, a empresa detectou que ambos estavam vulneráveis ​​a possíveis ataques, uma vez que se conectavam a bancos de dados públicos para processar dados privados, como nomes, sobrenomes, datas de nascimento, DNI (equivalente ao RG, no Brasil), e-mails, milhares de pontos de geolocalização (alguns diretamente associados a um usuário pontual), números de telefone e dados médicos de acompanhamento de pacientes (se realizaram um exame e se foram positivos) de mais de seis mil usuários.

O Firebase do Google é uma solução rápida para armazenar dados e enviar mensagens em aplicativos cliente-servidor. Os dados são salvos no formato JSON e podem ser consultados ou modificados por meio de uma API do tipo REST. Embora existam regras que podem ser conectadas em cascata para controlar o acesso a informações confidenciais, muitas vezes essas regras são mal definidas e permitem que um invasor recupere dados armazenados em diferentes níveis do caminho.

É importante ressaltar que as vulnerabilidades mencionadas anteriormente já foram corrigidas antes da publicação desta investigação.

Bancos de dados vulneráveis

Encontrar bancos de dados vulneráveis ​​em apps mobile não é novidade. Um relatório publicado em maio de 2020 pela Comparitech constatou que 4,8% dos aplicativos que usam o Google Firebase não estão configurados corretamente, levando a possíveis vazamentos de informações. Os pesquisadores estimaram que 0,83% de todos os aplicativos publicados no Google Play expõem dados confidenciais por meio do Firebase, o que representaria aproximadamente um total de 24.000 apps vulneráveis.

"A boa notícia é que esse tipo de erro é completamente evitável. Só precisamos garantir que entendemos como a autenticação e a autorização funcionam no pacote Firebase, que informações queremos proteger e testar nossos bancos de dados em produção para garantir que eles não sejam suscetíveis a esse tipo de ataque", afirmou Denise Giusto Bilic, analista de segurança da informação da ESET América Latina. "Na documentação da plataforma, podemos encontrar muitas informações sobre a maneira correta de configurar esses produtos, como artigos sobre configurações inseguras ou dicas de segurança".

Nesses casos, a ESET afirma que é essencial apostar na educação como a medida mais importante de prevenção de ameaças. Entre elas, ,anter os sistemas atualizados, alterar senhas com frequência e usar uma solução de segurança em desktops e dispositivos móveis.

Coronavírus-SUS

O Coronavírus-SUS, aplicativo mobile do Ministério da Saúde que tem o objetivo de conscientizar a população sobre a COVID-19, passou a contar, desde o final de julho deste ano, com a tecnologia chamada “API Exposure Notification”. Ela foi disponibilizada a partir de uma parceria entre o Ministério da Saúde, Google e Apple. Anunciada em abril último, ela ajuda a rastrear contaminados pela COVID-19 que estão próximos ao usuário por meio do Bluetooth, a partir de um conjunto de APIs.

O Brasil é o segundo país da América Latina a utilizar o recurso - o Uruguai foi o primeiro. Ela também já vem sendo utilizada na Alemanha e Itália, que associaram o serviço às campanhas de conscientização do distanciamento e hábitos de proteção e higiene. Essa técnica de notificação de casos positivos da COVID-19 será um fator essencial da transição da população para a vida cotidiana e, ao mesmo tempo, auxilia a gerenciar o risco de novos surtos.

Para tentar evitar polêmicas na questão da privacidade junto aos governos, tanto para o Google quanto para a Apple, estabeleceram orientações rigorosas para a ativação da funcionalidade. São elas:

• Todos os usuários terão de fazer uma opção clara na hora de habilitar a tecnologia. Também será possível desligar o rastreamento a qualquer momento. O sistema não coleta dados de localização do aparelho e não compartilha a identidade dos usuários entre si, nem com Google ou Apple. Quem controla todos os dados que deseja compartilhar é o próprio usuário; a decisão de aderir ao rastreamento é uma escolha pessoal.

• Os raios do Bluetooth para preservar a privacidade mudam a cada 10 ou 20 minutos, com o objetivo de evitar o rastreamento.

• O aviso sobre a exposição ao vírus ocorre apenas pelo celular, sob o controle do usuário. Além disso, o sistema não revela para outros usuários, para a Apple ou o Google a identidade das pessoas que receberam resultado positivo. ,

• O sistema só pode ser usado para rastrear contatos pelos aplicativos das autoridades sanitárias competentes. • Google e Apple poderão desligar o sistema de Notificação de Exposição em regiões específicas, quando ele não for mais necessário.

A ESET afirma que fez uma avaliação do aplicativo brasileiro para encontrar eventuais bugs de segurança, semelhante ao que ela detectou em outros apps do gênero. No entanto, a empresa afirmou que não foram encontradas vulnerabilidades.