A versão Android da app COVID-19 tem uma falha. Na prática permite a outras aplicações pré-instaladas acederem a dados sensÃveis. Incluindo se esteve em contacto com uma pessoa que testou positivo para esta doença. É uma novidade revelada pela empresa AppCensus. A Google já está a trabalhar numa correção para este bug.
Android: App da COVID-19 pode ter partilhado os seus dados!
O bug vai contra as promessas repetidas do CEO da Google, Sundar Pichai e da Apple, Tim Cook, e de muitos outros oficiais de saúde. Lembro que disseram que os dados recolhidos pela aplicação COVID-19 nunca poderiam ser partilhados.
A AppCensus reportou pela primeira vez a vulnerabilidade à Google em fevereiro. No entanto, a empresa não conseguiu resolvê-la, informou a Markup. Corrigir o problema seria tão simples como apagar algumas linhas de código não essenciais, revelou Joel Reardon, cofundador e responsável forense da AppCensus à The Markup.
As atualizações para resolver o problema estão “a decorrer”, afirmou o porta-voz da Google, José Castañeda. Isto numa declaração enviada por e-mail à Markup.
“Fomos notificados de um problema em que os identificadores Bluetooth estavam temporariamente acessÃveis a aplicações especÃficas para efeitos de depurações. De imediato começámos a lançar uma correção para resolver este problema”.
O sistema de notificação de exposição funciona através da sinalização Bluetooth tornada anónima. Isto entre o telemóvel de um utilizador e outros telefones que têm o sistema ativado. Assim, se alguém que usa a app testar positivo para o COVID-19, pode trabalhar com as autoridades de saúde para enviar um alerta para quaisquer equipamentos com sinais correspondentes registados na memória do smartphone.
Nos smartphones Android, os dados de rastreio são registados na memória privilegiada do sistema. Aà está inacessÃvel para a maioria dos softwares. No entanto, as aplicações pré-instaladas pelos fabricantes obtêm privilégios especiais de sistema. Assim permitem aceder a esses registos, colocando em risco dados sensÃveis de acompanhamento de contactos. Não há indÃcios de que alguma aplicação tenha realmente recolhido esses dados neste momento.
Entretanto as aplicações pré-instaladas já se aproveitaram também das permissões especiais noutras ocasiões. Investigações anteriores mostram que, por vezes, recolhem dados como informações de geolocalização e contactos telefónicos.
O mesmo problema não se verificou com o iPhone.
Receba as notÃcias Leak no seu e-mail. Carregue aqui para se registar. É grátis!
